Zyxel-brannmur [VPN] - Konfigurer IPSec Site-To-Site VPN på Zyxel-brannmur [Stand-alone-modus]

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

Denne veiledningen går gjennom hvordan du konfigurerer et Site-to-Site (S2S) VPN mellom to brannmurer ved hjelp av IKEv2 IPSec. Vi tar for oss både manuell konfigurasjon og bruk av en innebygd veiviser, samt hvordan du konfigurerer VPN-et til å håndtere flere undernett innenfor samme tunnel.

Hvis du er på utkikk etter andre VPN-scenarier, tips og triks, kan du ta en titt på følgende artikler:

Generelt:

Nebula:

Et kontor ønsker å koble seg sikkert til hovedkontoret via Internett. Begge kontorene har en USG / ZyWall / ATP / USG FLEX for å få tilgang til Internett.

Merk: Før du begynner å konfigurere VPN-et, må du sørge for at begge nettstedene ikke har de samme undernettene. Det er teknisk mulig å konfigurere et VPN mellom nettsteder med samme subnett på begge sider, men det er ikke enkelt og kan føre til komplikasjoner på grunn av overlappende IP-adresser. Når begge steder har samme subnett, kan dette føre til rutingskonflikter fordi VPN-et ikke vet hvilken side det skal sende trafikk til når det ser en IP-adresse som finnes på begge steder.

Veivisermetode for oppsett av VPN

Den enkleste og mest praktiske metoden for å etablere en Site-to-Site-tilkobling er å bruke den innebygde veiviseren. I det første eksemplet i denne artikkelen vil vi veilede deg gjennom prosessen. Hvis du har hatt problemer med å konfigurere et VPN manuelt, kan du også bruke veiviseren til å sette opp VPN-et og sammenligne innstillingene for feilsøkingsformål.

Innstillinger for HQ-nettsted (Wizzard)

  • Logg inn på HQ Site-brannmurens web-GUI, og gå til veiviseren for hurtigoppsett i menyen til venstre.
  • Klikk på "VPN-oppsett"

Du kan velge mellom Express (VPN med standardverdier) eller Advanced (manuell innstilling av kryptografi osv.). For å gi deg et eksempel på denne artikkelen har vi valgt alternativet "Avansert".

  • Vi anbefaler på det sterkeste å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingen, stabiliteten, støtte mobilitet og øke effektiviteten i håndteringen av nettverksendringer.
  • Gi et forståelig navn, og velg Site-to-Site VPN.
  • Klikk på "Neste"

Fase 1-innstillinger

  • På neste side angir du "Secure Gateway" Dette er Wan-adressen til den andre brannmuren; i dette tilfellet er det IP-adressen til Branch site. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren. )
  • Angi fase 1-forslag som ønsket. Av sikkerhetsgrunner bør du velge et sterkt passord og forslag med god kryptering/autentisering, for eksempel AES256 for kryptering, SHA512 for autentisering og DH14 for en nøkkelgruppe.

Fase 2-innstillinger

  • Sørg for at innstillingene for fase 2 er de samme som innstillingene for fase 1. (dvs. AES256, SHA512)
  • Lokal policy og Ekstern policy - Lokale og eksterne policyer definerer hvilken trafikk som skal krypteres i et sted-til-sted-VPN, og sørger for sikker, effektiv og korrekt rutet kommunikasjon mellom nettverk.

    Merk: Sjekk først om IP-adressen til det eksterne delnettet ikke allerede finnes i det lokale delnettet for å unngå dobbel IP-adressekonfigurasjon. Når det eksterne delnettet ligner på et lokalt delnett, vil du bare kunne nå det lokale nettverket.
  • Når alle dataene er korrekt angitt, klikker du på "Neste", kontrollerer alle innstillingene på nytt, klikker på"Lagre" og fortsetter med å konfigurere den andre brannmuren.

Innstillinger for filialnettsted (Wizzard)

Du må følge nøyaktig samme prosedyre for brannmuren på det andre kontoret. Hovedforskjellen ligger kun i noen innstillinger.

  • Gateway-IP må angis som WAN-IP-en til enheten på hovedkontoret.
  • Lokal policy og ekstern policy vil også være forskjellige. Eksempel nedenfor:
    HQ Site
    Lokal policy: 192.168.40.1
    Ekstern policy: 192.168.70.1
    Filialnettsted
    Lokal policy: 192.168.70.1
    Ekstern policy: 192.168.40.1
  • Hvis alt er riktig konfigurert og det ikke er noen problemer med tilkoblingen, andre innstillinger eller konstruksjonen, vil en VPN-tilkobling opprettes automatisk umiddelbart etter at innstillingene er lagret.

Manuell metode Oppsett VPN

VPN-gateway - Innstillinger for HQ Site Manual

  • Logg inn på din HQ Site Firewall Web GUI
dyn_repppppppp_0
  • Merk av i avmerkingsboksen Aktiver
  • Oppgi et tydelig navn
  • Velg IKE-versjon

Vi anbefaler på det sterkeste å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingen, stabiliteten, støtte mobilitet og øke effektiviteten i håndteringen av nettverksendringer.

  • Min adresse (grensesnitt) - angir IP-adressen din.
  • Peer Gateway Address - Dette er WAN-adressen til den andre brannmuren; i dette tilfellet er det IP-adressen til Branch site. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren.
  • Pre-Shared Key - Opprett et sterkt passord (du vil også bruke denne nøkkelen på den eksterne enheten).
  • Fase 1-innstillinger - Angi fase 1-forslag etter ønske. Av sikkerhetsgrunner bør du velge et sterkt passord og forslag med god kryptering/autentisering, for eksempel AES256 for kryptering, SHA512 for autentisering og DH14 for en nøkkelgruppe.

VPN-tunnel - Håndbok for innstillinger for hovedkontoret

dyn_repppppppp_1

Det første du må gjøre er å opprette et objekt for "Remote Policy" ved å klikke på "Opprett nytt objekt" og velge "IPV4-adresse".

  • Navn - skriv inn et tydelig navn
  • Type adresse - "SUBNET"
  • Nettverk - den lokale nettverksadressen til det eksterne nettstedet
  • Nettverksmaske - subnettmasken til det eksterne området
  • Klikk deretter på "OK"

Nå kan vi fortsette å fylle ut de andre feltene.

  • Merk av i avmerkingsboksen Aktiver
  • Oppgi et tydelig navn
  • Velg Site-To-Site VPN
  • VPN Gateway - VelgVPN-gatewayen som ble opprettet i forrige trinn
  • Local Policy og Remote Policy vil være forskjellige.
  • Fase 2-innstillinger - Angifase 2-forslag etter ønske. Av sikkerhetsgrunner bør du velge et sterkt passord og forslag med god kryptering/autentisering, for eksempel AES256 for kryptering, SHA512 for autentisering og DH14 for en nøkkelgruppe.
  • Klikk på "Ok"

Nå kan vi begynne å konfigurere Branch-nettstedet. Følg de samme trinnene som du gjorde for hovedkontoret, men med noen dataendringer.

VPN-gateway - Innstillingshåndbok for filialnettstedet

dyn_repppppppp_2

Gjenta HQ-trinnene for å konfigurere VPN-gatewayen

  • Da du konfigurerte VPN-gatewayen på brannmuren i hovedkvarteret, angav du WAN-IP-en til filialnettstedet i feltet "Peer Gateway Address Static Address". Når du nå konfigurerer filialområdet, må du angi WAN-IP-en til hovedkontoret i feltet "Peer Gateway Address StaticAddress ".
  • Pre-Shared Key - må være den sammefor begge nettstedene.

Håndbok for innstillinger for VPN-tunnel - filial

dyn_repppppppp_3

Gjenta HQ-trinnene for å konfigurere VPN-tunnelen

  • Med unntak av noen få forskjeller spesifiserte du nettverket på filialområdet i Remote Policy da du konfigurerte hovedkontoret. Når du nå konfigurerer filialområdet, må du angi nettverket fra hovedkontoret i feltet Remote Policy.

Merk av for alternativet"Nailed-Up" for å etablere VPN-tunnelen og koble til automatisk.

Test resultatet

  • Koble til VPN-tunnelen manuelt første gang. Etterpå bør den skanne tilkoblingen på nytt og koble til igjen automatisk.
  • Du kan se at VPN-tunnelen er tilkoblet når jord-symbolet er grønt

Merk: Sjekk brannmurreglene dine for å sikre at standard IPSec-til-enhet- og IPSec-til-alle-reglene eksisterer.
Ellers kan trafikken mellom tunnelene bli blokkert.
Screenshot_2021-05-26_173435.png

Begrensning - Bruk flere undernett

På Zyxel-brannmurer er det en begrensning som gjør at du ikke kan velge flere delnett i en VPN-tunnel. Den lokale policyen (delnett) og den eksterne policyen (delnett) kan bare konfigureres med ett delnett hver.

dyn_repppppppppp_4

For å omgå dette problemet kan du konfigurere en policyrute for å rute andre undernett inn i tunnelen manuelt.

Opprett denne policyruten:

Merk! Det kan være nødvendig å rute svarpakkene tilbake gjennom tunnelen på det eksterne nettstedet.

Feilsøking

Vanlige problemer og løsninger:

  • Feil forhåndsdelt nøkkel: Dobbeltsjekk den forhåndsdelte nøkkelen på begge enhetene.
  • Feil subnettkonfigurasjon: Sørg for at de riktige lokale og eksterne subnettene er konfigurert i VPN-innstillingene.
  • Innstillinger for fase 1 og fase 2:

Nøkkelinnstillinger som må sjekkes for å sikre at de er de samme på begge sider

  • Autentiseringsmetode: Vanligvis brukes en forhåndsdelt nøkkel.
  • Krypteringsalgoritme: Vanlige alternativer inkluderer AES (128/256 bits), 3DES.
  • Hash-algoritme: Vanligvis SHA-256 eller SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman-gruppe): Sørger for sikker nøkkelutveksling (f.eks. gruppe 2, gruppe 14).
  • Levetid: Levetid:

For mer detaljerte instruksjoner om feilsøking, se lenken:

Zyxel-brannmur [VPN] - Feilsøk Site-to-Site VPN [Stand-alone-modus]

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
10 av 19 syntes dette var nyttig
Del