Denne veiledningen vil lede deg gjennom oppsett av en Site-to-Site (S2S) VPN mellom to brannmurer ved bruk av IKEv2 IPSec. Vi dekker både manuell konfigurasjon og bruk av en innebygd veiviser, samt hvordan konfigurere VPN-en til å håndtere flere subnett innenfor samme tunnel.
Hvis du er på jakt etter andre VPN-scenarier, tips og triks, kan du se på følgende artikler:
Generelt:
- VPN-konfigurasjonsprovisjonering på en USG-brannmur
- Zyxel-brannmur [VPN] - Feilsøking av Site-to-Site VPN [Frittstående modus]
Et kontor ønsker å koble seg sikkert til hovedkontoret via Internett. Begge kontorene har en USG / ZyWall / ATP / USG FLEX for internettilgang.
Merk: Før du begynner å konfigurere VPN-en, må du sørge for at begge stedene ikke har de samme subnettene. Det er teknisk mulig å konfigurere en VPN mellom steder med samme subnett på begge sider, men det er ikke enkelt og kan føre til komplikasjoner på grunn av overlappende IP-adresser. Når begge steder har samme subnett, kan dette føre til rutingskonflikter fordi VPN-en ikke vet hvilken side den skal sende trafikk til når den ser en IP-adresse som finnes på begge steder.
Veiviser-metode for oppsett av VPN
Den enkleste og mest praktiske metoden for å etablere en Site-to-Site-forbindelse er å bruke den innebygde veiviseren. I det første eksemplet i denne artikkelen vil vi guide deg gjennom prosessen. Hvis du har hatt problemer med manuell konfigurasjon av VPN, kan du bruke veiviseren til å sette opp VPN-en og sammenligne innstillingene for feilsøking.
Innstillinger for hovedkontoret (veiviser)
- Logg inn på brannmuren til hovedkontoret via Web GUI og gå til delen for hurtigoppsett i venstremenyen.
- Klikk på "VPN Setup"
Du kan velge mellom Express (VPN med standardverdier) eller Avansert (manuell innstilling av kryptografi osv.). For eksempelet i denne artikkelen har vi valgt "Avansert"-alternativet.
- Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingsetablering, stabilitet, støtte mobilitet og øke effektiviteten i håndtering av nettverksendringer.
- Gi et forståelig navn og velg Site-to-Site VPN.
- Klikk "Neste"
Fase 1-innstillinger
- I neste steg, skriv inn “Sikker gateway”. Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialstedet. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren.)
- Sett Fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe.
Fase 2-innstillinger
- Sørg for at fase 2-innstillingene er de samme som fase 1-innstillingene (dvs. AES256, SHA512).
-
Lokal policy og ekstern policy - Lokale og eksterne policyer definerer hvilken trafikk som krypteres i en site-to-site VPN, og sikrer sikker, effektiv og korrekt rutet kommunikasjon mellom nettverk.
Merk: Vennligst sjekk først at IP-adressen til den eksterne subnettet ikke allerede finnes i det lokale subnettet for å unngå dobbel IP-adressekonfigurasjon. Når den eksterne subnettet er lik en lokal subnett, vil du kun kunne nå det lokale nettverket.
- Når alle data er korrekt fylt inn, klikk “Neste”, sjekk alle innstillinger på nytt, klikk "Lagre" og fortsett med å konfigurere den andre brannmuren.
Innstillinger for filialstedet (veiviser)
Du må følge nøyaktig samme prosedyre for brannmuren på det andre kontoret. Den viktigste forskjellen er bare noen få innstillinger.
- Gateway-IP må spesifiseres som WAN-IP-en til enheten på hovedkontoret
-
Lokal policy og ekstern policy vil også være forskjellige. Eksempel nedenfor:
Hovedkontor
Lokal policy: 192.168.40.1
Ekstern policy: 192.168.70.1
Filialsted:
Lokal policy: 192.168.70.1
Ekstern policy: 192.168.40.1
- Hvis alt er konfigurert riktig og det ikke er problemer med tilkoblingen, andre innstillinger eller oppbygging, vil en VPN-tilkobling bli etablert automatisk umiddelbart etter lagring av innstillingene.
Manuell metode for oppsett av VPN
VPN Gateway - Hovedkontor innstillinger manuelt
- Logg inn på brannmuren til hovedkontoret via Web GUI
Gå til Konfigurasjon -> VPN -> VPN Ge -> Legg til
- Merk av i Aktiver-boksen
- Gi et tydelig navn
- Velg IKE-versjon
Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingsetablering, stabilitet, støtte mobilitet og øke effektiviteten i håndtering av nettverksendringer.
- Min adresse (grensesnitt) - setter din WAN-IP-adresse.
- Peer Gateway-adresse - Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialstedet. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren.)
- Forhånds-delt nøkkel - Lag et sterkt passord (du vil også bruke denne nøkkelen på den eksterne enheten).
- Fase 1-innstillinger - Sett Fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe.
VPN-tunnel - Hovedkontor innstillinger manuelt
Konfigurasjon > VPN > IPSec VPN > VPN-tilkobling > Legg til
Det første du må gjøre er å opprette et objekt for “Ekstern policy” ved å klikke “Opprett nytt objekt” og velge “IPV4-adresse.”
- Navn - skriv inn et tydelig navn
- Adressetype - “SUBNET”
- Nettverk - det lokale nettverksadressen til det eksterne stedet
- Netmask - subnettmaske for det eksterne stedet
- Klikk deretter “OK”
Nå kan vi fortsette å fylle ut de andre feltene.
- Merk av i Aktiver-boksen
- Gi et tydelig navn
- Velg Site-To-Site VPN
- VPN Gateway - Velg VPN-gatewayen opprettet i forrige steg
- Lokal policy og ekstern policy vil være forskjellige.
- Fase 2-innstillinger - Sett Fase 2-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe.
- Klikk "Ok"
Nå kan vi begynne å konfigurere filialstedet. For å gjøre dette, følg de samme trinnene som du gjorde for hovedkontoret, men med noen datavariasjoner.
VPN Gateway - Filialsted innstillinger manuelt
Konfigurasjon > VPN > IPSec VPN > VPN Gateway
Gjenta trinnene for hovedkontoret for å konfigurere VPN Gateway
- Når du konfigurerte VPN Gateway på brannmuren på hovedkontoret, spesifiserte du WAN-IP-en til filialstedet i feltet "Peer Gateway-adresse Statisk adresse”. Når du nå konfigurerer filialstedet, må du spesifisere WAN-IP-en til hovedkontoret i feltet "Peer Gateway-adresse Statisk adresse”.
- Forhånds-delt nøkkel - må være den samme for begge steder.
VPN-tunnel - Filialsted innstillinger manuelt
Konfigurasjon > VPN > IPSec VPN > VPN-tilkobling
Gjenta trinnene for hovedkontoret for å konfigurere VPN-tunnelen
- Bortsett fra noen få forskjeller: Når du konfigurerte hovedkontoret, spesifiserte du nettverket til filialstedet i Ekstern policy. Når du nå konfigurerer filialstedet, må du spesifisere nettverket til hovedkontoret i feltet Ekstern policy.
Merk av for "Nailed-Up"-alternativet for å etablere VPN-tunnelen og koble til automatisk.
Test resultatet
- Koble til VPN-tunnelen manuelt første gang. Etter det skal den skanne tilkoblingen og koble til automatisk.
- Du kan se at VPN-tunnelen er tilkoblet når jordklodesymbolet er grønt
Merk: Vennligst sjekk brannmurreglene dine for å sikre at standard IPSec-to-Device og IPSec-to-Any regler finnes.
Ellers kan trafikken mellom tunnelene bli blokkert.
Begrensning - Bruk av flere subnett
På Zyxel-brannmurer finnes det en begrensning hvor du ikke kan velge flere subnett i en VPN-tunnel. Lokal policy (subnett) og ekstern policy (subnett) kan kun konfigureres med ett subnett hver.
Konfigurer -> VPN -> IPSec VPN -> VPN-tilkobling -> Policy
For å omgå dette problemet kan du konfigurere en policy-rute for å rute andre subnett inn i tunnelen manuelt.
Opprett denne policy-ruten:
Merk! Det kan være nødvendig å rute svarpakker tilbake gjennom tunnelen på det eksterne stedet.
Feilsøking
Vanlige problemer og løsninger:
- Feil forhånds-delt nøkkel: Dobbeltsjekk den forhånds-delte nøkkelen på begge enheter.
- Feil subnett-konfigurasjon: Sørg for at riktige lokale og eksterne subnett er konfigurert i VPN-innstillingene.
- Fase 1 og fase 2-innstillinger:
Nøkkelinnstillinger som må sjekkes for å sikre at de er like på begge steder
- Autentiseringsmetode: Vanligvis brukes en forhånds-delt nøkkel.
- Krypteringsalgoritme: Vanlige alternativer inkluderer AES (128/256 bits), 3DES.
- Hash-algoritme: Vanligvis SHA-256, SHA-512 eller SHA-1.
- DH-gruppe (Diffie-Hellman-gruppe): Sikrer sikker nøkkelutveksling (f.eks. gruppe 2, gruppe 14).
- Levetid:
For mer detaljerte instruksjoner om feilsøking, se linken:
Zyxel-brannmur [VPN] - Feilsøking av Site-to-Site VPN [Frittstående modus]

Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.