Zyxel brannmur VPN - Konfigurer IPSec Site-To-Site VPN på Zyxel brannmur i frittstående modus

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Denne guiden vil lede deg gjennom oppsett av en Site-to-Site (S2S) VPN mellom to brannmurer ved bruk av IKEv2 IPSec. Vi dekker både manuell konfigurasjon og bruk av en innebygd veiviser, samt hvordan konfigurere VPN for å håndtere flere subnett innen samme tunnel.

Hvis du leter etter andre VPN-scenarier, tips og triks, kan du se på følgende artikler:

Generelt:

Nebula:

Et kontor ønsker å koble sikkert til hovedkontoret via Internett. Begge kontorene har en USG / ZyWall / ATP / USG FLEX for tilgang til Internett.

Merk: Før du begynner å konfigurere VPN, må du sørge for at begge stedene ikke har samme subnett. Å konfigurere en VPN mellom steder med samme subnett på begge sider er teknisk mulig, men det er ikke enkelt og kan føre til komplikasjoner på grunn av overlappende IP-adresser. Når begge stedene har samme subnett, kan det føre til rutekonflikter fordi VPN-en ikke vet hvilken side trafikken skal sendes til når den ser en IP-adresse som finnes på begge steder.

Veiviser-metode for oppsett av VPN

Den enkleste og mest praktiske metoden for å etablere en Site-to-Site-tilkobling er ved å bruke den innebygde veiviseren. I det første eksemplet i denne artikkelen vil vi veilede deg gjennom prosessen. Hvis du har hatt problemer med manuell konfigurasjon av VPN, kan du bruke veiviseren for å sette opp VPN og sammenligne innstillingene for feilsøking.

Innstillinger for hovedkontoret (veiviser)

  • Logg inn på brannmurens web-GUI for hovedkontoret og gå til delen Quick Setup Wizard i venstremenyen.
  • Klikk på "VPN Setup"

Du kan velge mellom Express (VPN med standardverdier) eller Advanced (manuell innstilling av kryptering osv.). For å gi et eksempel i denne artikkelen har vi valgt "Advanced"-alternativet.

  • Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, raskere tilkoblingsetablering, stabilitet, støtte for mobilitet og økt effektivitet i håndtering av nettverksendringer.
  • Gi et forståelig navn og velg Site-to-Site VPN.
  • Klikk "Next"

Fase 1-innstillinger

  • På neste side, skriv inn “Secure Gateway”. Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialkontoret. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN IP-adressen til denne brannmuren.)
  • Sett fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 for nøkkelgruppe.

Fase 2-innstillinger

  • Sørg for at fase 2-innstillingene er de samme som fase 1-innstillingene (dvs. AES256, SHA512).
  • Lokal policy og ekstern policy - Lokal og ekstern policy definerer hvilken trafikk som krypteres i en site-to-site VPN, og sikrer sikker, effektiv og korrekt rutet kommunikasjon mellom nettverk.

    Merk: Sjekk først at IP-adressen til det eksterne subnettet ikke allerede finnes i det lokale subnettet for å unngå dobbel IP-adressekonfigurasjon. Når det eksterne subnettet er likt et lokalt subnett, vil du bare kunne nå det lokale nettverket.
  • Når all data er korrekt fylt inn, klikk “Next”, sjekk alle innstillinger igjen, klikk "Save" og fortsett med å konfigurere den andre brannmuren.

Innstillinger for filialkontoret (veiviser)

Du må følge nøyaktig samme prosedyre for brannmuren på det andre kontoret. Hovedforskjellen er bare noen innstillinger.

  • Gateway IP må spesifiseres som WAN-IP-en til enheten på hovedkontoret
  • Lokal policy og ekstern policy vil også være forskjellige. Eksempel nedenfor:
    Hovedkontor
    Lokal policy: 192.168.40.1
    Ekstern policy: 192.168.70.1
    Filialkontor:
    Lokal policy: 192.168.70.1
    Ekstern policy: 192.168.40.1
  • Hvis alt er konfigurert riktig og det ikke er problemer med tilkoblingen, andre innstillinger eller oppsett, vil en VPN-tilkobling bli etablert automatisk umiddelbart etter lagring av innstillingene.

Manuell metode for oppsett av VPN

VPN Gateway - Manuelle innstillinger for hovedkontoret

  • Logg inn på brannmurens web-GUI for hovedkontoret
Gå til Configuration -> VPN -> VPN Ge -> Add
  • Merk av for Enable
  • Gi et tydelig navn
  • Velg IKE-versjon

Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerhet, raskere tilkoblingsetablering, stabilitet, støtte for mobilitet og økt effektivitet i håndtering av nettverksendringer.

  • Min adresse (grensesnitt) - setter din WAN IP-adresse.
  • Peer Gateway Address - Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialkontoret. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN IP-adressen til denne brannmuren.)
  • Pre-Shared Key - Lag et sterkt passord (du vil også bruke denne nøkkelen på den eksterne enheten).
  • Fase 1-innstillinger - Sett fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 for nøkkelgruppe. 

VPN-tunnel - Manuelle innstillinger for hovedkontoret

Configuration > VPN > IPSec VPN > VPN Connection > Add

Det første du må gjøre er å opprette et objekt for “Remote Policy” ved å klikke “Create New Object” og velge “IPV4 Address.”

  • Navn - skriv inn et tydelig navn
  • Adresse-type - “SUBNET”
  • Nettverk - det lokale nettverksadressen til det eksterne stedet
  • Netmask - subnettmasken til det eksterne stedet
  • Klikk deretter “OK

Nå kan vi fortsette å fylle ut de andre feltene.

  • Merk av for Enable
  • Gi et tydelig navn
  • Velg Site-To-Site VPN
  • VPN Gateway - Velg VPN-gatewayen opprettet i forrige steg
  • Lokal policy og ekstern policy vil være forskjellige.
  • Fase 2-innstillinger - Sett fase 2-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 for nøkkelgruppe. 
  • Klikk "Ok"

Nå kan vi begynne å konfigurere filialkontoret. Følg de samme stegene som for hovedkontoret, men med noen dataendringer.

VPN Gateway - Manuelle innstillinger for filialkontoret

Configuration > VPN > IPSec VPN > VPN Gateway

Gjenta stegene for hovedkontoret for å konfigurere VPN Gateway

  • Når du konfigurerte VPN Gateway på brannmuren ved hovedkontoret, spesifiserte du WAN-IP-en til filialkontoret i feltet "Peer Gateway Address Static Address”. Når du konfigurerer filialkontoret, må du spesifisere WAN-IP-en til hovedkontoret i feltet "Peer Gateway Address Static Address”.
  • Pre-Shared Key - må være den samme for begge stedene.

VPN-tunnel - Manuelle innstillinger for filialkontoret

Configuration > VPN > IPSec VPN > VPN Connection

Gjenta stegene for hovedkontoret for å konfigurere VPN-tunnelen

  • Bortsett fra noen få forskjeller, da du konfigurerte hovedkontoret, spesifiserte du nettverket på filialkontoret i Remote Policy. Når du konfigurerer filialkontoret, må du spesifisere nettverket fra hovedkontoret i Remote Policy-feltet.

Merk av for "Nailed-Up"-alternativet for å etablere VPN-tunnelen og koble til automatisk.

Test resultatet

  • Koble til VPN-tunnelen manuelt første gang. Deretter skal den automatisk skanne tilkoblingen og koble til på nytt.
  • Du kan se at VPN-tunnelen er tilkoblet når jordklodesymbolet er grønt.

 

Merk: Vennligst sjekk brannmurreglene dine for å sikre at standard IPSec-to-Device og IPSec-to-Any regler eksisterer.
Ellers kan trafikken mellom tunnelene bli blokkert.
Screenshot_2021-05-26_173435.png

Begrensning - Bruk flere subnett

På Zyxel-brannmurer er det en begrensning hvor du ikke kan velge flere subnett i en VPN-tunnel. Lokal policy (subnett) og ekstern policy (subnett) kan kun konfigureres med ett subnett hver.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

For å omgå dette problemet kan du konfigurere en policy-rute for å rute andre subnett inn i tunnelen manuelt.

Opprett denne policy-ruten:

Merk! Det kan være nødvendig å rute svarpakkene tilbake gjennom tunnelen på det eksterne stedet.

Feilsøking

Vanlige problemer og løsninger:

  • Feil pre-shared key: Dobbeltsjekk pre-shared key på begge enheter.
  • Feil subnett-konfigurasjon: Sørg for at riktige lokale og eksterne subnett er konfigurert i VPN-innstillingene.
  • Fase 1 og fase 2-innstillinger:

Nøkkelinnstillinger som må sjekkes for å sikre at de er like på begge steder

  • Autentiseringsmetode: Vanligvis brukes pre-shared key.
  • Krypteringsalgoritme: Vanlige alternativer inkluderer AES (128/256 bits), 3DES.
  • Hash-algoritme: Vanligvis SHA-256, SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman-gruppe): Sikrer sikker nøkkelutveksling (f.eks. gruppe 2, gruppe 14).
  • Levetid: 

For mer detaljerte instruksjoner om feilsøking, se lenken:

Zyxel brannmur [VPN] - Feilsøking av Site-to-Site VPN [Frittstående modus]
 

 

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
10 av 19 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.