Zyxel-brannmur VPN - Konfigurer IPSec Site-To-Site VPN på Zyxel-brannmur i frittstående modus

Denne veiledningen vil lede deg gjennom oppsett av en Site-to-Site (S2S) VPN mellom to brannmurer ved bruk av IKEv2 IPSec. Vi dekker både manuell konfigurasjon og bruk av en innebygd veiviser, samt hvordan konfigurere VPN-en til å håndtere flere subnett innenfor samme tunnel.

Hvis du er på jakt etter andre VPN-scenarier, tips og triks, kan du se på følgende artikler:

Generelt:

Et kontor ønsker å koble seg sikkert til hovedkontoret via Internett. Begge kontorene har en USG / ZyWall / ATP / USG FLEX for internettilgang.

Merk: Før du begynner å konfigurere VPN-en, må du sørge for at begge stedene ikke har de samme subnettene. Det er teknisk mulig å konfigurere en VPN mellom steder med samme subnett på begge sider, men det er ikke enkelt og kan føre til komplikasjoner på grunn av overlappende IP-adresser. Når begge steder har samme subnett, kan dette føre til rutingskonflikter fordi VPN-en ikke vet hvilken side den skal sende trafikk til når den ser en IP-adresse som finnes på begge steder.

Veiviser-metode for oppsett av VPN

Den enkleste og mest praktiske metoden for å etablere en Site-to-Site-forbindelse er å bruke den innebygde veiviseren. I det første eksemplet i denne artikkelen vil vi guide deg gjennom prosessen. Hvis du har hatt problemer med manuell konfigurasjon av VPN, kan du bruke veiviseren til å sette opp VPN-en og sammenligne innstillingene for feilsøking.

Innstillinger for hovedkontoret (veiviser)

  • Logg inn på brannmuren til hovedkontoret via Web GUI og gå til delen for hurtigoppsett i venstremenyen.
  • Klikk på "VPN Setup"

Du kan velge mellom Express (VPN med standardverdier) eller Avansert (manuell innstilling av kryptografi osv.). For eksempelet i denne artikkelen har vi valgt "Avansert"-alternativet.

  • Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingsetablering, stabilitet, støtte mobilitet og øke effektiviteten i håndtering av nettverksendringer.
  • Gi et forståelig navn og velg Site-to-Site VPN.
  • Klikk "Neste"

Fase 1-innstillinger

  • I neste steg, skriv inn “Sikker gateway”. Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialstedet. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren.)
  • Sett Fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe.

Fase 2-innstillinger

  • Sørg for at fase 2-innstillingene er de samme som fase 1-innstillingene (dvs. AES256, SHA512).
  • Lokal policy og ekstern policy - Lokale og eksterne policyer definerer hvilken trafikk som krypteres i en site-to-site VPN, og sikrer sikker, effektiv og korrekt rutet kommunikasjon mellom nettverk.

    Merk: Vennligst sjekk først at IP-adressen til den eksterne subnettet ikke allerede finnes i det lokale subnettet for å unngå dobbel IP-adressekonfigurasjon. Når den eksterne subnettet er lik en lokal subnett, vil du kun kunne nå det lokale nettverket.
  • Når alle data er korrekt fylt inn, klikk “Neste”, sjekk alle innstillinger på nytt, klikk "Lagre" og fortsett med å konfigurere den andre brannmuren.

Innstillinger for filialstedet (veiviser)

Du må følge nøyaktig samme prosedyre for brannmuren på det andre kontoret. Den viktigste forskjellen er bare noen få innstillinger.

  • Gateway-IP må spesifiseres som WAN-IP-en til enheten på hovedkontoret
  • Lokal policy og ekstern policy vil også være forskjellige. Eksempel nedenfor:
    Hovedkontor
    Lokal policy: 192.168.40.1
    Ekstern policy: 192.168.70.1
    Filialsted:
    Lokal policy: 192.168.70.1
    Ekstern policy: 192.168.40.1
  • Hvis alt er konfigurert riktig og det ikke er problemer med tilkoblingen, andre innstillinger eller oppbygging, vil en VPN-tilkobling bli etablert automatisk umiddelbart etter lagring av innstillingene.

Manuell metode for oppsett av VPN

VPN Gateway - Hovedkontor innstillinger manuelt

  • Logg inn på brannmuren til hovedkontoret via Web GUI
Gå til Konfigurasjon -> VPN -> VPN Ge -> Legg til
  • Merk av i Aktiver-boksen
  • Gi et tydelig navn
  • Velg IKE-versjon

Vi anbefaler sterkt å bruke IKEv2 i stedet for IKEv1 for å forbedre sikkerheten, øke hastigheten på tilkoblingsetablering, stabilitet, støtte mobilitet og øke effektiviteten i håndtering av nettverksendringer.

  • Min adresse (grensesnitt) - setter din WAN-IP-adresse.
  • Peer Gateway-adresse - Dette er WAN-adressen til din andre brannmur; i dette tilfellet er det IP-adressen til filialstedet. (Når du begynner å konfigurere den andre brannmuren, må du fylle inn WAN-IP-adressen til denne brannmuren.)
  • Forhånds-delt nøkkel - Lag et sterkt passord (du vil også bruke denne nøkkelen på den eksterne enheten).
  • Fase 1-innstillinger - Sett Fase 1-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe. 

VPN-tunnel - Hovedkontor innstillinger manuelt

Konfigurasjon > VPN > IPSec VPN > VPN-tilkobling > Legg til

Det første du må gjøre er å opprette et objekt for “Ekstern policy” ved å klikke “Opprett nytt objekt” og velge “IPV4-adresse.”

  • Navn - skriv inn et tydelig navn
  • Adressetype - “SUBNET”
  • Nettverk - det lokale nettverksadressen til det eksterne stedet
  • Netmask - subnettmaske for det eksterne stedet
  • Klikk deretter “OK

Nå kan vi fortsette å fylle ut de andre feltene.

  • Merk av i Aktiver-boksen
  • Gi et tydelig navn
  • Velg Site-To-Site VPN
  • VPN Gateway - Velg VPN-gatewayen opprettet i forrige steg
  • Lokal policy og ekstern policy vil være forskjellige.
  • Fase 2-innstillinger - Sett Fase 2-forslag som ønsket. Av sikkerhetsgrunner, velg et sterkt passord og forslag med god kryptering/autentisering, som AES256 for kryptering, SHA512 for autentisering og DH14 som nøkkelgruppe. 
  • Klikk "Ok"

Nå kan vi begynne å konfigurere filialstedet. For å gjøre dette, følg de samme trinnene som du gjorde for hovedkontoret, men med noen datavariasjoner.

VPN Gateway - Filialsted innstillinger manuelt

Konfigurasjon > VPN > IPSec VPN > VPN Gateway

Gjenta trinnene for hovedkontoret for å konfigurere VPN Gateway

  • Når du konfigurerte VPN Gateway på brannmuren på hovedkontoret, spesifiserte du WAN-IP-en til filialstedet i feltet "Peer Gateway-adresse Statisk adresse”. Når du nå konfigurerer filialstedet, må du spesifisere WAN-IP-en til hovedkontoret i feltet "Peer Gateway-adresse Statisk adresse”.
  • Forhånds-delt nøkkel - må være den samme for begge steder.

VPN-tunnel - Filialsted innstillinger manuelt

Konfigurasjon > VPN > IPSec VPN > VPN-tilkobling

Gjenta trinnene for hovedkontoret for å konfigurere VPN-tunnelen

  • Bortsett fra noen få forskjeller: Når du konfigurerte hovedkontoret, spesifiserte du nettverket til filialstedet i Ekstern policy. Når du nå konfigurerer filialstedet, må du spesifisere nettverket til hovedkontoret i feltet Ekstern policy.

Merk av for "Nailed-Up"-alternativet for å etablere VPN-tunnelen og koble til automatisk.

Test resultatet

  • Koble til VPN-tunnelen manuelt første gang. Etter det skal den skanne tilkoblingen og koble til automatisk.
  • Du kan se at VPN-tunnelen er tilkoblet når jordklodesymbolet er grønt

 

Merk: Vennligst sjekk brannmurreglene dine for å sikre at standard IPSec-to-Device og IPSec-to-Any regler finnes.
Ellers kan trafikken mellom tunnelene bli blokkert.
Screenshot_2021-05-26_173435.png

Begrensning - Bruk av flere subnett

På Zyxel-brannmurer finnes det en begrensning hvor du ikke kan velge flere subnett i en VPN-tunnel. Lokal policy (subnett) og ekstern policy (subnett) kan kun konfigureres med ett subnett hver.

Konfigurer -> VPN -> IPSec VPN -> VPN-tilkobling -> Policy

For å omgå dette problemet kan du konfigurere en policy-rute for å rute andre subnett inn i tunnelen manuelt.

Opprett denne policy-ruten:

Merk! Det kan være nødvendig å rute svarpakker tilbake gjennom tunnelen på det eksterne stedet.

Feilsøking

Vanlige problemer og løsninger:

  • Feil forhånds-delt nøkkel: Dobbeltsjekk den forhånds-delte nøkkelen på begge enheter.
  • Feil subnett-konfigurasjon: Sørg for at riktige lokale og eksterne subnett er konfigurert i VPN-innstillingene.
  • Fase 1 og fase 2-innstillinger:

Nøkkelinnstillinger som må sjekkes for å sikre at de er like på begge steder

  • Autentiseringsmetode: Vanligvis brukes en forhånds-delt nøkkel.
  • Krypteringsalgoritme: Vanlige alternativer inkluderer AES (128/256 bits), 3DES.
  • Hash-algoritme: Vanligvis SHA-256, SHA-512 eller SHA-1.
  • DH-gruppe (Diffie-Hellman-gruppe): Sikrer sikker nøkkelutveksling (f.eks. gruppe 2, gruppe 14).
  • Levetid: 

For mer detaljerte instruksjoner om feilsøking, se linken:

Zyxel-brannmur [VPN] - Feilsøking av Site-to-Site VPN [Frittstående modus]
 

 

Artikler i denne seksjonen

Var denne artikkelen nyttig?
10 av 19 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.