Hvordan konfigurere ruting for L2TP over IPSec-klienter til et fjernkontor via en IPSec-tunnel på ZyWALL USG-seriens maskinvare-gatewayer?
(Bruker ZyWALL USG 50 som eksempel)
La oss vurdere følgende topologi:
Det er 2 kontorer, A og B (hvert kontor har en ZyWALL USG-serie maskinvare-gateway installert). De er koblet sammen via en IPSec VPN-tunnel. Eksterne L2TP over IPSec-klienter kobler til hvert kontor via Internett.
Oppgaven: konfigurer ruting slik at alle L2TP over IPSec-klienter kan få tilgang til det lokale subnettet til kontorene A og B, uavhengig av hvilket kontor klienten kobler til.
Kjernen i konfigurasjonen er å lage to ruter på begge sikkerhets-gatewayene:
1. All trafikk (med hvilken som helst kilde-IP-adresse) rettet mot det eksterne subnettet skal rutes inn i IPSec VPN-tunnelen. Denne ruten er nødvendig fordi IP-adressene til L2TP over IPSec-klientene ikke er innenfor området spesifisert i VPN Connections for forbindelsen mellom de to kontorene. Trafikken vil ikke automatisk rutes inn i tunnelen.
2. Den andre ruten vil instruere gatewayen om at trafikk med destinasjons-IP-adresser fra det eksterne L2TP over IPSec-klientområdet skal sendes gjennom IPSec-tunnelen mellom kontorene, eller trafikk ment for eksterne L2TP over IPSec-klienter skal rutes via IPSec-tunnelen mellom kontorene. Uten denne ruten vil ikke svar på forespørsler bli levert.
La oss gå gjennom parameterne for vår testoppsett:
| ZyWALL USG 50 (Kontor A) | ZyWALL USG 100 (Kontor B) |
wan1: 10.0.0.2 (i et reelt oppsett bør dette være en global statisk IP-adresse) | wan1: 10.0.1.2 (i et reelt oppsett bør dette være en global statisk IP-adresse) |
Konfigurering av ZyWALL USG 50 fra Kontor A
For å konfigurere grensesnitt, gå til Configuration > Network > Interface og velg fanen Ethernet.
For å opprette objektene som trengs for rutekonfigurasjon, gå til Configuration > Object > Address.
I tillegg til subnettene for L2TP over IPSec-klienter, må du også opprette et objekt av typen INTERFACE IP for wan1-grensesnittet og et objekt av typen SUBNET som definerer det eksterne subnettet til Kontor B. Dette er nødvendig for å konfigurere L2TP over IPSec-tunnelen og IPSec-tunnelen mellom kontorene.
L2TP over IPSec-tunnelen og IPSec-tunnelen mellom kontorene skal konfigureres i Configuration > VPN > IPSec VPN > VPN Gateway og Configuration > VPN > IPSec VPN > VPN Connection.
For å konfigurere ruteregler, gå til Configuration > Network > Routing > Policy Route.
Innstillinger for den første ruten:
Innstillinger for den andre ruten:
Deretter må du konfigurere brannmuren. For å konfigurere brannmurregler, gå til Configuration > Network > Firewall.
I vårt oppsett er hovedbetingelsen for å tillate pakker gjennom brannmuren å binde begge tunnelene til samme sone, hvor trafikk mellom grensesnitt i sonen er tillatt (Block Intra-zone – nei).
Det bør også være regler som tillater trafikk fra denne sonen til det lokale nettverket og fra det lokale nettverket til denne sonen.
Konfigurering av ZyWALL USG 100 fra Kontor B
For å konfigurere grensesnitt, gå til Configuration > Network > Interface og velg fanen Ethernet.
For å opprette objektene som trengs for rutekonfigurasjon, gå til Configuration > Object > Address.
I tillegg til subnettene for L2TP over IPSec-klienter, må du også opprette et objekt av typen INTERFACE IP for wan1-grensesnittet og et objekt av typen SUBNET som definerer det eksterne subnettet til Kontor A. Dette er nødvendig for å konfigurere L2TP over IPSec-tunnelen og IPSec-tunnelen mellom kontorene.
L2TP over IPSec-tunnelen og IPSec-tunnelen mellom kontorene skal konfigureres i Configuration > VPN > IPSec VPN > VPN Gateway og Configuration > VPN > IPSec VPN > VPN Connection.
For å konfigurere ruteregler, gå til Configuration > Network > Routing > Policy Route.
Innstillinger for den første ruten:
Innstillinger for den andre ruten:
Deretter må du konfigurere brannmuren. For å konfigurere brannmurregler, gå til Configuration > Network > Firewall.
I vårt oppsett er hovedbetingelsen for å tillate pakker gjennom brannmuren å binde begge tunnelene til samme sone, hvor trafikk mellom grensesnitt i sonen er tillatt (Block Intra-zone – nei).
Det bør også være regler som tillater trafikk fra denne sonen til det lokale nettverket og fra det lokale nettverket til denne sonen.
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.