Zyxel brannmur H-serien – Tailscale VPN

Zapory sieciowe Zyxel z serii USG FLEX H obsługują teraz integrację z Tailscale, zewnętrznym rozwiązaniem VPN, które umożliwia bezpieczne, szyfrowane połączenia peer-to-peer między urządzeniami i sieciami. Zapewnia to użytkownikom elastyczną i skalowalną opcję VPN oprócz wbudowanych funkcji VPN firmy Zyxel.

Należy pamiętać, że chociaż seria USG FLEX H jest kompatybilna z Tailscale, nie zawiera licencji Tailscale. Użytkownicy, którzy chcą korzystać z usług Tailscale, muszą uzyskać licencję bezpośrednio od Tailscale.

Czym jest Tailscale VPN?

Tailscale to nowoczesne, bezpieczne rozwiązanie VPN typu peer-to-peer, zaprojektowane w celu ułatwienia i usprawnienia komunikacji między urządzeniami. W przeciwieństwie do tradycyjnych sieci VPN, które opierają się na scentralizowanych serwerach i skomplikowanych konfiguracjach, Tailscale wykorzystuje architekturę sieci kratowej do bezpośredniego i bezpiecznego łączenia urządzeń — bez potrzeby stosowania statycznych adresów IP, przekierowywania portów lub skomplikowanych reguł zapory sieciowej.

Tailscale opiera się na protokole WireGuard, który zapewnia szybką, szyfrowaną komunikację między urządzeniami — nawet jeśli znajdują się one za routerami NAT.

Pierwsze kroki z Tailscale na zaporze sieciowej

1. Utwórz konto
   Odwiedź bazę wiedzy Tailscale, aby zarejestrować się i rozpocząć korzystanie z konta Tailscale.
2. Wygeneruj klucz uwierzytelniający
   Po zalogowaniu się przejdź do Ustawienia → Ustawienia osobiste → Klucze i kliknij Generuj klucz uwierzytelniający. Klucz ten służy do uwierzytelniania zapory sieciowej lub innych urządzeń podczas łączenia się z siecią Tailscale.

3. Nadaj dowolną nazwę opisu i wyłącz opcję „Reusable” (Wielokrotnego użytku) ze względów bezpieczeństwa, a następnie kliknij „Generate key” (Generuj klucz).

Skopiuj klucz.

4. Zaloguj się do zapory sieciowej i przejdź do „VPN -> Tailscale”, wklej klucz w polu „Klucze uwierzytelniające”.

• Jeśli chcesz zmienić klucz, kliknij Wyloguj.
• Możesz samodzielnie wybrać strefę. Zalecamy użycie strefy Tailscale dla niektórych predefiniowanych reguł.

5. Wróć do strony administratora Tailscale. Zobaczysz urządzenie Firewall.

Kliknij „Disable key expiry” (Wyłącz wygasanie klucza) dla wszystkich klientów, aby zapobiec utracie połączenia po wygaśnięciu.

Scenariusz

Mamy dwie podsieci, 192.168.168.0/24 i 192.168.160.0/24, które znajdują się za zaporami ogniowymi. Zarówno zapory ogniowe, jak i klient A są częścią sieci VPN Tailscale. Cele są następujące:

Przypadek 1: Zezwól klientowi A na dostęp do podsieci 192.168.168.0/24 i 192.168.160.0/24
1. Ogłoszono 192.168.168.0/24 w zaporze ogniowej A.

2. Ogłoszono 192.168.160.0/24 w zaporze sieciowej B.

3. Upewnij się, że obie podsieci zostały zatwierdzone w portalu Tailscale.

Sprawdź wynik
Teraz klient A wie, jak kierować ruch i może uzyskać dostęp do adresów 192.168.168.1 i 192.168.160.1.

Przypadek 2: Zezwól klientowi A na dostęp do Internetu przez zaporę

1. Weźmy jako przykład zaporę A. Włącz „Exit Node” i „Default SNAT”.

2. Upewnij się, że węzeł wyjściowy został włączony w portalu Tailscale.

3. Klient A musi wybrać zaporę ogniową A jako węzeł wyjściowy.

Przetestuj wynik
Ruch internetowy zostanie wysłany do zapory sieciowej A.

Przypadek 3: Urządzenia w podsieciach 192.168.168.0/24 i 192.168.160.0/24 mogą się ze sobą komunikować
Po skonfigurowaniu reklamowanych sieci można się ze sobą komunikować.
Sprawdź wynik
Test ping z zapory sieciowej A

Test ping z zapory sieciowej B