Zyxel H Series Firewall [next-hop in Policy Routes] Why Route-Based VPN Replaces Policy-Based VPN - And Why That's a Good Thing (VPN oparty na trasach zastępuje VPN oparty na zasadach - i dlaczego to dobrze)

Wraz z wprowadzeniem systemu operacyjnego Zyxel UOS i wydaniem nowej serii H, Zyxel zmodernizował sposób obsługi połączeń VPN. W przeciwieństwie do urządzeń wcześniejszej generacji, takich jak USG i ATP, seria H nie obsługuje już używania tuneli VPN jako następnego punktu w Policy Routes.

Nie jest to ograniczenie, ale raczej przesunięcie w kierunku nowoczesnej, opartej na interfejsie architektury VPN wykorzystującej VPN oparty na trasach z VTI (Virtual Tunnel Interface). W tym artykule wyjaśniono różnicę między VPN opartym na zasadach i VPN opartym na trasach oraz dlaczego to nowe podejście jest uważane za bardziej niezawodne, skalowalne i łatwiejsze w zarządzaniu.

Korzyści z VPN opartego na trasach z VTI na Zyxel USG FLEX H

• Tunele VPN są tworzone jako interfejsy wirtualne (VTI ) i uczestniczą w routingu tak jak porty fizyczne.
• Nie ma potrzeby definiowania VPN jako następnego punktu w Policy Routes, co zmniejsza złożoność konfiguracji i ryzyko błędnej konfiguracji.
• Lepsza integracja ze strefowym modelem bezpieczeństwa Zyxel.

Scenariusz:

• Centrala używa wielu wewnętrznych podsieci:
  • 192.168.10.0/24 - Administracja
  • 192.168.20.0/24 - księgowość
  • 192.168.30.0/24 - Magazyn
• Oddział firmy potrzebuje dostępu do wszystkich z nich za pośrednictwem sieci VPN.

Problemy z siecią VPN opartą na zasadach:

• Wymaga utworzenia oddzielnego tunelu lub polityki dla każdej podsieci.
• Każda zmiana sieci (np. nowa podsieć) oznaczała ręczną rekonfigurację polityk i tuneli.

Korzystanie z VTI na USG FLEX H:

• Tworzysz pojedynczy tunel VPN między lokalizacjami.
• Skonfiguruj standardowe trasy statyczne:

dst: 192.168.10.0/24 → przez VTI-Office dst: 192.168.20.0/24 → przez VTI-Office dst: 192.168.30.0/24 → przez VTI-Office  

• Po dodaniu nowej podsieci (np. 192.168.40.0/24) - wystarczy dodać trasę, bez konieczności rekonfiguracji VPN.
• Kontrola dostępu jest zarządzana za pomocą polityk bezpieczeństwa zamiast logiki tras statycznych.

Konfiguracja tunelu IPSec VPN dla uOS

W tym przykładzie pokazano, jak używać Kreatora konfiguracji VPN do konfigurowania tunelu VPN opartego na trasach między lokalizacjami z urządzeniem ZLD jako bramą równorzędną, umożliwiając bezpieczny dostęp między dwiema lokalizacjami po ustanowieniu tunelu.

Przejdź doVPN > IPSec VPN > Site to Site VPN > Add. i przejdź przez wszystkie kroki kreatora i wypełnij odpowiednie pola:

• Nazwa:
• IKE Version: IKEv2
• W polu My Address wybierz wymagany interfejs WAN.
• W polu Peer Gateway Address wprowadź publiczny adres IP urządzenia zdalnego (oddziału).
• Strefa: IPSec_VPN
• W polu Authentication Method (Metoda uwierzytelniania) wybierz Pre-Shared Key (PSK).

W polu Typ wybierz: Route-Based.

1. W polu Remote Subnet wprowadź ręcznie: 192.168.88.0/27.
2. W polu VTI Interface wpisz: 169.254.63.164/255.255.255.255.
3. Sprawdź, czy diagram pokazuje połączenie z lokalnego interfejsu ge1 do zdalnego adresu IP 93.159.250.211.

W Ustawieniach fazy 1 i Ustawieniach fazy 2:

• Propozycja: AES128 / SHA1
• DH Group: DH2 / DH14

Kliknij przycisk OK.

• Konfiguracja interfejsu VTI

Konfiguracja > Sieć > Interfejs > VTI

Konfiguracja tunelu IPSec VPN dla ZLD

Przejdź do Configuration > VPN > IPSec VPN > VPN Gateway.

• Kliknij Dodaj i zaznacz Włącz.
• Wprowadź nazwę bramy VPN:
• Wybierz IKE Version: IKEv2
• Pod Mój adres: Wybierz Interface: ge1 (z publicznym adresem IP).
• W polu Peer Gateway Address: wprowadź publiczny adres IP urządzenia zdalnego (HQ).
• W Authentication (Uwierzytelnianie): Wybierz Pre-Shared Key i wprowadź ten sam klucz używany na urządzeniu Flex.

• Skonfiguruj interfejs VTI

Konfiguracja > Sieć > Interfejs > VTI