Ważna informacja: |
Artykuł zawiera przewodnik krok po kroku dotyczący konfigurowania tunelu VPN IPSec site-to-site za pomocą Kreatora konfiguracji VPN na urządzeniach ZyWALL/USG. Wyjaśnia, jak skonfigurować tunel VPN między dwiema lokalizacjami, w tym jedną za routerem NAT, zapewniając bezpieczny dostęp. Proces obejmuje użycie kreatora ustawień VPN do utworzenia reguły VPN z domyślnymi ustawieniami faz, konfigurację bezpiecznych adresów IP bramy oraz ustawienie lokalnych i zdalnych zasad. Obejmuje również kroki weryfikacyjne w celu przetestowania funkcjonalności tunelu i rozwiązania potencjalnych problemów, które mogą się pojawić, takich jak niedopasowane ustawienia lub konfiguracje zasad bezpieczeństwa.
Konfiguracja tunelu ZyWALL/USG IPSec VPN sieci korporacyjnej (HQ)
1. W ZyWALL / USG użyj kreatora ustawień VPN , aby utworzyć regułę VPN, która może być używana z FortiGate. Kliknij Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Witamy
2. Wybierz opcję Express, aby utworzyć regułę VPN z domyślnymi ustawieniami fazy 1 i fazy 2 oraz użyć wstępnie udostępnionego klucza jako metody uwierzytelniania. Kliknij Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora
3. Wpisz nazwę reguły używaną do identyfikacji tego połączenia VPN (i bramy VPN). Można użyć od 1 do 31 znaków alfanumerycznych. Wielkość liter ma znaczenie. Wybierz regułę jako Site-to-site. Kliknij przycisk Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora > Ustawienia VPN (scenariusz)
4. Skonfiguruj Secure Gateway IP jako adres IP WAN oddziału (w przykładzie 172.100.30.40). Następnie wpisz bezpieczny klucz wstępny (8-32 znaki).
Ustaw Local Policy na zakres adresów IP sieci podłączonej do ZyWALL/USG (HQ), a Remote Policy na zakres adresów IP sieci podłączonej do ZyWALL/USG (Branch).
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora > Ustawienia VPN (konfiguracja)
5. Ten ekran zawiera podsumowanie tunelu VPN tylko do odczytu. Kliknij przycisk Zapisz.
Szybka konfiguracja > Kreator konfiguracji VPN > Witamy > Typ kreatora > Ustawienia VPN (Podsumowanie)
6. Teraz reguła jest skonfigurowana w ZyWALL/USG. Tutaj pojawią się ustawienia reguł fazy
Faza 1: VPN > IPSec VP N > VPN Gateway Faza 2: VPN > IPSec VPN > VPN Connection Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed.
7. Skonfiguruj Peer ID Type jako Any, aby ZyWALL/USG nie musiał sprawdzać tożsamości zdalnego routera IPSec.
KONFIGURACJA > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type.
Konfiguracja tunelu ZyWALL/USG IPSec VPN sieci korporacyjnej (oddział)
1. W ZyWALL/USG użyj kreatora ustawień VPN, aby utworzyć regułę VPN, która może być używana z FortiGate. Kliknij Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Witamy
2. Wybierz opcję Express, aby utworzyć regułę VPN z domyślnymi ustawieniami fazy 1 i fazy 2 oraz użyć wstępnie udostępnionego klucza jako metody uwierzytelniania. Kliknij Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora
3. Wpisz nazwę reguły używaną do identyfikacji tego połączenia VPN (i bramy VPN). Można użyć od 1 do 31 znaków alfanumerycznych. Wielkość liter ma znaczenie. Wybierz regułę jako Site-to-site. Kliknij przycisk Dalej.
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora > Ustawienia VPN (scenariusz)
4. Skonfiguruj Secure Gateway IP jako adres IP WAN oddziału (w przykładzie 172.100.20.30). Następnie wpisz bezpieczny klucz wstępny (8-32 znaki).
Ustaw Local Policy jako zakres adresów IP sieci podłączonej do ZyWALL/USG (HQ) i Remote Policy jako zakres adresów IP sieci podłączonej do ZyWALL/USG (Branch).
Szybka konfiguracja > Kreator konfiguracji VPN > Typ kreatora > Ustawienia VPN (konfiguracja)
5. Ten ekran zawiera podsumowanie tunelu VPN tylko do odczytu. Kliknij przycisk Zapisz.
Szybka konfiguracja > Kreator konfiguracji VPN > Witamy > Typ kreatora > Ustawienia VPN (Podsumowanie)
6. Teraz reguła jest skonfigurowana w ZyWALL/USG. Tutaj pojawią się ustawienia reguł fazy
Faza 1: VPN > IPSec VP N > VPN Gateway Faza 2: VPN > IP Sec VPN > VPN Connection Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed.
7. Skonfiguruj Peer ID Type jako Any, aby ZyWALL/USG nie musiał sprawdzać tożsamości zdalnego routera IPSec.
KONFIGURACJA> VPN> IPSec VPN> Brama VPN> Pokaż ustawienia zaawansowane> Uwierzytelnianie> Typ identyfikatora rówieśnika
Konfiguracja routera NAT (w tym przykładzie przy użyciu urządzenia ZyWALL USG)
Uwaga: Te ustawienia należy zastosować tylko wtedy, gdy jedna z zapór sieciowych znajduje się za NAT. Ustawienia te należy skonfigurować na routerze NAT umieszczonym przed zaporą, którym może być router dostawcy usług internetowych lub główny router w sieci biurowej. Poniżej przedstawiamy przykład na przykładzie jednego z naszych urządzeń - ma to jedynie charakter poglądowy.
1. Wybierz interfejs przychodzący, na którym mają być odbierane pakiety dla reguły NAT. Określ pole User-Defined Original IP i wpisz przetłumaczony docelowy adres IP obsługiwany przez tę regułę NAT.
KONFIGURACJA > Sieć > NAT > Dodaj
2. Przekazywanie IP musi być włączone w zaporze sieciowej dla następujących protokołów IP i portów UDP:
Protokół IP = 50 → Używany przez ścieżkę danych (ESP)
Protokół IP = 51 → Używany przez ścieżkę danych (AH)
Numer portu UDP = 500 → Używany przez IKE (ścieżka kontrolna IPSec)
Numer portu UDP = 4500 → Używany przez NAT-T (IPsec NAT traversal)
KONFIGURACJA > Polityka bezpieczeństwa > Kontrola polityki
WERYFIKACJA:
Test tunelu IPSec VPN
1. Przejdź do CONFIGURATION > VPN > IPSec VPN > VPN Connection.
Kliknij Połącz na górnym pasku. Ikona Status connect świeci się, gdy interfejs jest połączony.
2. Sprawdź czas działania tunelu i ruch przychodzący (bajty) / wychodzący (bajty).
MONITOR > VPN Monitor > IPSec
3. Aby sprawdzić, czy tunel działa, wykonaj połączenie ping z komputera w jednej lokalizacji do komputera w drugiej lokalizacji. Upewnij się, że oba komputery mają dostęp do Internetu (za pośrednictwem urządzeń IPSec).
Komputer za ZyWALL/USG (centrala) > Windows 7 > cmd > ping 192.168.20.33
Komputer za ZyWALL/USG (oddział) > Windows 7 > cmd > ping 10.10.10.33
Co może pójść nie tak?
1. Jeśli zobaczysz poniższy komunikat dziennika [info] lub [error], sprawdź ustawienia ZyWALL / USG Phase 1. Zarówno ZyWALL / USG w centrali, jak i w oddziałach muszą używać tego samego klucza wstępnego, szyfrowania, metody uwierzytelniania, grupy kluczy DH i typu identyfikatora w celu ustanowienia IKE SA.
MONITOR > Log
2. Jeśli widzisz, że proces fazy 1 IKE SA został zakończony, ale nadal otrzymujesz poniższy komunikat dziennika [info], sprawdź ustawienia fazy 2 ZyWALL / USG. Zarówno ZyWALL / USG w centrali, jak i w oddziałach muszą używać tego samego protokołu, enkapsulacji, szyfrowania, metody uwierzytelniania i PFS do ustanowienia IKE SA.
MONITOR > Log
3. Upewnij się, że zasady bezpieczeństwa ZyWALL/USG w centrali i oddziale zezwalają na ruch IPSec VPN. IKE używa portu UDP 500, AH używa protokołu IP 51, a ESP używa protokołu IP 50.
4. Domyślnie NAT traversal jest włączony w ZyWALL / USG, upewnij się, że zdalne urządzenie IPSec musi również mieć włączone NAT traversal.