Zyxel Firewall [VPN] - Konfiguracja IPSec Site-To-Site VPN na Zyxel Firewall [tryb autonomiczny]

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Ten przewodnik przeprowadzi Cię przez konfigurację VPN Site-to-Site (S2S) między dwiema zaporami ogniowymi przy użyciu IKEv2 IPSec. Omówimy zarówno konfigurację ręczną, jak i użycie wbudowanego kreatora, a także sposób konfiguracji VPN do obsługi wielu podsieci w tym samym tunelu.

Jeśli szukasz innych scenariuszy VPN, porad i wskazówek, zajrzyj do następujących artykułów:

Ogólne:

Nebula:

Biuro chce bezpiecznie połączyć się ze swoją siedzibą główną przez Internet. Oba biura mają USG / ZyWall / ATP / USG FLEX, aby uzyskać dostęp do Internetu.

Uwaga: Przed rozpoczęciem konfigurowania sieci VPN należy upewnić się, że obie lokalizacje nie mają tych samych podsieci. Konfiguracja sieci VPN między witrynami z tą samą podsiecią po obu stronach jest technicznie możliwa, ale nie jest łatwa i może prowadzić do komplikacji z powodu nakładających się adresów IP. Gdy obie lokalizacje mają tę samą podsieć, może to prowadzić do konfliktów routingu, ponieważ VPN nie będzie wiedział, do której strony wysłać ruch, gdy zobaczy adres IP, który istnieje w obu lokalizacjach.

Metoda kreatora konfiguracji VPN

Najprostszą i najwygodniejszą metodą ustanowienia połączenia Site-to-Site jest użycie wbudowanego kreatora. W pierwszym przykładzie tego artykułu przeprowadzimy Cię przez ten proces. Ponadto, jeśli miałeś problemy podczas ręcznej konfiguracji VPN, możesz użyć kreatora, aby skonfigurować VPN i porównać ustawienia w celu rozwiązania problemów.

Ustawienia witryny HQ (Wizzard)

  • Zaloguj się do internetowego interfejsu GUI zapory sieciowej HQ Site i przejdź do sekcji Kreator szybkiej konfiguracji w menu po lewej stronie.
  • Kliknij "Ustawienia VPN"

Możesz wybrać między opcją Express (VPN z domyślnymi wartościami) lub Advanced (ręczne ustawianie kryptografii itp.). Na potrzeby tego artykułu wybraliśmy opcję "Zaawansowane".

  • Zdecydowanie zalecamy korzystanie z IKEv2 zamiast IKEv1 w celu poprawy bezpieczeństwa, szybkości nawiązywania połączenia, stabilności, obsługi mobilności i zwiększenia wydajności obsługi zmian w sieci.
  • Nadaj zrozumiałą nazwę i wybierz Site-to-Site VPN.
  • Kliknij "Dalej"

Ustawienia fazy 1

  • Następnie wprowadź "Secure Gateway" Jest to adres Wan drugiej zapory sieciowej; w tym przypadku jest to adres IP oddziału. (Kiedy zaczniesz konfigurować drugą zaporę, będziesz musiał wpisać adres IP WAN tej zapory). )
  • Ustaw propozycje fazy 1 zgodnie z potrzebami. Ze względów bezpieczeństwa należy wybrać silne hasło i propozycje z dobrym szyfrowaniem/uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania i DH14 dla grupy kluczy.

Ustawienia fazy 2

  • Upewnij się, że ustawienia fazy 2 są takie same jak ustawienia fazy 1. (tj. AES256, SHA512)
  • Zasady lokalne i zdalne - zasady lokalne i zdalne określają, który ruch jest szyfrowany w sieci VPN typu site-to-site, zapewniając bezpieczną, wydajną i prawidłowo kierowaną komunikację między sieciami.

    Uwaga: Należy najpierw sprawdzić, czy adres IP zdalnej podsieci nie istnieje już w podsieci lokalnej, aby uniknąć podwójnej konfiguracji adresu IP. Jeśli podsieć zdalna jest podobna do podsieci lokalnej, możliwe będzie połączenie tylko z siecią lokalną.
  • Po poprawnym wprowadzeniu wszystkich danych, kliknij"Dalej", sprawdź ponownie wszystkie ustawienia, kliknij"Zapisz" i przejdź do konfiguracji drugiej zapory sieciowej.

Ustawienia witryny oddziału (Wizzard)

Należy wykonać dokładnie tę samą procedurę dla zapory sieciowej w drugim biurze. Główna różnica dotyczy tylko niektórych ustawień.

  • Adres IP bramy musi być określony jako adres IP WAN urządzenia w siedzibie głównej.
  • Polityka lokalna i polityka zdalna również będą się różnić. Przykład poniżej:
    Siedziba główna
    Polityka lokalna: 192.168.40.1
    Polityka zdalna: 192.168.70.1
    Oddział:
    Zasady lokalne: 192.168.70.1
    Zasady zdalne: 192.168.40.1
  • Jeśli wszystko zostało poprawnie skonfigurowane i nie ma problemów z połączeniem, innymi ustawieniami lub konstrukcją, połączenie VPN zostanie nawiązane automatycznie natychmiast po zapisaniu ustawień.

Metoda ręczna Konfiguracja VPN

Brama VPN - instrukcja ustawień dla siedziby głównej

  • Zaloguj się do internetowego interfejsu GUI zapory sieciowej witryny HQ
dyn_repppp_0
  • Zaznacz pole wyboru Enable (Włącz )
  • Nadaj wyraźną nazwę
  • Wybierz wersję IKE

Zdecydowanie zalecamy korzystanie z IKEv2 zamiast IKEv1 w celu poprawy bezpieczeństwa, szybkości nawiązywania połączenia, stabilności, wsparcia mobilności i zwiększenia wydajności obsługi zmian w sieci.

  • My Address (Interface) - ustawia adres IP sieci WAN.
  • Peer Gateway Address (Adres bramy równorzędnej ) - jest to adres WAN drugiej zapory; w tym przypadku jest to adres IP oddziału. (Kiedy zaczniesz konfigurować drugą zaporę, będziesz musiał wpisać adres IP WAN tej zapory).
  • Pre-Shared Key - Utwórz silne hasło (będziesz również używać tego klucza na urządzeniu zdalnym).
  • Ustawienia fazy 1 - ustaw propozycje fazy 1 zgodnie z potrzebami. Ze względów bezpieczeństwa wybierz silne hasło i propozycje z dobrym szyfrowaniem/uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania i DH14 dla grupy kluczy.

Tunel VPN - instrukcja ustawień w siedzibie głównej

dyn_repppp_1

Pierwszą rzeczą, którą musisz zrobić, jest utworzenie obiektu dla "Remote Policy", klikając "Create New Object" i wybierając "IPV4 Address".

  • Nazwa - wprowadź wyraźną nazwę
  • Typ adresu - "SUBNET"
  • Network - adres sieci lokalnej zdalnej lokalizacji
  • Netmask - maska podsieci lokalizacji zdalnej
  • Następnie kliknij "OK"

Teraz możemy kontynuować wypełnianie pozostałych pól.

  • Zaznacz pole wyboru Włącz
  • Nadaj wyraźną nazwę
  • Wybierz Site-To-Site VPN
  • Brama VPN - wybierz bramę VPN utworzoną w poprzednim kroku.
  • Polityka lokalna i polityka zdalna będą się różnić.
  • Ustawienia fazy 2 - ustaw propozycje fazy 2 zgodnie z potrzebami. Ze względów bezpieczeństwa wybierz silne hasło i propozycje z dobrym szyfrowaniem/uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania i DH14 dla grupy kluczy.
  • Kliknij "Ok"

Teraz możemy rozpocząć konfigurację witryny oddziału. Aby to zrobić, wykonaj te same kroki, co w przypadku lokalizacji HQ, ale z pewnymi zmianami danych.

VPN Gateway - Podręcznik ustawień oddziału

dyn_repppp_2

Powtórz kroki z centrali, aby skonfigurować VPN Gateway

  • Podczas konfigurowania bramy VPN na zaporze sieciowej w siedzibie głównej, w polu "Adres statycznybramy równorzędnej " określono adres IP WAN oddziału. Teraz, podczas konfigurowania lokalizacji oddziału, należy określić adres IP WAN lokalizacji centrali w polu "Peer Gateway Address Static Address".
  • Pre-Shared Key - musi być taki sam dla obu lokalizacji.

Tunel VPN - Podręcznik ustawień lokalizacji oddziału

Configuration > VPN > IPSec VPN > VPN Connection

Powtórz kroki z centrali, aby skonfigurować tunel VPN

  • Z wyjątkiem kilku różnic, podczas konfigurowania lokalizacji HQ określono sieć w lokalizacji Branch w Remote Policy. Teraz, podczas konfigurowania lokalizacji oddziału, należy określić sieć z lokalizacji centrali w polu Remote Policy.

Zaznacz opcję "Nailed-Up", aby ustanowić tunel VPN i połączyć się automatycznie.

Przetestuj wynik

  • Połącz tunel VPN ręcznie za pierwszym razem. Następnie powinien on ponownie przeskanować łączność i połączyć się automatycznie.
  • Możesz zobaczyć, że tunel VPN jest połączony, gdy symbol ziemi jest zielony

Uwaga: Sprawdź reguły zapory sieciowej, aby upewnić się, że istnieją domyślne reguły IPSec-to-Device i IPSec-to-Any.
W przeciwnym razie ruch między tunelami może zostać zablokowany.
Screenshot_2021-05-26_173435.png

Ograniczenie - użycie kilku podsieci

W zaporach Zyxel istnieje ograniczenie, w którym nie można wybrać kilku podsieci w tunelu VPN. Lokalna polityka (podsieć) i zdalna polityka (podsieć) mogą być skonfigurowane tylko z jedną podsiecią.

dyn_repppp_4

Aby obejść ten problem, można skonfigurować trasę polityki, aby ręcznie kierować inne podsieci do tunelu.

Utwórz tę trasę zasad:

Uwaga! Może być konieczne przekierowanie pakietów odpowiedzi z powrotem przez tunel w lokalizacji zdalnej.

Rozwiązywanie problemów

Typowe problemy i rozwiązania:

  • Nieprawidłowy klucz wstępny: Należy dwukrotnie sprawdzić klucz wstępny na obu urządzeniach.
  • Nieprawidłowa konfiguracja podsieci: Upewnij się, że w ustawieniach VPN skonfigurowano prawidłowe podsieci lokalne i zdalne.
  • Ustawienia fazy 1 i fazy 2:

Ustawienia klucza, które należy sprawdzić, aby upewnić się, że są takie same w obu lokalizacjach.

  • Metoda uwierzytelniania: Zazwyczaj używany jest klucz wstępny.
  • Algorytm szyfrowania: Typowe opcje obejmują AES (128/256 bitów), 3DES.
  • Algorytm skrótu: Zazwyczaj SHA-256 lub SHA-512 lub SHA-1.
  • Grupa DH (grupa Diffiego-Hellmana): Zapewnia bezpieczną wymianę kluczy (np. Grupa 2, Grupa 14).
  • Żywotność:

Bardziej szczegółowe instrukcje dotyczące rozwiązywania problemów można znaleźć pod linkiem:

Zyxel Firewall [VPN] - Troubleshoot Site-to-Site VPN [Stand-alone mode]

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 10 z 19
Udostępnij