Zyxel Firewall VPN - Konfiguracja IPSec Site-To-Site VPN na Zyxel Firewall w trybie Stand-alone

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ten przewodnik przeprowadzi Cię przez proces konfiguracji VPN Site-to-Site (S2S) pomiędzy dwoma zaporami sieciowymi, korzystając z IKEv2 IPSec. Omówimy zarówno konfigurację ręczną, jak i użycie wbudowanego kreatora, a także jak skonfigurować VPN do obsługi wielu podsieci w jednym tunelu.

Jeśli szukasz innych scenariuszy VPN, wskazówek i trików, zapoznaj się z następującymi artykułami:

Ogólne:

Nebula:

Biuro chce bezpiecznie połączyć się ze swoją siedzibą główną przez Internet. Oba biura mają urządzenia USG / ZyWall / ATP / USG FLEX do dostępu do internetu.

Uwaga: Przed rozpoczęciem konfiguracji VPN upewnij się, że oba miejsca nie mają takich samych podsieci. Konfiguracja VPN między lokalizacjami z tymi samymi podsieciami jest technicznie możliwa, ale nie jest łatwa i może prowadzić do komplikacji z powodu nakładających się adresów IP. Gdy obie strony mają taką samą podsieć, może to prowadzić do konfliktów routingu, ponieważ VPN nie będzie wiedział, na którą stronę wysłać ruch, gdy zobaczy adres IP istniejący w obu lokalizacjach.

Konfiguracja VPN za pomocą kreatora

Najprostsza i najwygodniejsza metoda na ustanowienie połączenia Site-to-Site to użycie wbudowanego kreatora. W pierwszym przykładzie tego artykułu przeprowadzimy Cię przez ten proces. Ponadto, jeśli miałeś problemy podczas ręcznej konfiguracji VPN, możesz użyć kreatora do ustawienia VPN i porównać ustawienia w celu diagnozy problemów.

Ustawienia siedziby głównej (kreator)

  • Zaloguj się do Web GUI zapory w siedzibie głównej i przejdź do sekcji Quick Setup Wizard w lewym menu.
  • Kliknij „VPN Setup”

Możesz wybrać pomiędzy Express (VPN z domyślnymi wartościami) lub Advanced (ręczne ustawienie kryptografii itd.). Dla przykładu w tym artykule wybraliśmy opcję „Advanced”.

  • Zdecydowanie zalecamy używanie IKEv2 zamiast IKEv1, aby poprawić bezpieczeństwo, przyspieszyć nawiązywanie połączenia, stabilność, wspierać mobilność oraz zwiększyć efektywność obsługi zmian w sieci.
  • Podaj zrozumiałą nazwę i wybierz Site-to-Site VPN.
  • Kliknij „Next”

Ustawienia fazy 1

  • W następnym kroku wpisz „Secure Gateway” – jest to adres WAN drugiej zapory, w tym przypadku adres IP oddziału (Branch site). (Podczas konfigurowania drugiej zapory musisz wpisać adres WAN tej zapory.)
  • Ustaw propozycje fazy 1 według uznania. Ze względów bezpieczeństwa wybierz silne hasło oraz propozycje z dobrą szyfrowaniem i uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania oraz DH14 dla grupy kluczy.

Ustawienia fazy 2

  • Upewnij się, że ustawienia fazy 2 są takie same jak w fazie 1 (np. AES256, SHA512).
  • Polityka lokalna i zdalna – Polityki lokalne i zdalne definiują, jaki ruch jest szyfrowany w VPN site-to-site, zapewniając bezpieczną, efektywną i poprawnie trasowaną komunikację między sieciami.

    Uwaga: Najpierw sprawdź, czy adres IP zdalnej podsieci nie występuje już w podsieci lokalnej, aby uniknąć podwójnej konfiguracji adresu IP. Gdy zdalna podsieć jest podobna do jednej z lokalnych, będziesz mógł dotrzeć tylko do sieci lokalnej.
  • Po poprawnym wprowadzeniu wszystkich danych kliknij „Next”, ponownie sprawdź wszystkie ustawienia, kliknij „Save” i przejdź do konfiguracji drugiej zapory.

Ustawienia oddziału (kreator)

Należy postępować dokładnie tak samo z zaporą w drugim biurze. Główna różnica dotyczy tylko niektórych ustawień.

  • Adres Gateway musi być ustawiony jako adres WAN urządzenia w siedzibie głównej (HQ Site).
  • Polityka lokalna i zdalna będą również różne. Przykład poniżej:
    Siedziba główna (HQ Site)
    Polityka lokalna: 192.168.40.1
    Polityka zdalna: 192.168.70.1
    Oddział (Branch Site):
    Polityka lokalna: 192.168.70.1
    Polityka zdalna: 192.168.40.1
  • Jeśli wszystko zostało poprawnie skonfigurowane i nie ma problemów z połączeniem, innymi ustawieniami ani konstrukcją, połączenie VPN zostanie automatycznie nawiązane zaraz po zapisaniu ustawień.

Ręczna konfiguracja VPN

VPN Gateway – ręczne ustawienia siedziby głównej (HQ Site)

  • Zaloguj się do Web GUI zapory w siedzibie głównej
Przejdź do Configuration -> VPN -> VPN Ge -> Add
  • Zaznacz pole Enable
  • Podaj jasną nazwę
  • Wybierz wersję IKE

Zdecydowanie zalecamy używanie IKEv2 zamiast IKEv1, aby poprawić bezpieczeństwo, przyspieszyć nawiązywanie połączenia, stabilność, wspierać mobilność oraz zwiększyć efektywność obsługi zmian w sieci.

  • My Address (Interfejs) – ustawia Twój adres WAN.
  • Peer Gateway Address – to adres WAN drugiej zapory, w tym przypadku adres IP oddziału (Branch site). (Podczas konfigurowania drugiej zapory musisz wpisać adres WAN tej zapory.)
  • Pre-Shared Key – utwórz silne hasło (to samo klucz użyjesz na urządzeniu zdalnym).
  • Ustawienia fazy 1Ustaw propozycje fazy 1 według uznania. Ze względów bezpieczeństwa wybierz silne hasło oraz propozycje z dobrą szyfrowaniem i uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania oraz DH14 dla grupy kluczy. 

VPN Tunnel – ręczne ustawienia siedziby głównej (HQ Site)

Configuration > VPN > IPSec VPN > VPN Connection > Add

Pierwszą rzeczą, którą musisz zrobić, jest utworzenie obiektu dla „Remote Policy” klikając „Create New Object” i wybierając „IPV4 Address”.

  • Nazwa – wpisz jasną nazwę
  • Typ adresu – „SUBNET”
  • Sieć – adres lokalnej sieci zdalnego miejsca
  • Maska sieci – maska podsieci zdalnego miejsca
  • Następnie kliknij „OK

Teraz możemy kontynuować wypełnianie pozostałych pól.

  • Zaznacz pole Enable
  • Podaj jasną nazwę
  • Wybierz Site-To-Site VPN
  • VPN Gateway – wybierz VPN Gateway utworzony w poprzednim kroku
  • Polityka lokalna i zdalna będą różne.
  • Ustawienia fazy 2Ustaw propozycje fazy 2 według uznania. Ze względów bezpieczeństwa wybierz silne hasło oraz propozycje z dobrą szyfrowaniem i uwierzytelnianiem, takie jak AES256 dla szyfrowania, SHA512 dla uwierzytelniania oraz DH14 dla grupy kluczy. 
  • Kliknij „Ok

Teraz możemy rozpocząć konfigurację oddziału (Branch site). Aby to zrobić, postępuj według tych samych kroków co dla siedziby głównej, ale z pewnymi zmianami danych.

VPN Gateway – ręczne ustawienia oddziału (Branch Site)

Configuration > VPN > IPSec VPN > VPN Gateway

Powtórz kroki z HQ, aby skonfigurować VPN Gateway

  • Podczas konfiguracji VPN Gateway na zaporze w siedzibie głównej (HQ Site) w polu "Peer Gateway Address Static Address” wpisałeś adres WAN oddziału (Branch site). Teraz podczas konfiguracji oddziału musisz wpisać adres WAN siedziby głównej w polu "Peer Gateway Address Static Address”.
  • Pre-Shared Key – musi być taki sam dla obu lokalizacji.

VPN Tunnel – ręczne ustawienia oddziału (Branch Site)

Configuration > VPN > IPSec VPN > VPN Connection

Powtórz kroki z HQ, aby skonfigurować VPN Tunnel

  • Poza kilkoma różnicami, podczas konfiguracji HQ określiłeś sieć oddziału w polu Remote Policy. Teraz podczas konfiguracji oddziału musisz określić sieć z HQ w polu Remote Policy.

Zaznacz opcję "Nailed-Up", aby tunel VPN był nawiązywany i łączył się automatycznie.

Testowanie wyniku

  • Połącz tunel VPN ręcznie za pierwszym razem. Następnie powinien on automatycznie sprawdzać łączność i łączyć się ponownie.
  • Możesz zobaczyć, że tunel VPN jest połączony, gdy symbol ziemi jest zielony.

 

Uwaga: Sprawdź reguły zapory, aby upewnić się, że istnieją domyślne reguły IPSec-to-Device i IPSec-to-Any.
W przeciwnym razie ruch między tunelami może zostać zablokowany.
Screenshot_2021-05-26_173435.png

Ograniczenie – użycie wielu podsieci

Na zaporach Zyxel istnieje ograniczenie polegające na tym, że nie można wybrać wielu podsieci w jednym tunelu VPN. Polityka lokalna (podsiec) oraz polityka zdalna (podsiec) mogą być skonfigurowane tylko z jedną podsiecią każda.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Aby obejść ten problem, możesz ręcznie skonfigurować trasę polityki (policy route), która przekieruje inne podsieci do tunelu.

Utwórz tę trasę polityki:

Uwaga! Może być konieczne skierowanie pakietów odpowiedzi z powrotem przez tunel po stronie zdalnej.

Rozwiązywanie problemów

Typowe problemy i rozwiązania:

  • Nieprawidłowy Pre-shared Key: Sprawdź dokładnie klucz pre-shared na obu urządzeniach.
  • Nieprawidłowa konfiguracja podsieci: Upewnij się, że poprawne podsieci lokalne i zdalne są skonfigurowane w ustawieniach VPN.
  • Ustawienia fazy 1 i fazy 2:

Kluczowe ustawienia, które należy sprawdzić, aby były takie same po obu stronach

  • Metoda uwierzytelniania: Zazwyczaj używany jest pre-shared key.
  • Algorytm szyfrowania: Popularne opcje to AES (128/256 bitów), 3DES.
  • Algorytm skrótu (hash): Zazwyczaj SHA-256 lub SHA-512 lub SHA-1.
  • Grupa DH (Diffie-Hellman): Zapewnia bezpieczną wymianę kluczy (np. grupa 2, grupa 14).
  • Czas życia (Lifetime):

Aby uzyskać bardziej szczegółowe instrukcje dotyczące rozwiązywania problemów, zobacz link:

Zyxel Firewall [VPN] - Rozwiązywanie problemów z Site-to-Site VPN [tryb Stand-alone]
 

 

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 10 z 19
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.