Routing klientów L2TP over IPSec do zdalnego biura przez tunel IPSec na bramkach sprzętowych ZyWALL USG

Jak skonfigurować routing dla klientów L2TP over IPSec do zdalnego biura przez tunel IPSec na sprzętowych bramkach ZyWALL USG serii?

(Jako przykład użyto ZyWALL USG 50)

Rozważmy następującą topologię:

Są 2 biura, A i B (w każdym biurze zainstalowana jest sprzętowa bramka ZyWALL USG serii). Są one połączone tunelem VPN IPSec. Zdalni klienci L2TP over IPSec łączą się z każdym biurem przez Internet.
Zadanie: skonfigurować routing tak, aby wszyscy klienci L2TP over IPSec mieli dostęp do lokalnej podsieci biur A i B, niezależnie od tego, do którego biura klient się łączy.

Istota konfiguracji sprowadza się do utworzenia dwóch tras na obu bramkach bezpieczeństwa:
1. Cały ruch (z dowolnych adresów IP źródłowych) skierowany do zdalnej podsieci będzie kierowany do tunelu VPN IPSec. Ta trasa jest konieczna, ponieważ adresy IP klientów L2TP over IPSec nie mieszczą się w zakresie określonym w Połączenia VPN dla połączenia między dwoma biurami. Ruch nie będzie automatycznie kierowany do tunelu.
2. Druga trasa poinformuje bramkę, że ruch z docelowymi adresami IP z zdalnego zakresu klientów L2TP over IPSec powinien być wysyłany przez tunel IPSec między biurami, lub ruch przeznaczony dla zdalnych klientów L2TP over IPSec powinien być kierowany przez tunel IPSec między biurami. Bez tej trasy odpowiedzi na zapytania nie będą dostarczane.

Przyjrzyjmy się parametrom naszego testowego środowiska:

Konfiguracja ZyWALL USG 50 z Biura A

Aby skonfigurować interfejsy, przejdź do Konfiguracja > Sieć > Interfejs i wybierz zakładkę Ethernet.

Aby utworzyć obiekty potrzebne do konfiguracji routingu, przejdź do Konfiguracja > Obiekt > Adres.

Oprócz podsieci dla klientów L2TP over IPSec, należy także utworzyć obiekt typu INTERFEJS IP dla interfejsu wan1 oraz obiekt typu PODSIEĆ definiujący zdalną podsieć Biura B. Jest to konieczne do konfiguracji tunelu L2TP over IPSec oraz tunelu IPSec między biurami.

Tunel L2TP over IPSec oraz tunel IPSec między biurami powinny być skonfigurowane w Konfiguracja > VPN > IPSec VPN > Brama VPN oraz Konfiguracja > VPN > IPSec VPN > Połączenie VPN.

Aby skonfigurować reguły routingu, przejdź do Konfiguracja > Sieć > Routing > Trasa polityki.

Ustawienia pierwszej trasy:

Ustawienia drugiej trasy:

Następnie należy skonfigurować zaporę sieciową. Aby skonfigurować reguły zapory, przejdź do Konfiguracja > Sieć > Zapora.
W naszej konfiguracji głównym warunkiem przepuszczania pakietów przez zaporę jest przypisanie obu tuneli do tej samej strefy, gdzie ruch między interfejsami w strefie jest dozwolony (Blokuj ruch wewnątrz strefy – nie). 
Powinny też istnieć reguły zezwalające na ruch z tej strefy do sieci lokalnej oraz z sieci lokalnej do tej strefy.

Konfiguracja ZyWALL USG 100 z Biura B

Aby skonfigurować interfejsy, przejdź do Konfiguracja > Sieć > Interfejs i wybierz zakładkę Ethernet.

Aby utworzyć obiekty potrzebne do konfiguracji routingu, przejdź do Konfiguracja > Obiekt > Adres.

Oprócz podsieci dla klientów L2TP over IPSec, należy także utworzyć obiekt typu INTERFEJS IP dla interfejsu wan1 oraz obiekt typu PODSIEĆ definiujący zdalną podsieć Biura A. Jest to konieczne do konfiguracji tunelu L2TP over IPSec oraz tunelu IPSec między biurami.

Tunel L2TP over IPSec oraz tunel IPSec między biurami powinny być skonfigurowane w Konfiguracja > VPN > IPSec VPN > Brama VPN oraz Konfiguracja > VPN > IPSec VPN > Połączenie VPN.

Aby skonfigurować reguły routingu, przejdź do Konfiguracja > Sieć > Routing > Trasa polityki.

Ustawienia pierwszej trasy:

Ustawienia drugiej trasy:

Następnie należy skonfigurować zaporę sieciową. Aby skonfigurować reguły zapory, przejdź do Konfiguracja > Sieć > Zapora.
W naszej konfiguracji głównym warunkiem przepuszczania pakietów przez zaporę jest przypisanie obu tuneli do tej samej strefy, gdzie ruch między interfejsami w strefie jest dozwolony (Blokuj ruch wewnątrz strefy – nie). 
Powinny też istnieć reguły zezwalające na ruch z tej strefy do sieci lokalnej oraz z sieci lokalnej do tej strefy.