Zyxel H Series Firewall [next-hop in Policy Routes] De ce VPN-ul bazat pe rute înlocuiește VPN-ul bazat pe politici - și de ce este un lucru bun

Odată cu introducerea sistemului de operare Zyxel UOS și lansarea noii serii H, Zyxel a modernizat modul în care sunt gestionate conexiunile VPN. Spre deosebire de dispozitivele din generația anterioară, cum ar fi seriile USG și ATP, seria H nu mai acceptă utilizarea tunelurilor VPN ca next-hop în Policy Routes.

Aceasta nu este o limitare, ci mai degrabă o schimbare către o arhitectură VPN modernă, bazată pe interfață, utilizând VPN bazat pe rute cu VTI (Virtual Tunnel Interface). Acest articol explică diferența dintre VPN bazat pe politici și VPN bazat pe rute și de ce această nouă abordare este considerată mai fiabilă, scalabilă și mai ușor de gestionat.

Avantajele VPN-ului bazat pe rute cu VTI pe Zyxel USG FLEX H

• Tunelurile VPN sunt create ca interfețe virtuale (VTI) și participă la rutare la fel ca porturile fizice.
• Nu este nevoie să definiți VPN ca next-hop în Policy Routes, reducând complexitatea configurației și riscul de configurare greșită.
• O mai bună integrare cu modelul de securitate bazat pe zone al Zyxel.

Scenariu:

• Sediul central utilizează mai multe subrețele interne:
  • 192.168.10.0/24 - Administrare
  • 192.168.20.0/24 - Contabilitate
  • 192.168.30.0/24 - Depozit
• Filiala are nevoie de acces la toate acestea prin VPN.

Probleme cu VPN-ul bazat pe politici:

• Necesită crearea unui tunel sau a unei politici separate pentru fiecare subrețea.
• Orice modificare a rețelei (de exemplu, o subrețea nouă) presupunea reconfigurarea manuală a politicilor și tunelurilor.

Utilizarea VTI pe USG FLEX H:

• Creați un singur tunel VPN între site-uri.
• Configurați rute statice standard:

dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office  

• Când se adaugă o nouă subrețea (de exemplu, 192.168.40.0/24) - este suficient să adăugați o rută, nu este necesară reconfigurarea VPN-ului.
• Controlul accesului este gestionat prin politici de securitate în locul logicii rutelor statice.

Configurarea tunelului VPN IPSec pentru uOS

Acest exemplu demonstrează cum să utilizați VPN Setup Wizard pentru a configura un tunel VPN site-to-site bazat pe rute cu un dispozitiv ZLD ca gateway peer, permițând accesul securizat între cele două site-uri odată ce tunelul este stabilit.

Navigați laVPN > IPSec VPN > Site to Site VPN > Add. și parcurgeți toți pașii asistentului și completați câmpurile corespunzătoare:

• Name (Nume):
• Versiunea IKE: IKEv2
• În câmpul My Address, selectați interfața WAN necesară
• În câmpul Peer Gateway Address, introduceți adresa IP publică a dispozitivului de la distanță (sucursală).
• Zona: IPSec_VPN
• Pentru Authentication Method, selectați Pre-Shared Key (PSK).

Sub Tip, selectați: Bazat pe rută.

1. În Remote Subnet, introduceți manual: 192.168.88.0/27.
2. În Interfața VTI, introduceți: 169.254.63.164/255.255.255.255.
3. Verificați dacă diagrama arată conexiunea de la interfața locală ge1 la IP-ul la distanță 93.159.250.211

Sub Phase 1 Settings (Setări fază 1) și Phase 2 Settings (Setări fază 2):

• Propunere: AES128 / SHA1
• DH Group (Grup DH): DH2 / DH14

Faceți clic pe OK.

• Configurați interfața VTI

Configurare > Rețea > Interfață > VTI

Configurați un tunel VPN IPSec pentru ZLD

Navigați la Configuration > VPN > IPSec VPN > VPN Gateway.

• Faceți clic pe Add (Adăugare) și bifați Enable (Activare).
• Introduceți numele gateway-ului VPN:
• Selectați versiunea IKE: IKEv2
• Sub My Address (Adresa mea): Alegeți Interface: ge1 (cu IP-ul dvs. public).
• Sub Peer Gateway Address: introduceți adresa IP publică a dispozitivului de la distanță (HQ)
• În Authentication (Autentificare): Alegeți Pre-Shared Key și introduceți aceeași cheie utilizată pe dispozitivul Flex.

• Configurați interfața VTI

Configurare > Rețea > Interfață > VTI