Notificare importantă: |
Articolul oferă un ghid pas cu pas privind configurarea unui tunel VPN IPSec site-to-site utilizând VPN Setup Wizard pe dispozitivele ZyWALL/USG. Acesta explică modul de configurare a tunelului VPN între două site-uri, inclusiv unul aflat în spatele unui router NAT, asigurând accesul securizat. Procesul implică utilizarea asistentului pentru setări VPN pentru a crea o regulă VPN cu setări de fază implicite, configurarea IP-urilor gateway securizate și setarea politicilor locale și la distanță. De asemenea, acoperă pașii de verificare pentru a testa funcționalitatea tunelului și abordează problemele potențiale care pot apărea, cum ar fi setările nepotrivite sau configurațiile politicilor de securitate.
Configurarea tunelului ZyWALL/USG IPSec VPN al rețelei corporative (HQ)
1. În ZyWALL/USG, utilizați expertul VPN Settings pentru a crea o regulă VPN care poate fi utilizată cu FortiGate. Faceți clic pe Next (Următorul).
Configurare rapidă > Asistent configurare VPN > Bine ați venit
2. Alegeți Express (Expres) pentru a crea o regulă VPN cu setările implicite pentru faza 1 și faza 2 și pentru a utiliza o cheie prepartajată ca metodă de autentificare. Faceți clic pe Next (Următor).
Quick Setup > VPN Setup Wizard > Wizard Type
3. Tastați numele regulii utilizat pentru a identifica această conexiune VPN (și gateway-ul VPN). Puteți utiliza 1-31 caractere alfanumerice. Această valoare este sensibilă la majuscule. Selectați ca regula să fie Site-to-site. Faceți clic pe Next (Următor).
Configurare rapidă > Asistent configurare VPN > Tip asistent > Setări VPN (Scenariu)
4. Configurați Secure Gateway IP ca adresă IP WAN a sucursalei (în exemplu, 172.100.30.40). Apoi, tastați o cheie precompartimentată sigură (8-32 caractere).
Setați Local Policy să fie intervalul de adrese IP al rețelei conectate la ZyWALL/USG (HQ) și Remote Policy să fie intervalul de adrese IP al rețelei conectate la ZyWALL/USG (Branch).
Configurare rapidă > Asistent configurare VPN > Tip asistent > Setări VPN (configurare)
5. Acest ecran oferă un rezumat de tip read-only al tunelului VPN. Faceți clic pe Save (Salvare).
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
6. Acum regula este configurată pe ZyWALL/USG. Setările regulilor de fază vor apărea aici
Faza 1: VPN > IPSec VPN > VPN Gateway Faza 2: VPN > IPSec VPN > Conexiune VPN Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
7. Configurați Peer ID Type ca Any pentru a permite ZyWALL/USG să nu verifice conținutul identității routerului IPSec de la distanță.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type
Configurarea tunelului VPN IPSec ZyWALL/USG al rețelei corporative (sucursală)
1. În ZyWALL/USG, utilizați expertul VPN Settings pentru a crea o regulă VPN care poate fi utilizată cu FortiGate. Faceți clic pe Next (Următor).
Configurare rapidă > Asistent configurare VPN > Bine ați venit
2. Alegeți Express (Expres) pentru a crea o regulă VPN cu setările implicite pentru faza 1 și faza 2 și pentru a utiliza o cheie prepartată ca metodă de autentificare. Faceți clic pe Next (Următor).
Quick Setup > VPN Setup Wizard > Wizard Type
3. Tastați numele regulii utilizat pentru a identifica această conexiune VPN (și gateway-ul VPN). Puteți utiliza 1-31 caractere alfanumerice. Această valoare este sensibilă la majuscule. Selectați ca regula să fie Site-to-site. Faceți clic pe Next (Următor).
Configurare rapidă > Asistent configurare VPN > Tip asistent > Setări VPN (Scenariu)
4. Configurați Secure Gateway IP ca adresă IP WAN a sucursalei (în exemplu, 172.100.20.30). Apoi, tastați o cheie precompartimentată sigură (8-32 caractere).
Setați Politica locală ca fiind intervalul de adrese IP al rețelei conectate la ZyWALL/USG (HQ) și Politica la distanță ca fiind intervalul de adrese IP al rețelei conectate la ZyWALL/USG (sucursală).
Configurare rapidă > Asistent configurare VPN > Tip asistent > Setări VPN (configurare)
5. Acest ecran oferă un rezumat de tip read-only al tunelului VPN. Faceți clic pe Save (Salvare).
Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)
6. Acum regula este configurată pe ZyWALL/USG. Setările regulilor de fază vor apărea aici
Faza 1 : VPN > IPSec VPN > VPN Gateway Faza 2: VPN > IPSec VPN > Conexiune VPN Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed
7. Configurați Peer ID Type ca Any pentru a permite ZyWALL/USG să nu verifice conținutul identității routerului IPSec de la distanță.
CONFIGURATION > VPN > IPSec VPN > VPN Gateway > Show Advanced Settings > Authentication > Peer ID Type
Configurați routerul NAT (utilizând dispozitivul ZyWALL USG în acest exemplu)
Notă: Aceste setări trebuie aplicate numai dacă unul dintre firewall-urile dvs. se află în spatele unui NAT. Aceste setări trebuie configurate pe routerul NAT poziționat înaintea firewall-ului, care ar putea fi routerul ISP sau routerul principal din rețeaua de birou. Mai jos, oferim un exemplu folosind unul dintre dispozitivele noastre - acesta este doar în scopuri de referință.
1. Selectați interfața de intrare pe care trebuie să fie primite pachetele pentru regula NAT. 2. Specificați câmpul User-Defined Original IP și tastați adresa IP de destinație tradusă pe care o acceptă această regulă NAT.
CONFIGURATION > Network > NAT > Add
2. Transmiterea IP trebuie să fie activată la firewall pentru următoarele protocoale IP și porturi UDP:
Protocol IP = 50 → Utilizat de calea de date (ESP)
Protocol IP = 51 → Utilizat de calea de date (AH)
Numărul portului UDP = 500 → Utilizat de IKE (calea de control IPSec)
Numărul portului UDP = 4500 → Utilizat de NAT-T (IPsec NAT traversal)
CONFIGURATION > Security Policy > Policy Control
VERIFICARE:
Testarea tunelului VPN IPSec
1. Mergeți la CONFIGURATION > VPN > IPSec VPN > VPN Connection
faceți clic pe Connect (Conectare) în bara superioară. Pictograma Status connect este aprinsă atunci când interfața este conectată.
2. Verificați timpul de funcționare al tunelului și traficul de intrare (Bytes)/ieșire (Bytes).
MONITOR > VPN Monitor > IPSec
3. Pentru a testa dacă un tunel funcționează sau nu, efectuați un ping de la un computer dintr-un site la un computer din celălalt. Asigurați-vă că ambele computere au acces la internet (prin intermediul dispozitivelor IPSec).
PC din spatele ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC-ul din spatele ZyWALL/USG (sucursală) > Window 7 > cmd > ping 10.10.10.33
Ce ar putea merge prost?
1. Dacă vedeți mesajul de log [info] sau [eroare] de mai jos, vă rugăm să verificați setările ZyWALL/USG Phase 1. Atât ZyWALL/USG de la sediul central, cât și de la sediul filialei trebuie să utilizeze aceeași cheie partajată, criptare, metodă de autentificare, grup de chei DH și tip ID pentru a stabili SA IKE.
MONITOR > Jurnal
2. Dacă vedeți că faza 1 a procesului IKE SA a fost finalizată, dar primiți în continuare mesajul de log [info] de mai jos, verificați setările fazei 2 ale ZyWALL/USG. Atât ZyWALL/USG de la sediul central, cât și de la sediile secundare trebuie să utilizeze același protocol, aceeași încapsulare, aceeași criptare, aceeași metodă de autentificare și același PFS pentru a stabili SA IKE.
MONITOR > Jurnal
3. Asigurați-vă că ambele politici de securitate ZyWALL/USG de la sediul central și de la sediul sucursalei permit traficul VPN IPSec. IKE utilizează portul UDP 500, AH utilizează protocolul IP 51, iar ESP utilizează protocolul IP 50.
4. Traversarea NAT implicită este activată pe ZyWALL/USG, asigurați-vă că dispozitivul IPSec de la distanță trebuie să aibă, de asemenea, traversarea NAT activată.