Firewall Zyxel VPN - Configurare VPN IPSec Site-To-Site pe Firewall Zyxel în modul Stand-alone

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Acest ghid vă va conduce pas cu pas în configurarea unui VPN Site-to-Site (S2S) între două firewall-uri folosind IKEv2 IPSec. Vom acoperi atât configurarea manuală, cât și utilizarea unui asistent încorporat, precum și modul de configurare a VPN-ului pentru a gestiona mai multe subrețele în același tunel.

Dacă căutați alte scenarii VPN, sfaturi și trucuri, consultați următoarele articole:

General:

Nebula:

Un birou dorește să se conecteze securizat la sediul central prin Internet. Ambele birouri au un USG / ZyWall / ATP / USG FLEX pentru acces la internet.

Notă: Înainte de a începe configurarea VPN-ului, asigurați-vă că ambele site-uri nu au aceleași subrețele. Configurarea unui VPN între site-uri cu aceeași subrețea pe ambele părți este tehnic posibilă, dar nu este ușoară și poate duce la complicații din cauza suprapunerii adreselor IP. Când ambele site-uri au aceeași subrețea, pot apărea conflicte de rutare deoarece VPN-ul nu va ști către care parte să trimită traficul când vede o adresă IP care există în ambele locații.

Metoda Asistentului pentru Configurarea VPN

Cea mai simplă și convenabilă metodă pentru a stabili o conexiune Site-to-Site este folosirea asistentului încorporat. În primul exemplu al acestui articol, vă vom ghida prin proces. De asemenea, dacă ați întâmpinat probleme în configurarea manuală a VPN-ului, puteți folosi asistentul pentru a configura VPN-ul și a compara setările în scopuri de depanare.

Setările Site-ului HQ (Asistent)

  • Conectați-vă la interfața web GUI a firewall-ului de la Site-ul HQ și accesați secțiunea Quick Setup Wizard din meniul din stânga.
  • Click pe „VPN Setup”

Puteți alege între Express (VPN cu valori implicite) sau Advanced (Setare manuală a criptografiei etc.). Pentru exemplul din acest articol, am ales opțiunea „Advanced”.

  • Recomandăm cu tărie utilizarea IKEv2 în loc de IKEv1 pentru a îmbunătăți securitatea, a accelera stabilirea conexiunii, a crește stabilitatea, a susține mobilitatea și a spori eficiența în gestionarea modificărilor de rețea.
  • Alegeți un nume clar și selectați Site-to-Site VPN.
  • Click pe „Next”

Setări Faza 1

  • În pasul următor, introduceți „Secure Gateway”. Aceasta este adresa WAN a celui de-al doilea firewall; în acest caz, este adresa IP a site-ului Branch. (Când începeți configurarea celui de-al doilea firewall, va trebui să completați adresa IP WAN a acestuia.)
  • Setați propunerile pentru Faza 1 după dorință. Din motive de securitate, alegeți o parolă puternică și propuneri cu criptare/autentificare bune, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru grupul de chei.

Setări Faza 2

  • Asigurați-vă că setările pentru faza 2 sunt aceleași ca și pentru faza 1 (de ex. AES256, SHA512)
  • Politica Locală și Politica Remote - Politicile locale și remote definesc ce trafic este criptat într-un VPN site-to-site, asigurând o comunicare securizată, eficientă și corect rutată între rețele.

    Notă: Verificați mai întâi dacă adresa IP a subrețelei remote nu există deja în subrețeaua locală pentru a evita configurarea dublă a adreselor IP. Când subrețeaua remote este similară cu una locală, veți putea accesa doar rețeaua locală.
  • După ce toate datele au fost introduse corect, faceți clic pe „Next”, verificați din nou toate setările, faceți clic pe „Save” și continuați configurarea celui de-al doilea firewall.

Setările Site-ului Branch (Asistent)

Trebuie să urmați exact aceeași procedură pentru firewall-ul din al doilea birou. Diferența principală este doar în unele setări.

  • IP Gateway trebuie specificat ca adresa WAN a dispozitivului din Site-ul HQ
  • Politica Locală și Politica Remote vor fi, de asemenea, diferite. Exemplu mai jos:
    Site HQ
    Politica Locală: 192.168.40.1
    Politica Remote: 192.168.70.1
    Site Branch:
    Politica Locală: 192.168.70.1
    Politica Remote: 192.168.40.1
  • Dacă totul a fost configurat corect și nu există probleme cu conexiunea, alte setări sau construcția, o conexiune VPN se va stabili automat imediat după salvarea setărilor.

Metoda Manuală pentru Configurarea VPN

VPN Gateway - Setări Manuale Site HQ

  • Conectați-vă la interfața web GUI a firewall-ului de la Site-ul HQ
Accesați Configuration -> VPN -> VPN Ge -> Add
  • Bifați caseta Enable
  • Introduceți un nume clar
  • Selectați versiunea IKE

Recomandăm cu tărie utilizarea IKEv2 în loc de IKEv1 pentru a îmbunătăți securitatea, a accelera stabilirea conexiunii, a crește stabilitatea, a susține mobilitatea și a spori eficiența în gestionarea modificărilor de rețea.

  • My Address (Interfață) - setează adresa ta IP WAN.
  • Peer Gateway Address - Aceasta este adresa WAN a celui de-al doilea firewall; în acest caz, este adresa IP a site-ului Branch. (Când începeți configurarea celui de-al doilea firewall, va trebui să completați adresa IP WAN a acestuia.)
  • Pre-Shared Key - Creați o parolă puternică (această cheie va fi folosită și pe dispozitivul remote).
  • Setări Faza 1 - Setați propunerile pentru Faza 1 după dorință. Din motive de securitate, alegeți o parolă puternică și propuneri cu criptare/autentificare bune, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru grupul de chei. 

VPN Tunnel - Setări Manuale Site HQ

Configuration > VPN > IPSec VPN > VPN Connection > Add

Primul lucru pe care trebuie să-l faceți este să creați un obiect pentru „Politica Remote” făcând clic pe „Create New Object” și selectând „IPV4 Address.”

  • Nume - introduceți un nume clar
  • Tip Adresă - „SUBNET”
  • Rețea - adresa rețelei locale a site-ului remote
  • Masca de rețea - masca subrețelei a site-ului remote
  • Apoi faceți clic pe „OK

Acum, putem continua să completăm celelalte câmpuri.

  • Bifați caseta Enable
  • Introduceți un nume clar
  • Selectați Site-To-Site VPN
  • VPN Gateway - Selectați VPN Gateway-ul creat în pasul anterior
  • Politica Locală și Politica Remote vor fi diferite.
  • Setări Faza 2 - Setați propunerile pentru Faza 2 după dorință. Din motive de securitate, alegeți o parolă puternică și propuneri cu criptare/autentificare bune, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru grupul de chei. 
  • Click pe "Ok"

Acum, putem începe configurarea site-ului Branch. Pentru aceasta, urmați aceiași pași ca pentru site-ul HQ, dar cu unele modificări de date.

VPN Gateway - Setări Manuale Site Branch

Configuration > VPN > IPSec VPN > VPN Gateway

Repetați pașii de la HQ pentru a configura VPN Gateway-ul

  • Când configurați VPN Gateway pe firewall-ul din site-ul HQ, ați specificat adresa WAN a site-ului Branch în câmpul "Peer Gateway Address Static Address”. Acum, când configurați site-ul Branch, trebuie să specificați adresa WAN a site-ului HQ în câmpul "Peer Gateway Address Static Address”.
  • Pre-Shared Key - trebuie să fie aceeași pentru ambele site-uri.

VPN Tunnel - Setări Manuale Site Branch

Configuration > VPN > IPSec VPN > VPN Connection

Repetați pașii de la HQ pentru a configura VPN Tunnel

  • Cu excepția câtorva diferențe, când ați configurat site-ul HQ, ați specificat rețeaua site-ului Branch în Politica Remote. Acum, când configurați site-ul Branch, trebuie să specificați rețeaua site-ului HQ în câmpul Politica Remote.

Bifați opțiunea "Nailed-Up" pentru a stabili tunelul VPN și a vă conecta automat.

Testați rezultatul

  • Conectați manual tunelul VPN prima dată. Ulterior, acesta ar trebui să scaneze din nou conectivitatea și să se reconecteze automat.
  • Puteți vedea că tunelul VPN este conectat când simbolul globului este verde.

 

Notă: Verificați regulile firewall-ului pentru a vă asigura că există regulile implicite IPSec-to-Device și IPSec-to-Any.
Altfel, traficul dintre tuneluri poate fi blocat.
Screenshot_2021-05-26_173435.png

Limitare - Utilizarea mai multor subrețele

Pe firewall-urile Zyxel există o limitare conform căreia nu puteți selecta mai multe subrețele într-un tunel VPN. Politica locală (subrețeaua) și politica remote (subrețeaua) pot fi configurate doar cu câte o singură subrețea fiecare.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Pentru a ocoli această problemă, puteți configura o rută de politică pentru a direcționa manual alte subrețele în tunel.

Creați această rută de politică:

Notă! Este posibil să fie necesar să rutați pachetele de răspuns înapoi prin tunel pe site-ul remote.

Depanare

Probleme comune și soluții:

  • Cheie Pre-shared incorectă: Verificați cu atenție cheia pre-shared pe ambele dispozitive.
  • Configurare incorectă a subrețelelor: Asigurați-vă că subrețelele locale și remote sunt configurate corect în setările VPN.
  • Setări Faza 1 și Faza 2:

Setări cheie care trebuie verificate pentru a fi identice pe ambele site-uri

  • Metoda de autentificare: De obicei, se folosește o cheie pre-shared.
  • Algoritmul de criptare: Opțiuni comune includ AES (128/256 biți), 3DES.
  • Algoritmul de hash: De obicei SHA-256 sau SHA-512 sau SHA-1.
  • Grupul DH (Diffie-Hellman): Asigură schimbul securizat de chei (ex. Grupul 2, Grupul 14).
  • Durata de viață: 

Pentru instrucțiuni mai detaliate despre depanare, consultați linkul:

Firewall Zyxel [VPN] - Depanare VPN Site-to-Site [mod Stand-alone]
 

 

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
10 din 19 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.