Zyxel Firewall [VPN] - Configurați IPSec Site-To-Site VPN pe Zyxel Firewall [Mod autonom]

Acest ghid vă va ghida prin configurarea unui VPN Site-to-Site (S2S) între două firewall-uri utilizând IPSec IKEv2. Vom acoperi atât configurarea manuală, cât și utilizarea unui asistent încorporat, precum și modul de configurare a VPN-ului pentru a gestiona mai multe subrețele în cadrul aceluiași tunel.

În cazul în care sunteți în căutarea altor scenarii VPN, sfaturi și trucuri, aruncați o privire la următoarele articole:

General:

• Ghid VPN - Alegerea tipului de VPN potrivit pentru biroul dvs. de acasă (+Legături utile și tutoriale)
• Provisionarea configurației VPN pe un firewall USG
• Zyxel Firewall [VPN] - Depanarea VPN-ului site la site [Mod autonom]

Nebula:

• Construirea unui VPN Site-to-Site în Nebula între două gateway-uri Nebula (NSG)

Un birou dorește să se conecteze în siguranță la sediul său central prin Internet. Ambele birouri au un USG / ZyWall / ATP / USG FLEX pentru a accesa internetul.

Notă: Înainte de a începe configurarea VPN-ului, asigurați-vă că ambele site-uri nu au aceleași subrețele. Configurarea unui VPN între site-uri cu aceeași subrețea pe ambele părți este posibilă din punct de vedere tehnic, dar nu este ușoară și poate duce la complicații din cauza suprapunerii adreselor IP. Atunci când ambele site-uri au aceeași subrețea, acest lucru poate duce la conflicte de rutare deoarece VPN-ul nu va ști către ce parte să trimită traficul atunci când vede o adresă IP care există în ambele locații.

Metoda Wizard Setup VPN

Cea mai simplă și mai convenabilă metodă de a stabili o conexiune Site-to-Site este utilizarea asistentului încorporat. În primul exemplu din acest articol, vă vom ghida prin acest proces. De asemenea, dacă ați avut probleme în timpul configurării manuale a unui VPN, puteți utiliza expertul pentru a configura VPN-ul și pentru a compara setările în scopul depanării.

Setări pentru site-ul HQ (Wizzard)

• Conectați-vă la GUI-ul web al firewall-ului HQ Site și accesați secțiunea Quick Setup Wizard din meniul din stânga.
• Faceți clic pe "VPN Setup" (Configurare VPN)

Puteți alege între Express (VPN with default Values) sau Advanced (Manual Setting of cryptography etc...). Pentru a vă oferi un exemplu din acest articol, am ales opțiunea "Advanced".

• Vă recomandăm insistent să utilizați IKEv2 în loc de IKEv1 pentru a îmbunătăți securitatea, viteza de stabilire a conexiunii, stabilitatea, suportarea mobilității și creșterea eficienței în gestionarea modificărilor de rețea.
• Dați un nume ușor de înțeles și alegeți Site-to-Site VPN.
• Faceți clic pe "Next" (Următorul)

Setări pentru faza 1

• În continuare, Introduceți "Secure Gateway" Aceasta este adresa Wan a celui de-al doilea firewall; în acest caz, este adresa IP a site-ului Branch. (Când veți începe configurarea celui de-al doilea firewall, va trebui să completați adresa IP WAN a acestui firewall. )
• Setați propunerile fazei 1 după cum doriți. Din motive de securitate, alegeți o parolă puternică și propuneri cu Criptare/Autentificare bune, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru un grup de chei.

Setări pentru faza 2

• Asigurați-vă că setările fazei 2 sunt aceleași cu setările fazei 1. (de exemplu, AES256, SHA512)
• Politică locală și Politică la distanță - Politicile locale și la distanță definesc ce trafic este criptat într-un VPN site-to-site, asigurând o comunicare sigură, eficientă și corect direcționată între rețele.
  
  Notă: Vă rugăm să verificați mai întâi dacă adresa IP a subrețelei la distanță nu există deja pe subrețeaua locală pentru a evita dubla configurare a adresei IP. Atunci când subrețeaua la distanță este similară cu o subrețea locală, veți putea ajunge doar la rețeaua locală.

• După ce toate datele au fost introduse corect, faceți clic pe "Next", verificați din nou toate setările, faceți clic pe"Save" și treceți la configurarea celui de-al doilea firewall.

Setări pentru site-ul filialei (Wizzard)

Trebuie să urmați exact aceeași procedură pentru firewall-ul celui de-al doilea sediu. Principala diferență constă doar în câteva setări.

• Gateway IP trebuie să fie specificat ca IP WAN al dispozitivului din sediul central
• Politica locală și politica la distanță vor fi, de asemenea, diferite. Exemplul de mai jos:
  Sediul HQ
  Politica locală: 192.168.40.1
  Politica la distanță: 192.168.70.1
  Sediul filialei:
  Politica locală: 192.168.70.1
  Politica la distanță: 192.168.40.1

• Dacă totul a fost configurat corect și nu există probleme cu conexiunea, alte setări sau construcție, o conexiune VPN va fi stabilită automat imediat după salvarea setărilor.

Metoda manuală de configurare VPN

Manual de setări pentru VPN Gateway - HQ Site

• Conectați-vă la interfața grafică web a firewall-ului pentru site-ul HQ

Go to Configuration -> VPN -> VPN Ge -> Add

• Bifați caseta de selectare Enable (Activare )
• Dați un numeclar
• Selectați versiunea IKE

Vă recomandăm insistent să utilizați IKEv2 în loc de IKEv1 pentru a îmbunătăți securitatea, viteza de stabilire a conexiunii, stabilitatea, susținerea mobilității și creșterea eficienței în gestionarea modificărilor de rețea.

• My Address (Interface) - setează adresa IP wan.
• Peer Gateway Address - Aceasta este adresa WAN a celui de-al doilea firewall; în acest caz, este adresa IP a site-ului Branch. (Când începeți să configurați al doilea firewall, va trebui să completați adresa IP WAN a acestui firewall.
• Pre-Shared Key - Creați o parolă puternică (veți utiliza această cheie și pe dispozitivul de la distanță).
• Phase 1 Settings (Setări fază 1 ) - Setați propunerile pentru faza 1 după cum doriți. Din motive de securitate, alegeți o parolă puternică și propuneri cu Criptare/Autentificare bune, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru un grup de chei.

Tunel VPN - Manual de setări pentru site-ul HQ

Configuration > VPN > IPSec VPN > VPN Connection > Add

Primul lucru pe care trebuie să îl faceți este să creați un obiect pentru "Remote Policy" făcând clic pe "Create New Object" și selectând "IPV4 Address".

• Nume - introduceți un nume clar
• Tip adresă - "SUBNET"
• Network (Rețea ) - adresa rețelei locale a site-ului la distanță
• Netmask - masca de subrețea a site-ului la distanță
• Apoi faceți clic pe "OK"

Acum, putem continua să completăm celelalte câmpuri.

• Bifați caseta de selectare Enable (Activare )
• Dați un numeclar
• Selectați Site-To-Site VPN
• Gateway VPN - Selectați gateway-ul VPN creat în pasul anterior
• Politica locală și politica la distanță vor fi diferite.
• Phase 2 Settings (Setări fază 2 ) - Setați propunerile de fază 2 după cum doriți. Din motive de securitate, alegeți o parolă puternică și propuneri cu o Criptare/Autentificare bună, cum ar fi AES256 pentru criptare, SHA512 pentru autentificare și DH14 pentru un grup de chei.
• Faceți clic pe "Ok"

Acum, putem începe configurarea site-ului Branch. Pentru a face acest lucru, urmați aceiași pași ca pentru site-ul HQ, dar cu unele modificări de date.

VPN Gateway - Manual de configurare a site-ului sucursalei

Configuration > VPN > IPSec VPN > VPN Gateway

Repetați pașii de la sediul central pentru a configura gateway-ul VPN

• La configurarea Gateway-ului VPN pe Firewall-ul din site-ul HQ, ați specificat IP-ul WAN al site-ului dvs. sucursală în câmpul "Peer Gateway Address Static Address". Acum, când configurați site-ul filialei, trebuie să specificați IP-ul WAN al site-ului HQ în câmpul "Peer Gateway Address Static Address".
• Pre-Shared Key - trebuie să fie aceeași pentru ambele site-uri.

Tunel VPN - Manual de setări pentru site-ul sucursalei

Configuration > VPN > IPSec VPN > VPN Connection

Repetați pașii de la sediul central pentru a configura tunelul VPN

• Cu excepția câtorva diferențe, atunci când ați configurat site-ul HQ, ați specificat rețeaua de la site-ul Branch în Remote Policy. Acum, când configurați site-ul sucursalei, trebuie să specificați rețeaua de la site-ul HQ în câmpul Remote Policy (Politică la distanță).

Bifați opțiunea "Nailed-Up" pentru a stabili tunelul VPN și a vă conecta automat.

Testați rezultatul

• Conectați tunelul VPN manual prima dată. După aceea, acesta ar trebui să reanalizeze conectivitatea și să se reconecteze automat.
• Puteți vedea că tunelul VPN este conectat atunci când simbolul pământului este verde

Notă: Vă rugăm să verificați regulile firewall pentru a vă asigura că există regulile implicite IPSec-to-Device și IPSec-to-Any.
În caz contrar, traficul dintre tuneluri poate fi blocat.

Limitare - Utilizați mai multe subrețele

Pe firewall-urile Zyxel, există o limitare prin care nu puteți selecta mai multe subrețele într-un tunel VPN. Politica locală (subrețea) și politica la distanță (subrețea) pot fi configurate doar cu o subrețea fiecare.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Pentru a ocoli această problemă, puteți configura o rută de politică pentru a direcționa manual alte subrețele în tunel.

Creați această rută de politică:

Notă! Ar putea fi necesar să direcționați pachetele de răspuns înapoi prin tunel pe site-ul de la distanță.

Rezolvarea problemelor

Probleme frecvente și rezolvări:

• Cheie prepartajată incorectă: Verificați de două ori cheia prepartajată pe ambele dispozitive.
• Configurație incorectă a subrețelei: Asigurați-vă că subrețele locale și la distanță corecte sunt configurate în setările VPN.
• Setări fază 1 și fază 2:

Setări cheie care trebuie verificate pentru a vă asigura că sunt aceleași pe ambele site-uri

• Metoda de autentificare: De obicei, se utilizează o cheie partajată în prealabil.
• Algoritm de criptare: Opțiunile comune includ AES (128/256 biți), 3DES.
• Algoritm de hașurare: De obicei SHA-256 sau SHA-512 sau SHA-1.
• Grupul DH (Diffie-Hellman Group): Asigură schimbul sigur de chei (de exemplu, Grupul 2, Grupul 14).
• Durata de viață:

Pentru instrucțiuni mai detaliate privind depanarea, consultați link-ul:

Zyxel Firewall [VPN] - Depanare VPN site la site [Mod autonom]