Cum se configurează rutarea pentru clienții L2TP peste IPSec către un birou la distanță printr-un tunel IPSec pe gateway-urile hardware din seria ZyWALL USG?
(Se folosește ZyWALL USG 50 ca exemplu)
Să considerăm următoarea topologie:
Există 2 birouri, A și B (fiecare birou are instalat un gateway hardware din seria ZyWALL USG). Ele sunt conectate printr-un tunel VPN IPSec. Clienții L2TP peste IPSec la distanță se conectează la fiecare birou prin Internet.
Sarcina: configurarea rutării astfel încât toți clienții L2TP peste IPSec să poată accesa subrețeaua locală a birourilor A și B, indiferent la care birou se conectează clientul.
Esenta configurării constă în crearea a două rute pe ambele gateway-uri de securitate:
1. Tot traficul (cu orice adrese IP sursă) direcționat către subrețeaua la distanță va fi rutat prin tunelul VPN IPSec. Această rută este necesară deoarece adresele IP ale clienților L2TP peste IPSec nu sunt în intervalul specificat în Conexiuni VPN pentru conexiunea dintre cele două birouri. Traficul nu va fi rutat automat în tunel.
2. A doua rută va instrui gateway-ul că traficul cu adrese IP destinație din intervalul clienților L2TP peste IPSec la distanță trebuie trimis prin tunelul IPSec dintre birouri, sau traficul destinat clienților L2TP peste IPSec la distanță trebuie rutat prin tunelul IPSec dintre birouri. Fără această rută, răspunsurile la cereri nu vor fi livrate.
Să analizăm parametrii configurației noastre de test:
| ZyWALL USG 50 (Biroul A) | ZyWALL USG 100 (Biroul B) |
wan1: 10.0.0.2 (într-o configurație reală aceasta ar trebui să fie o adresă IP statică globală) | wan1: 10.0.1.2 (într-o configurație reală aceasta ar trebui să fie o adresă IP statică globală) |
Configurarea ZyWALL USG 50 din Biroul A
Pentru a configura interfețele, accesați Configuration > Network > Interface și selectați fila Ethernet.
Pentru a crea obiectele necesare configurării rutării, accesați Configuration > Object > Address.
Pe lângă subrețelele pentru clienții L2TP peste IPSec, trebuie să creați și un obiect de tip INTERFACE IP pentru interfața wan1 și un obiect de tip SUBNET care să definească subrețeaua la distanță a Biroului B. Acest lucru este necesar pentru configurarea tunelului L2TP peste IPSec și a tunelului IPSec dintre birouri.
Tunelul L2TP peste IPSec și tunelul IPSec dintre birouri trebuie configurate în Configuration > VPN > IPSec VPN > VPN Gateway și Configuration > VPN > IPSec VPN > VPN Connection.
Pentru a configura regulile de rutare, accesați Configuration > Network > Routing > Policy Route.
Setările primei rute:
Setările celei de-a doua rute:
Următorul pas este configurarea firewall-ului. Pentru a configura regulile firewall, accesați Configuration > Network > Firewall.
În configurația noastră, condiția principală pentru permiterea pachetelor prin firewall este legarea ambelor tuneluri la aceeași zonă, unde traficul între interfețele din zonă este permis (Block Intra-zone – no).
De asemenea, trebuie să existe reguli care permit traficul din această zonă către rețeaua locală și din rețeaua locală către această zonă.
Configurarea ZyWALL USG 100 din Biroul B
Pentru a configura interfețele, accesați Configuration > Network > Interface și selectați fila Ethernet.
Pentru a crea obiectele necesare configurării rutării, accesați Configuration > Object > Address.
Pe lângă subrețelele pentru clienții L2TP peste IPSec, trebuie să creați și un obiect de tip INTERFACE IP pentru interfața wan1 și un obiect de tip SUBNET care să definească subrețeaua la distanță a Biroului A. Acest lucru este necesar pentru configurarea tunelului L2TP peste IPSec și a tunelului IPSec dintre birouri.
Tunelul L2TP peste IPSec și tunelul IPSec dintre birouri trebuie configurate în Configuration > VPN > IPSec VPN > VPN Gateway și Configuration > VPN > IPSec VPN > VPN Connection.
Pentru a configura regulile de rutare, accesați Configuration > Network > Routing > Policy Route.
Setările primei rute:
Setările celei de-a doua rute:
Următorul pas este configurarea firewall-ului. Pentru a configura regulile firewall, accesați Configuration > Network > Firewall.
În configurația noastră, condiția principală pentru permiterea pachetelor prin firewall este legarea ambelor tuneluri la aceeași zonă, unde traficul între interfețele din zonă este permis (Block Intra-zone – no).
De asemenea, trebuie să existe reguli care permit traficul din această zonă către rețeaua locală și din rețeaua locală către această zonă.
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.