Брандмауэр Zyxel серии H — Tailscale VPN

Брандмауэры Zyxel серии USG FLEX H теперь поддерживают интеграцию с Tailscale, сторонним VPN-решением, которое обеспечивает безопасные, зашифрованные, одноранговые соединения между устройствами и сетями. Это предоставляет пользователям гибкий и масштабируемый вариант VPN в дополнение к встроенным VPN-возможностям Zyxel.

Обратите внимание, что , хотя серия USG FLEX H обеспечивает совместимость с Tailscale, она не включает лицензию Tailscale. Пользователи, желающие использовать услуги Tailscale, должны получить лицензию непосредственно от Tailscale.

Что такое Tailscale VPN?

Tailscale — это современное, безопасное одноранговое VPN-решение, разработанное для упрощения и оптимизации сетевого взаимодействия между устройствами. В отличие от традиционных VPN, которые полагаются на централизованные серверы и сложные конфигурации, Tailscale использует архитектуру ячеистой сети для прямого и безопасного подключения ваших устройств — без необходимости использования статических IP-адресов, переадресации портов или сложных правил брандмауэра.

В основе Tailscale лежит протокол WireGuard, обеспечивающий быструю, зашифрованную, сквозную связь между устройствами, даже если они находятся за NAT-маршрутизаторами.

Начало работы с Tailscale на брандмауэре

1. Создайте учетную запись
   Посетите базу знаний Tailscale, чтобы зарегистрироваться и начать работу с учетной записью Tailscale.
2. Сгенерируйте ключ аутентификации
   После входа в систему перейдите в «Настройки» → «Личные настройки» → «Ключи» и нажмите «Сгенерировать ключ аутентификации». Этот ключ используется для аутентификации вашего брандмауэра или других устройств при подключении к сети Tailscale.

3. Укажите любое название и отключите «Многократное использование» из соображений безопасности, затем нажмите «Создать ключ».

Скопируйте ключ.

4. Войдите в брандмауэр и перейдите в «VPN -> Tailscale», вставьте ключ в поле «Ключи аутентификации».

• Если вы хотите изменить ключ, нажмите «Выйти».
• Вы можете выбрать зону самостоятельно. Мы рекомендуем использовать зону Tailscale для некоторых предопределенных правил.

5. Вернитесь на страницу администрирования Tailscale. Вы увидите устройство брандмауэра.

Нажмите «Disable key expiry» для всех клиентов, чтобы предотвратить потерю соединения при истечении срока действия.

Сценарий

У нас есть две подсети, 192.168.168.0/24 и 192.168.160.0/24, которые находятся за брандмауэрами. И брандмауэры, и клиент A являются частью сети VPN Tailscale. Цели следующие:

Случай 1: Разрешить клиенту A доступ к подсетям 192.168.168.0/24 и 192.168.160.0/24
1. Объявление 192.168.168.0/24 в брандмауэре A.

2. Объявите 192.168.160.0/24 в брандмауэре B.

3. Убедитесь, что обе подсети были одобрены на портале Tailscale.

Проверка результата
Теперь клиент A знает, как маршрутизировать трафик, и может получить доступ к 192.168.168.1 и 192.168.160.1.

Случай 2: Разрешить клиенту A доступ к Интернету через брандмауэр

1. Возьмем в качестве примера брандмауэр A. Включите «Exit Node» и «Default SNAT».

2. Убедитесь, что выходной узел был включен на портале Tailscale.

3. Клиент A должен выбрать брандмауэр A в качестве выходного узла.

Проверьте результат
Интернет-трафик будет отправляться на брандмауэр A.

Случай 3: Устройства в подсетях 192.168.168.0/24 и 192.168.160.0/24 могут обмениваться данными друг с другом
После завершения настройки объявленных сетей вы сможете обмениваться данными друг с другом.
Проверка результата
Тест ping с брандмауэра A

Тест ping с брандмауэра B