Zyxel H Series Firewall [next-hop in Policy Routes] Why Route-Based VPN Replaces Policy-Based VPN - And Why That's Good Thing

С появлением операционной системы Zyxel UOS и выпуском новой серии H компания Zyxel модернизировала способ обработки VPN-соединений. В отличие от устройств предыдущего поколения, таких как USG и ATP, H Series больше не поддерживает использование VPN-туннелей в качестве следующего узла в маршрутах политики.

Это не ограничение, а скорее переход к современной VPN-архитектуре на основе интерфейсов, использующей VPN на основе маршрутов с VTI (Virtual Tunnel Interface). В этой статье объясняется разница между VPN на основе политик и VPN на основе маршрутов, а также то, почему этот новый подход считается более надежным, масштабируемым и простым в управлении.

Преимущества VPN на основе маршрутов с VTI на Zyxel USG FLEX H

• VPN-туннели создаются как виртуальные интерфейсы (VTI) и участвуют в маршрутизации так же, как и физические порты.
• Нет необходимости определять VPN как next-hop в маршрутах политики, что снижает сложность конфигурации и риск неправильного конфигурирования.
• Лучшая интеграция с моделью безопасности Zyxel на основе зон.

Сценарий:

• Штаб-квартира использует несколько внутренних подсетей:
  • 192.168.10.0/24 - администрирование
  • 192.168.20.0/24 - бухгалтерия
  • 192.168.30.0/24 - Склад
• Филиалу необходим доступ ко всем из них через VPN.

Проблемы с VPN на основе политик:

• Требуется создание отдельного туннеля или политики для каждой подсети.
• Любое изменение сети (например, новая подсеть) означало ручную перенастройку политик и туннелей.

Использование VTI на USG FLEX H:

• Вы создаете единый VPN-туннель между сайтами.
• Настройте стандартные статические маршруты:

dst: 192.168.10.0/24 → через VTI-Office dst: 192.168.20.0/24 → через VTI-Office dst: 192.168.30.0/24 → через VTI-Office  

• При добавлении новой подсети (например, 192.168.40.0/24) - просто добавьте маршрут, переконфигурация VPN не требуется.
• Управление доступом осуществляется с помощью политик безопасности, а не логики статических маршрутов.

Настройка VPN-туннеля IPSec для uOS

В этом примере показано, как с помощью мастера настройки VPN сконфигурировать VPN-туннель между сайтами на основе маршрутов с устройством ZLD в качестве однорангового шлюза, обеспечивая безопасный доступ между двумя сайтами после создания туннеля.

Перейдите в разделVPN > IPSec VPN > Site to Site VPN > Add. и пройдите все шаги мастера, заполнив соответствующие поля:

• Имя:
• IKE Version: IKEv2
• В поле Мой адрес выберите нужный WAN-интерфейс.
• В поле Peer Gateway Address введите публичный IP-адрес удаленного (филиального) устройства.
• Зона: IPSec_VPN
• Для параметра Метод аутентификации выберите Предварительный общий ключ (PSK).

В поле Тип выберите: Route-Based.

1. В поле Удаленная подсеть введите вручную: 192.168.88.0/27.
2. В поле Интерфейс VTI введите: 169.254.63.164/255.255.255.255.
3. Убедитесь, что на диаграмме показано подключение с локального интерфейса ge1 к удаленному IP 93.159.250.211.

В разделе Настройки фазы 1 и Настройки фазы 2:

• Предложение: AES128 / SHA1
• Группа DH: DH2 / DH14

Нажмите OK.

• Настройка интерфейса VTI

Конфигурация > Сеть > Интерфейс > VTI

Настройка VPN-туннеля IPSec для ZLD

Перейдите в раздел Конфигурация > VPN > IPSec VPN > VPN-шлюз.

• Нажмите Добавить и установите флажок Включить.
• Введите имя VPN-шлюза:
• Выберите версию IKE: IKEv2
• В разделе Мой адрес: Выберите интерфейс: ge1 (с вашим публичным IP).
• В поле Peer Gateway Address: введите публичный IP-адрес удаленного (HQ) устройства.
• В разделе Аутентификация: Выберите Pre-Shared Key и введите тот же ключ, который используется на устройстве Flex.

• Настройка интерфейса VTI

Конфигурация > Сеть > Интерфейс > VTI