Важное уведомление: |
В статье приводится пошаговое руководство по настройке VPN-туннеля IPSec между сайтами с помощью мастера настройки VPN на устройствах ZyWALL/USG. В статье объясняется, как настроить VPN-туннель между двумя сайтами, в том числе находящимися за NAT-маршрутизатором, обеспечивая безопасный доступ. Процесс включает в себя использование мастера настройки VPN для создания правила VPN с настройками фазы по умолчанию, настройку IP-адресов защищенного шлюза, а также настройку локальных и удаленных политик. Здесь также описаны шаги по проверке работоспособности туннеля и рассмотрены возможные проблемы, которые могут возникнуть, например, несоответствие настроек или конфигураций политик безопасности.
Настройка IPSec VPN-туннеля корпоративной сети ZyWALL/USG (штаб-квартира)
1. В ZyWALL/USG воспользуйтесь мастером VPN Settings , чтобы создать VPN-правило, которое можно использовать с FortiGate. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать
2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный общий ключ в качестве метода аутентификации. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера
3. Введите имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило Site-to-site. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)
4. Настройте IP-адрес защищенного шлюза в качестве IP-адреса WAN филиала (в примере 172.100.30.40). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).
Установите для локальной политики диапазон IP-адресов сети, подключенной к ZyWALL/USG (Центральный офис), а для удаленной политики - диапазон IP-адресов сети, подключенной к ZyWALL/USG (Филиал).
Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация)
5. На этом экране отображается сводка VPN-туннеля, доступная только для чтения. Нажмите кнопку Сохранить.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)
6. Теперь правило настроено на ZyWALL/USG. Здесь появятся настройки правил фазы
Фаза 1: VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.
7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec маршрутизатора.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз > Показать дополнительные настройки > Аутентификация > Тип идентификатора пира
Настройка IPSec VPN-туннеля корпоративной сети (филиала) с помощью ZyWALL/USG
1. В ZyWALL/USG используйте мастер настройки VPN, чтобы создать правило VPN, которое можно использовать с FortiGate. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать
2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный общий ключ в качестве метода аутентификации. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера
3. Введите имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило Site-to-site. Нажмите кнопку Далее.
Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)
4. Настройте IP-адрес защищенного шлюза в качестве IP-адреса WAN филиала (в примере 172.100.20.30). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).
Установите локальную политику в качестве диапазона IP-адресов сети, подключенной к ZyWALL/USG (штаб-квартира), и удаленную политику в качестве диапазона IP-адресов сети, подключенной к ZyWALL/USG (филиал).
Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация)
5. На этом экране отображается сводка VPN-туннеля, доступная только для чтения. Нажмите кнопку Сохранить.
Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)
6. Теперь правило настроено на ZyWALL/USG. Здесь появятся настройки правил фазы
Фаза 1: VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.
7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec-маршрутизатора.
КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз > Показать дополнительные настройки > Аутентификация > Тип идентификатора пира
Настройка NAT-маршрутизатора (в данном примере используется устройство ZyWALL USG)
Примечание: Эти настройки должны применяться только в том случае, если один из ваших брандмауэров находится за NAT. Эти параметры должны быть настроены на маршрутизаторе NAT, расположенном перед брандмауэром, который может быть маршрутизатором провайдера или главным маршрутизатором в вашей офисной сети. Ниже мы приводим пример с использованием одного из наших устройств - только в справочных целях.
1. Выберите входящий интерфейс, на который должны поступать пакеты для правила NAT. Укажите в поле User-Defined Original IP и введите транслированный IP-адрес назначения, который поддерживает данное правило NAT.
КОНФИГУРАЦИЯ > Сеть > NAT > Добавить
2. На брандмауэре должна быть включена IP-переадресация для следующих IP-протоколов и UDP-портов:
IP-протокол = 50 → Используется для передачи данных (ESP)
IP-протокол = 51 → Используется в пути передачи данных (AH)
Номер порта UDP = 500 → Используется IKE (путь управления IPSec)
Номер порта UDP = 4500 → Используется NAT-T (IPsec NAT traversal)
КОНФИГУРАЦИЯ > Политика безопасности > Контроль политики
ВЕРИФИКАЦИЯ:
Проверка VPN-туннеля IPSec
1. Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection
нажмите кнопку Подключить на верхней панели. Значок Status connect светится, когда интерфейс подключен.
2. Проверьте время работы туннеля и входящий(байты)/исходящий(байты) трафик.
МОНИТОР > Монитор VPN > IPSec
3. Чтобы проверить, работает туннель или нет, выполните ping с компьютера на одном сайте на компьютер на другом. Убедитесь, что оба компьютера имеют доступ в Интернет (через устройства IPSec).
ПК за ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
ПК за ZyWALL/USG (филиал) > Window 7 > cmd > ping 10.10.10.33
Что может пойти не так?
1. Если вы видите следующие сообщения журнала [info] или [error], проверьте настройки ZyWALL/USG Phase 1. Оба ZyWALL/USG в штаб-квартире и филиале должны использовать одинаковые Pre-Shared Key, Encryption, Authentication method, DH key group и ID Type для создания IKE SA.
МОНИТОР > Журнал
2. Если вы видите, что процесс IKE SA фазы 1 завершен, но все еще получаете сообщение журнала [info], проверьте настройки фазы 2 ZyWALL/USG. Оба ZyWALL/USG в головном офисе и филиале должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS для создания IKE SA.
МОНИТОР > Журнал
3. Убедитесь, что политики безопасности ZyWALL/USG на головном офисе и филиале разрешают VPN-трафик IPSec. IKE использует UDP-порт 500, AH - IP-протокол 51, а ESP - IP-протокол 50.
4. По умолчанию на ZyWALL/USG включен обход NAT, убедитесь, что на удаленном IPSec-устройстве также включен обход NAT.