VPN - настройка IPSec Site-to-Site VPN за NAT-маршрутизатором

Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В статье приводится пошаговое руководство по настройке VPN-туннеля IPSec между сайтами с помощью мастера настройки VPN на устройствах ZyWALL/USG. В статье объясняется, как настроить VPN-туннель между двумя сайтами, в том числе находящимися за NAT-маршрутизатором, обеспечивая безопасный доступ. Процесс включает в себя использование мастера настройки VPN для создания правила VPN с настройками фазы по умолчанию, настройку IP-адресов защищенного шлюза, а также настройку локальных и удаленных политик. Здесь также описаны шаги по проверке работоспособности туннеля и рассмотрены возможные проблемы, которые могут возникнуть, например, несоответствие настроек или конфигураций политик безопасности.

Настройка IPSec VPN-туннеля корпоративной сети ZyWALL/USG (штаб-квартира)

1. В ZyWALL/USG воспользуйтесь мастером VPN Settings , чтобы создать VPN-правило, которое можно использовать с FortiGate. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Добро пожаловать

2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный общий ключ в качестве метода аутентификации. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Тип мастера

3. Введите имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило Site-to-site. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)

4. Настройте IP-адрес защищенного шлюза в качестве IP-адреса WAN филиала (в примере 172.100.30.40). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).

Установите для локальной политики диапазон IP-адресов сети, подключенной к ZyWALL/USG (Центральный офис), а для удаленной политики - диапазон IP-адресов сети, подключенной к ZyWALL/USG (Филиал).

Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация)

5. На этом экране отображается сводка VPN-туннеля, доступная только для чтения. Нажмите кнопку Сохранить.

Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)

6. Теперь правило настроено на ZyWALL/USG. Здесь появятся настройки правил фазы

Фаза 1: VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.

7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec маршрутизатора.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз > Показать дополнительные настройки > Аутентификация > Тип идентификатора пира

Настройка IPSec VPN-туннеля корпоративной сети (филиала) с помощью ZyWALL/USG

1. В ZyWALL/USG используйте мастер настройки VPN, чтобы создать правило VPN, которое можно использовать с FortiGate. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Добро пожаловать

2. Выберите Экспресс, чтобы создать правило VPN с настройками фазы 1 и фазы 2 по умолчанию и использовать предварительный общий ключ в качестве метода аутентификации. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Тип мастера

3. Введите имя правила, используемое для идентификации этого VPN-соединения (и VPN-шлюза). Вы можете использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру. Выберите правило Site-to-site. Нажмите кнопку Далее.

Быстрая настройка > Мастер настройки VPN > Тип мастера > Параметры VPN (сценарий)

4. Настройте IP-адрес защищенного шлюза в качестве IP-адреса WAN филиала (в примере 172.100.20.30). Затем введите безопасный ключ Pre-Shared Key (8-32 символа).

Установите локальную политику в качестве диапазона IP-адресов сети, подключенной к ZyWALL/USG (штаб-квартира), и удаленную политику в качестве диапазона IP-адресов сети, подключенной к ZyWALL/USG (филиал).

Быстрая настройка > Мастер настройки VPN > Тип мастера > Настройки VPN (Конфигурация)

5. На этом экране отображается сводка VPN-туннеля, доступная только для чтения. Нажмите кнопку Сохранить.

Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN (Сводка)

6. Теперь правило настроено на ZyWALL/USG. Здесь появятся настройки правил фазы

Фаза 1: VPN > IPSec VPN > VPN Gateway Фаза 2: VPN > IPSec VPN > VPN Connection Быстрая настройка > Мастер настройки VPN > Добро пожаловать > Тип мастера > Настройки VPN > Мастер завершен.

7. Настройте Peer ID Type как Any, чтобы ZyWALL/USG не требовалось проверять идентификационные данные удаленного IPSec-маршрутизатора.

КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN-шлюз > Показать дополнительные настройки > Аутентификация > Тип идентификатора пира

Настройка NAT-маршрутизатора (в данном примере используется устройство ZyWALL USG)

Примечание: Эти настройки должны применяться только в том случае, если один из ваших брандмауэров находится за NAT. Эти параметры должны быть настроены на маршрутизаторе NAT, расположенном перед брандмауэром, который может быть маршрутизатором провайдера или главным маршрутизатором в вашей офисной сети. Ниже мы приводим пример с использованием одного из наших устройств - только в справочных целях.

1. Выберите входящий интерфейс, на который должны поступать пакеты для правила NAT. Укажите в поле User-Defined Original IP и введите транслированный IP-адрес назначения, который поддерживает данное правило NAT.

КОНФИГУРАЦИЯ > Сеть > NAT > Добавить

2. На брандмауэре должна быть включена IP-переадресация для следующих IP-протоколов и UDP-портов:

IP-протокол = 50 → Используется для передачи данных (ESP)
IP-протокол = 51 → Используется в пути передачи данных (AH)
Номер порта UDP = 500 → Используется IKE (путь управления IPSec)
Номер порта UDP = 4500 → Используется NAT-T (IPsec NAT traversal)
КОНФИГУРАЦИЯ > Политика безопасности > Контроль политики

ВЕРИФИКАЦИЯ:

Проверка VPN-туннеля IPSec

1. Перейдите в раздел КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection

нажмите кнопку Подключить на верхней панели. Значок Status connect светится, когда интерфейс подключен.

2. Проверьте время работы туннеля и входящий(байты)/исходящий(байты) трафик.

МОНИТОР > Монитор VPN > IPSec

3. Чтобы проверить, работает туннель или нет, выполните ping с компьютера на одном сайте на компьютер на другом. Убедитесь, что оба компьютера имеют доступ в Интернет (через устройства IPSec).

ПК за ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33

ПК за ZyWALL/USG (филиал) > Window 7 > cmd > ping 10.10.10.33

Что может пойти не так?

1. Если вы видите следующие сообщения журнала [info] или [error], проверьте настройки ZyWALL/USG Phase 1. Оба ZyWALL/USG в штаб-квартире и филиале должны использовать одинаковые Pre-Shared Key, Encryption, Authentication method, DH key group и ID Type для создания IKE SA.

МОНИТОР > Журнал

2. Если вы видите, что процесс IKE SA фазы 1 завершен, но все еще получаете сообщение журнала [info], проверьте настройки фазы 2 ZyWALL/USG. Оба ZyWALL/USG в головном офисе и филиале должны использовать один и тот же протокол, инкапсуляцию, шифрование, метод аутентификации и PFS для создания IKE SA.

МОНИТОР > Журнал

3. Убедитесь, что политики безопасности ZyWALL/USG на головном офисе и филиале разрешают VPN-трафик IPSec. IKE использует UDP-порт 500, AH - IP-протокол 51, а ESP - IP-протокол 50.

4. По умолчанию на ZyWALL/USG включен обход NAT, убедитесь, что на удаленном IPSec-устройстве также включен обход NAT.

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 3
Поделиться