В этом руководстве мы проведем вас через процесс настройки Site-to-Site (S2S) VPN между двумя межсетевыми экранами с использованием IKEv2 IPSec. Мы рассмотрим как ручную настройку, так и использование встроенного мастера, а также как настроить VPN для работы с несколькими подсетями в одном туннеле.
Если вы ищете другие сценарии VPN, советы и рекомендации, ознакомьтесь со следующими статьями:
Общие:
- Настройка VPN на USG-Firewall
- Zyxel Firewall [VPN] - Устранение неполадок Site-to-Site VPN [автономный режим]
Офис хочет безопасно подключиться к своему головному офису через Интернет. В обоих офисах используются устройства USG / ZyWall / ATP / USG FLEX для доступа в интернет.
Примечание: Перед началом настройки VPN убедитесь, что в обоих местах не используются одинаковые подсети. Настройка VPN между сайтами с одинаковыми подсетями технически возможна, но это не просто и может привести к осложнениям из-за пересечения IP-адресов. Если в обоих местах одинаковые подсети, это может привести к конфликтам маршрутизации, так как VPN не будет знать, на какую сторону отправлять трафик при обнаружении IP-адреса, который существует в обоих местах.
Настройка VPN с помощью мастера
Самый простой и удобный способ установить Site-to-Site соединение — использовать встроенный мастер. В первом примере этой статьи мы проведем вас через этот процесс. Также, если у вас возникли проблемы при ручной настройке VPN, вы можете использовать мастер для настройки VPN и сравнить параметры для устранения неполадок.
Настройки головного офиса (мастер)
- Войдите в веб-интерфейс межсетевого экрана головного офиса и перейдите в раздел Quick Setup Wizard в левом меню.
- Нажмите "VPN Setup"
Вы можете выбрать между Express (VPN с настройками по умолчанию) или Advanced (ручная настройка криптографии и т.д.). Для примера в этой статье мы выбрали опцию "Advanced".
- Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.
- Укажите понятное имя и выберите Site-to-Site VPN.
- Нажмите "Next"
Настройки Фазы 1
- На следующем шаге введите “Secure Gateway” — это WAN-адрес вашего второго межсетевого экрана; в данном случае это IP-адрес филиала. (При настройке второго межсетевого экрана вам потребуется указать WAN IP-адрес этого устройства.)
- Настройте предложения Фазы 1 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей.
Настройки Фазы 2
- Убедитесь, что настройки фазы 2 совпадают с настройками фазы 1 (например, AES256, SHA512).
-
Локальная политика и удаленная политика — определяют, какой трафик шифруется в Site-to-Site VPN, обеспечивая безопасную, эффективную и корректно маршрутизируемую связь между сетями.
Примечание: Пожалуйста, сначала проверьте, что IP-адрес удаленной подсети не совпадает с локальной подсетью, чтобы избежать конфликта IP-адресов. Если удаленная подсеть совпадает с одной из локальных, вы сможете достичь только локальной сети.
- После корректного ввода всех данных нажмите “Next”, проверьте все настройки еще раз, нажмите "Save" и перейдите к настройке второго межсетевого экрана.
Настройки филиала (мастер)
Вам нужно выполнить точно ту же процедуру для межсетевого экрана во втором офисе. Основное отличие — в некоторых настройках.
- IP-адрес шлюза должен быть указан как WAN IP-адрес устройства в головном офисе
-
Локальная политика и удаленная политика также будут отличаться. Пример ниже:
Головной офис
Локальная политика: 192.168.40.1
Удаленная политика: 192.168.70.1
Филиал:
Локальная политика: 192.168.70.1
Удаленная политика: 192.168.40.1
- Если все настроено правильно и нет проблем с подключением, другими настройками или конструкцией, VPN-соединение будет установлено автоматически сразу после сохранения настроек.
Ручная настройка VPN - VPN Gateway - Настройки головного офиса вручную
- Войдите в веб-интерфейс межсетевого экрана головного офиса
Перейдите в Configuration -> VPN -> VPN Ge -> Add
- Отметьте флажок Enable
- Присвойте понятное имя
- Выберите версию IKE
Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.
- My Address (Интерфейс) — задает ваш WAN IP-адрес.
- Peer Gateway Address — это WAN-адрес вашего второго межсетевого экрана; в данном случае это IP-адрес филиала. (При настройке второго межсетевого экрана вам потребуется указать WAN IP-адрес этого устройства.)
- Pre-Shared Key — создайте надежный пароль (этот ключ также будет использоваться на удаленном устройстве).
- Настройки Фазы 1 — Настройте предложения Фазы 1 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей.
VPN туннель - Настройки головного офиса вручную
Configuration > VPN > IPSec VPN > VPN Connection > Add
Первым делом необходимо создать объект для “Remote Policy”, нажав “Create New Object” и выбрав “IPV4 Address.”
- Имя — введите понятное имя
- Тип адреса — “SUBNET”
- Сеть — локальный адрес сети удаленного сайта
- Маска подсети — маска подсети удаленного сайта
- Затем нажмите “OK”
Теперь можно продолжить заполнение остальных полей.
- Отметьте флажок Enable
- Присвойте понятное имя
- Выберите Site-To-Site VPN
- VPN Gateway — выберите VPN Gateway, созданный на предыдущем шаге
- Локальная политика и удаленная политика будут отличаться.
- Настройки Фазы 2 — Настройте предложения Фазы 2 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей.
- Нажмите "Ok"
Теперь можно приступить к настройке филиала. Для этого выполните те же шаги, что и для головного офиса, но с некоторыми изменениями данных.
VPN Gateway - Настройки филиала вручную
Configuration > VPN > IPSec VPN > VPN Gateway
Повторите шаги для головного офиса, чтобы настроить VPN Gateway
- При настройке VPN Gateway на межсетевом экране головного офиса вы указали WAN IP вашего филиала в поле "Peer Gateway Address Static Address”. Теперь при настройке филиала необходимо указать WAN IP головного офиса в поле "Peer Gateway Address Static Address”.
- Pre-Shared Key — должен быть одинаковым для обоих сайтов.
VPN туннель - Настройки филиала вручную
Configuration > VPN > IPSec VPN > VPN Connection
Повторите шаги для головного офиса, чтобы настроить VPN туннель
- За исключением нескольких отличий: при настройке головного офиса вы указывали сеть филиала в Remote Policy. Теперь при настройке филиала необходимо указать сеть головного офиса в поле Remote Policy.
Отметьте опцию "Nailed-Up", чтобы туннель VPN устанавливался и подключался автоматически.
Проверка результата
- Впервые подключите VPN туннель вручную. После этого он должен автоматически проверять доступность и переподключаться.
- Вы увидите, что VPN туннель подключен, когда значок земного шара станет зеленым.
Примечание: Пожалуйста, проверьте правила межсетевого экрана, чтобы убедиться, что существуют стандартные правила IPSec-to-Device и IPSec-to-Any.
Иначе трафик между туннелями может быть заблокирован.
Ограничение - Использование нескольких подсетей
На межсетевых экранах Zyxel существует ограничение: нельзя выбрать несколько подсетей в одном VPN туннеле. Локальная политика (подсеть) и удаленная политика (подсеть) могут быть настроены только с одной подсетью каждая.
Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy
Чтобы обойти это ограничение, вы можете настроить маршрут политики для ручной маршрутизации других подсетей через туннель.
Создайте этот маршрут политики:
Примечание! Возможно, потребуется настроить обратный маршрут для пакетов ответа через туннель на удаленном сайте.
Устранение неполадок
Распространенные проблемы и решения:
- Неверный предварительно общий ключ: Проверьте предварительно общий ключ на обоих устройствах.
- Неверная настройка подсети: Убедитесь, что в настройках VPN указаны правильные локальные и удаленные подсети.
- Настройки Фазы 1 и Фазы 2:
Основные параметры, которые необходимо проверить, чтобы они были одинаковыми на обоих сайтах:
- Метод аутентификации: Обычно используется предварительно общий ключ.
- Алгоритм шифрования: Распространенные варианты включают AES (128/256 бит), 3DES.
- Алгоритм хэширования: Обычно SHA-256, SHA-512 или SHA-1.
- Группа DH (Диффи-Хеллмана): Обеспечивает безопасный обмен ключами (например, группа 2, группа 14).
- Время жизни:
Для более подробных инструкций по устранению неполадок см. ссылку:
Zyxel Firewall [VPN] - Устранение неполадок Site-to-Site VPN [автономный режим]

Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.