Zyxel Firewall VPN — Настройка IPSec Site-To-Site VPN на Zyxel Firewall в автономном режиме

В этом руководстве мы шаг за шагом покажем, как настроить Site-to-Site (S2S) VPN между двумя файрволами с использованием IKEv2 IPSec. Мы рассмотрим как ручную настройку, так и использование встроенного мастера, а также способ настройки VPN для работы с несколькими подсетями в одном туннеле.

Если вы ищете другие сценарии VPN, советы и рекомендации, ознакомьтесь со следующими статьями:

Общие:

• Руководство по VPN — выбор правильного типа VPN для вашего домашнего офиса (+ полезные ссылки и учебные материалы)
• Настройка VPN на USG-Firewall
• Zyxel Firewall [VPN] — устранение неполадок Site-to-Site VPN [автономный режим]

Nebula:

• Создание Site-to-Site VPN в Nebula между двумя шлюзами Nebula (NSG)

Офис хочет безопасно подключиться к своему головному офису через Интернет. В обоих офисах есть USG / ZyWall / ATP / USG FLEX для доступа в интернет.

Примечание: Перед началом настройки VPN убедитесь, что в обоих офисах не используются одинаковые подсети. Настройка VPN между сайтами с одинаковыми подсетями технически возможна, но сложна и может привести к проблемам из-за пересечения IP-адресов. Если в обоих офисах одинаковая подсеть, это может вызвать конфликты маршрутизации, поскольку VPN не сможет определить, на какую сторону направлять трафик при обнаружении IP-адреса, существующего в обоих местах.

Настройка VPN с помощью мастера

Самый простой и удобный способ установить Site-to-Site соединение — использовать встроенный мастер. В первом примере этой статьи мы проведём вас через этот процесс. Кроме того, если у вас возникли проблемы при ручной настройке VPN, вы можете использовать мастер для настройки VPN и сравнить настройки для устранения неполадок.

Настройки головного офиса (мастер)

• Войдите в веб-интерфейс файрвола головного офиса и перейдите в раздел Quick Setup Wizard в левом меню.
• Нажмите «VPN Setup»

Вы можете выбрать между Express (VPN с настройками по умолчанию) или Advanced (ручная настройка криптографии и прочего). Для примера в этой статье мы выбрали опцию «Advanced».

• Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.
• Задайте понятное имя и выберите Site-to-Site VPN.
• Нажмите «Next»

Настройки Фазы 1

• На следующем шаге введите «Secure Gateway» — это WAN-адрес вашего второго файрвола, в данном случае IP-адрес филиала. (При настройке второго файрвола вам нужно будет указать WAN IP этого устройства.)
• Настройте предложения Фазы 1 по желанию. Для безопасности выберите сложный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей.

Настройки Фазы 2

• Убедитесь, что настройки Фазы 2 совпадают с настройками Фазы 1 (например, AES256, SHA512).
• Локальная политика и удалённая политика — локальная и удалённая политики определяют, какой трафик шифруется в Site-to-Site VPN, обеспечивая безопасную, эффективную и корректно маршрутизированную связь между сетями.
  
  Примечание: Пожалуйста, сначала проверьте, что IP-адрес удалённой подсети не совпадает с локальной, чтобы избежать конфликта адресов. Если удалённая подсеть совпадает с локальной, вы сможете достучаться только до локальной сети.

• После правильного ввода всех данных нажмите «Next», проверьте настройки ещё раз, нажмите «Save» и переходите к настройке второго файрвола.

Настройки филиала (мастер)

Вам нужно выполнить точно такие же действия для файрвола во втором офисе. Основное отличие — в некоторых настройках.

• IP-адрес шлюза должен быть указан как WAN IP устройства в головном офисе.
• Локальная политика и удалённая политика также будут отличаться. Пример ниже:
  Головной офис
  Локальная политика: 192.168.40.1
  Удалённая политика: 192.168.70.1
  Филиал:
  Локальная политика: 192.168.70.1
  Удалённая политика: 192.168.40.1

• Если всё настроено правильно и нет проблем с подключением или настройками, VPN-соединение будет установлено автоматически сразу после сохранения настроек.

Ручная настройка VPN

VPN Gateway — Настройки головного офиса вручную

• Войдите в веб-интерфейс файрвола головного офиса

Перейдите в Configuration -> VPN -> VPN Ge -> Add

• Отметьте флажок Enable
• Задайте понятное имя
• Выберите версию IKE

Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.

• My Address (Интерфейс) — задаёт ваш WAN IP адрес.
• Peer Gateway Address — это WAN-адрес вашего второго файрвола, в данном случае IP филиала. (При настройке второго файрвола вам нужно будет указать WAN IP этого устройства.)
• Pre-Shared Key — создайте сложный пароль (этот ключ будет использоваться и на удалённом устройстве).
• Настройки Фазы 1 — Настройте предложения Фазы 1 по желанию. Для безопасности выберите сложный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей. 

VPN Tunnel — Настройки головного офиса вручную

Configuration > VPN > IPSec VPN > VPN Connection > Add

Первым делом создайте объект для «Удалённой политики», нажав «Create New Object» и выбрав «IPV4 Address».

• Имя — введите понятное имя
• Тип адреса — «SUBNET»
• Сеть — локальный адрес сети удалённого офиса
• Маска подсети — маска подсети удалённого офиса
• Затем нажмите «OK»

Теперь можно продолжить заполнение остальных полей.

• Отметьте флажок Enable
• Задайте понятное имя
• Выберите Site-To-Site VPN
• VPN Gateway — выберите VPN Gateway, созданный на предыдущем шаге
• Локальная политика и удалённая политика будут отличаться.
• Настройки Фазы 2 — Настройте предложения Фазы 2 по желанию. Для безопасности выберите сложный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей. 
• Нажмите «Ok»

Теперь можно приступать к настройке филиала. Для этого повторите те же шаги, что и для головного офиса, но с некоторыми изменениями данных.

VPN Gateway — Настройки филиала вручную

Configuration > VPN > IPSec VPN > VPN Gateway

Повторите шаги для головного офиса, чтобы настроить VPN Gateway

• При настройке VPN Gateway на файрволе в головном офисе вы указали WAN IP филиала в поле "Peer Gateway Address Static Address”. При настройке филиала укажите WAN IP головного офиса в том же поле.
• Pre-Shared Key должен быть одинаковым для обоих офисов.

VPN Tunnel — Настройки филиала вручную

Configuration > VPN > IPSec VPN > VPN Connection

Повторите шаги головного офиса для настройки VPN Tunnel

• За исключением нескольких отличий: при настройке головного офиса вы указали сеть филиала в удалённой политике. Теперь при настройке филиала укажите сеть головного офиса в поле удалённой политики.

Отметьте опцию "Nailed-Up", чтобы VPN туннель устанавливался и подключался автоматически.

Проверка результата

• Подключите VPN туннель вручную в первый раз. После этого он должен автоматически проверять соединение и переподключаться.
• Вы увидите, что VPN туннель подключён, когда значок земного шара станет зелёным.

Примечание: Проверьте правила файрвола, чтобы убедиться, что существуют стандартные правила IPSec-to-Device и IPSec-to-Any.
В противном случае трафик между туннелями может блокироваться.

Ограничение — использование нескольких подсетей

На файрволах Zyxel есть ограничение: нельзя выбрать несколько подсетей в одном VPN туннеле. Локальная политика (подсеть) и удалённая политика (подсеть) могут быть настроены только с одной подсетью каждая.

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Чтобы обойти это ограничение, можно вручную настроить политику маршрутизации для направления других подсетей через туннель.

Создайте следующую политику маршрутизации:

Примечание! Возможно, потребуется настроить обратный маршрут для пакетов ответа через туннель на удалённом сайте.

Устранение неполадок

Распространённые проблемы и решения:

• Неверный предварительно общий ключ: Проверьте предварительно общий ключ на обоих устройствах.
• Неправильная настройка подсети: Убедитесь, что в настройках VPN указаны правильные локальные и удалённые подсети.
• Настройки Фазы 1 и Фазы 2:

Основные настройки, которые нужно проверить, чтобы они совпадали на обоих сайтах

• Метод аутентификации: Обычно используется предварительно общий ключ.
• Алгоритм шифрования: Обычно AES (128/256 бит), 3DES.
• Алгоритм хеширования: Обычно SHA-256, SHA-512 или SHA-1.
• Группа DH (Диффи-Хеллмана): Обеспечивает безопасный обмен ключами (например, группа 2, группа 14).
• Время жизни (Lifetime):

Для более подробных инструкций по устранению неполадок см. ссылку:

Zyxel Firewall [VPN] — устранение неполадок Site-to-Site VPN [автономный режим]