Zyxel Firewall VPN - Настройка IPSec Site-To-Site VPN на Zyxel Firewall в автономном режиме

Еще есть вопросы? Отправить запрос

В этом руководстве мы проведем вас через процесс настройки Site-to-Site (S2S) VPN между двумя межсетевыми экранами с использованием IKEv2 IPSec. Мы рассмотрим как ручную настройку, так и использование встроенного мастера, а также как настроить VPN для работы с несколькими подсетями в одном туннеле.

Если вы ищете другие сценарии VPN, советы и рекомендации, ознакомьтесь со следующими статьями:

Общие:

Офис хочет безопасно подключиться к своему головному офису через Интернет. В обоих офисах используются устройства USG / ZyWall / ATP / USG FLEX для доступа в интернет.

Примечание: Перед началом настройки VPN убедитесь, что в обоих местах не используются одинаковые подсети. Настройка VPN между сайтами с одинаковыми подсетями технически возможна, но это не просто и может привести к осложнениям из-за пересечения IP-адресов. Если в обоих местах одинаковые подсети, это может привести к конфликтам маршрутизации, так как VPN не будет знать, на какую сторону отправлять трафик при обнаружении IP-адреса, который существует в обоих местах.

Настройка VPN с помощью мастера

Самый простой и удобный способ установить Site-to-Site соединение — использовать встроенный мастер. В первом примере этой статьи мы проведем вас через этот процесс. Также, если у вас возникли проблемы при ручной настройке VPN, вы можете использовать мастер для настройки VPN и сравнить параметры для устранения неполадок.

Настройки головного офиса (мастер)

  • Войдите в веб-интерфейс межсетевого экрана головного офиса и перейдите в раздел Quick Setup Wizard в левом меню.
  • Нажмите "VPN Setup"
VPN Setup

Вы можете выбрать между Express (VPN с настройками по умолчанию) или Advanced (ручная настройка криптографии и т.д.). Для примера в этой статье мы выбрали опцию "Advanced".

VPN Setup
  • Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.
  • Укажите понятное имя и выберите Site-to-Site VPN.
  • Нажмите "Next"
VPN Setup

Настройки Фазы 1

  • На следующем шаге введите “Secure Gateway” — это WAN-адрес вашего второго межсетевого экрана; в данном случае это IP-адрес филиала. (При настройке второго межсетевого экрана вам потребуется указать WAN IP-адрес этого устройства.)
  • Настройте предложения Фазы 1 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей.
VPN Setup

Настройки Фазы 2

  • Убедитесь, что настройки фазы 2 совпадают с настройками фазы 1 (например, AES256, SHA512).
  • Локальная политика и удаленная политика — определяют, какой трафик шифруется в Site-to-Site VPN, обеспечивая безопасную, эффективную и корректно маршрутизируемую связь между сетями.

    Примечание: Пожалуйста, сначала проверьте, что IP-адрес удаленной подсети не совпадает с локальной подсетью, чтобы избежать конфликта IP-адресов. Если удаленная подсеть совпадает с одной из локальных, вы сможете достичь только локальной сети.
VPN Setup
  • После корректного ввода всех данных нажмите “Next”, проверьте все настройки еще раз, нажмите "Save" и перейдите к настройке второго межсетевого экрана.
VPN Setup
VPN Setup

Настройки филиала (мастер)

Вам нужно выполнить точно ту же процедуру для межсетевого экрана во втором офисе. Основное отличие — в некоторых настройках.

  • IP-адрес шлюза должен быть указан как WAN IP-адрес устройства в головном офисе
  • Локальная политика и удаленная политика также будут отличаться. Пример ниже:
    Головной офис
    Локальная политика: 192.168.40.1
    Удаленная политика: 192.168.70.1
    Филиал:
    Локальная политика: 192.168.70.1
    Удаленная политика: 192.168.40.1
VPN Setup
  • Если все настроено правильно и нет проблем с подключением, другими настройками или конструкцией, VPN-соединение будет установлено автоматически сразу после сохранения настроек.
VPN Setup
VPN Setup

Ручная настройка VPN - VPN Gateway - Настройки головного офиса вручную

  • Войдите в веб-интерфейс межсетевого экрана головного офиса
Перейдите в Configuration -> VPN -> VPN Ge -> Add
  • Отметьте флажок Enable
  • Присвойте понятное имя
  • Выберите версию IKE

Мы настоятельно рекомендуем использовать IKEv2 вместо IKEv1 для повышения безопасности, ускорения установления соединения, стабильности, поддержки мобильности и повышения эффективности обработки изменений в сети.

  • My Address (Интерфейс) — задает ваш WAN IP-адрес.
  • Peer Gateway Address — это WAN-адрес вашего второго межсетевого экрана; в данном случае это IP-адрес филиала. (При настройке второго межсетевого экрана вам потребуется указать WAN IP-адрес этого устройства.)
  • Pre-Shared Key — создайте надежный пароль (этот ключ также будет использоваться на удаленном устройстве).
  • Настройки Фазы 1Настройте предложения Фазы 1 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей. 
VPN Gateway

VPN туннель - Настройки головного офиса вручную

Configuration > VPN > IPSec VPN > VPN Connection > Add

Первым делом необходимо создать объект для “Remote Policy”, нажав “Create New Object” и выбрав “IPV4 Address.”

  • Имя — введите понятное имя
  • Тип адреса — “SUBNET”
  • Сеть — локальный адрес сети удаленного сайта
  • Маска подсети — маска подсети удаленного сайта
  • Затем нажмите “OK
HQ Site Settings

Теперь можно продолжить заполнение остальных полей.

  • Отметьте флажок Enable
  • Присвойте понятное имя
  • Выберите Site-To-Site VPN
  • VPN Gateway — выберите VPN Gateway, созданный на предыдущем шаге
  • Локальная политика и удаленная политика будут отличаться.
  • Настройки Фазы 2Настройте предложения Фазы 2 по желанию. В целях безопасности выберите надежный пароль и предложения с хорошим шифрованием/аутентификацией, например AES256 для шифрования, SHA512 для аутентификации и DH14 для группы ключей. 
  • Нажмите "Ok"
HQ Site Settings

Теперь можно приступить к настройке филиала. Для этого выполните те же шаги, что и для головного офиса, но с некоторыми изменениями данных.

VPN Gateway - Настройки филиала вручную

Configuration > VPN > IPSec VPN > VPN Gateway

Повторите шаги для головного офиса, чтобы настроить VPN Gateway

  • При настройке VPN Gateway на межсетевом экране головного офиса вы указали WAN IP вашего филиала в поле "Peer Gateway Address Static Address”. Теперь при настройке филиала необходимо указать WAN IP головного офиса в поле "Peer Gateway Address Static Address”.
  • Pre-Shared Key — должен быть одинаковым для обоих сайтов.

VPN туннель - Настройки филиала вручную

Configuration > VPN > IPSec VPN > VPN Connection

Повторите шаги для головного офиса, чтобы настроить VPN туннель

  • За исключением нескольких отличий: при настройке головного офиса вы указывали сеть филиала в Remote Policy. Теперь при настройке филиала необходимо указать сеть головного офиса в поле Remote Policy.
HQ Site Settings

Отметьте опцию "Nailed-Up", чтобы туннель VPN устанавливался и подключался автоматически.

Проверка результата

  • Впервые подключите VPN туннель вручную. После этого он должен автоматически проверять доступность и переподключаться.
  • Вы увидите, что VPN туннель подключен, когда значок земного шара станет зеленым.
Test the result

 

Примечание: Пожалуйста, проверьте правила межсетевого экрана, чтобы убедиться, что существуют стандартные правила IPSec-to-Device и IPSec-to-Any.
Иначе трафик между туннелями может быть заблокирован.
Screenshot_2021-05-26_173435.png

Ограничение - Использование нескольких подсетей

На межсетевых экранах Zyxel существует ограничение: нельзя выбрать несколько подсетей в одном VPN туннеле. Локальная политика (подсеть) и удаленная политика (подсеть) могут быть настроены только с одной подсетью каждая.

Test the result

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Чтобы обойти это ограничение, вы можете настроить маршрут политики для ручной маршрутизации других подсетей через туннель.

Создайте этот маршрут политики:

Test the result

Примечание! Возможно, потребуется настроить обратный маршрут для пакетов ответа через туннель на удаленном сайте.

Устранение неполадок

Распространенные проблемы и решения:

  • Неверный предварительно общий ключ: Проверьте предварительно общий ключ на обоих устройствах.
  • Неверная настройка подсети: Убедитесь, что в настройках VPN указаны правильные локальные и удаленные подсети.
  • Настройки Фазы 1 и Фазы 2:

Основные параметры, которые необходимо проверить, чтобы они были одинаковыми на обоих сайтах:

  • Метод аутентификации: Обычно используется предварительно общий ключ.
  • Алгоритм шифрования: Распространенные варианты включают AES (128/256 бит), 3DES.
  • Алгоритм хэширования: Обычно SHA-256, SHA-512 или SHA-1.
  • Группа DH (Диффи-Хеллмана): Обеспечивает безопасный обмен ключами (например, группа 2, группа 14).
  • Время жизни: 

Для более подробных инструкций по устранению неполадок см. ссылку:

Zyxel Firewall [VPN] - Устранение неполадок Site-to-Site VPN [автономный режим]
 

 

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 10 из 19
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.