Маршрутизация клиентов L2TP поверх IPSec к удалённому офису через IPSec туннель на аппаратных шлюзах ZyWALL USG

Как настроить маршрутизацию для клиентов L2TP поверх IPSec к удалённому офису через IPSec туннель на аппаратных шлюзах серии ZyWALL USG?

(На примере ZyWALL USG 50)

Рассмотрим следующую топологию:

Есть 2 офиса, A и B (в каждом офисе установлен аппаратный шлюз серии ZyWALL USG). Они соединены IPSec VPN туннелем. Удалённые клиенты L2TP поверх IPSec подключаются к каждому офису через Интернет.
Задача: настроить маршрутизацию так, чтобы все клиенты L2TP поверх IPSec могли получить доступ к локальной подсети офисов A и B, независимо от того, к какому офису подключается клиент.

Суть настройки сводится к созданию двух маршрутов на обоих шлюзах безопасности:
1. Весь трафик (с любыми исходными IP-адресами), направленный в удалённую подсеть, должен маршрутизироваться через IPSec VPN туннель. Этот маршрут необходим, потому что IP-адреса клиентов L2TP поверх IPSec не входят в диапазон, указанный в VPN Connections для соединения между двумя офисами. Трафик не будет автоматически направляться в туннель.
2. Второй маршрут укажет шлюзу, что трафик с IP-адресами назначения из удалённого диапазона клиентов L2TP поверх IPSec должен отправляться через IPSec туннель между офисами, или трафик, предназначенный для удалённых клиентов L2TP поверх IPSec, должен маршрутизироваться через IPSec туннель между офисами. Без этого маршрута ответы на запросы не будут доставлены.

Рассмотрим параметры нашей тестовой настройки:

Настройка ZyWALL USG 50 в офисе A

Для настройки интерфейсов перейдите в Configuration > Network > Interface и выберите вкладку Ethernet.

Для создания объектов, необходимых для настройки маршрутизации, перейдите в Configuration > Object > Address.

Помимо подсетей для клиентов L2TP поверх IPSec, необходимо создать объект типа INTERFACE IP для интерфейса wan1 и объект типа SUBNET, определяющий удалённую подсеть офиса B. Это необходимо для настройки туннеля L2TP поверх IPSec и IPSec туннеля между офисами.

Туннель L2TP поверх IPSec и IPSec туннель между офисами должны быть настроены в Configuration > VPN > IPSec VPN > VPN Gateway и Configuration > VPN > IPSec VPN > VPN Connection.

Для настройки правил маршрутизации перейдите в Configuration > Network > Routing > Policy Route.

Настройки первого маршрута:

Настройки второго маршрута:

Далее необходимо настроить брандмауэр. Для настройки правил брандмауэра перейдите в Configuration > Network > Firewall.
В нашей конфигурации основным условием для пропуска пакетов через брандмауэр является привязка обоих туннелей к одной зоне, где разрешён трафик между интерфейсами в зоне (Block Intra-zone – no).
Также должны быть правила, разрешающие трафик из этой зоны в локальную сеть и из локальной сети в эту зону.

Настройка ZyWALL USG 100 в офисе B

Для настройки интерфейсов перейдите в Configuration > Network > Interface и выберите вкладку Ethernet.

Для создания объектов, необходимых для настройки маршрутизации, перейдите в Configuration > Object > Address.

Помимо подсетей для клиентов L2TP поверх IPSec, необходимо создать объект типа INTERFACE IP для интерфейса wan1 и объект типа SUBNET, определяющий удалённую подсеть офиса A. Это необходимо для настройки туннеля L2TP поверх IPSec и IPSec туннеля между офисами.

Туннель L2TP поверх IPSec и IPSec туннель между офисами должны быть настроены в Configuration > VPN > IPSec VPN > VPN Gateway и Configuration > VPN > IPSec VPN > VPN Connection.

Для настройки правил маршрутизации перейдите в Configuration > Network > Routing > Policy Route.

Настройки первого маршрута:

Настройки второго маршрута:

Далее необходимо настроить брандмауэр. Для настройки правил брандмауэра перейдите в Configuration > Network > Firewall.
В нашей конфигурации основным условием для пропуска пакетов через брандмауэр является привязка обоих туннелей к одной зоне, где разрешён трафик между интерфейсами в зоне (Block Intra-zone – no).
Также должны быть правила, разрешающие трафик из этой зоны в локальную сеть и из локальной сети в эту зону.