Zyxel Firewall H Series – Tailscale VPN

Firewally Zyxel USG FLEX H Series teraz podporujú integráciu s Tailscale, riešením VPN tretej strany, ktoré umožňuje bezpečné, šifrované peer-to-peer pripojenia medzi zariadeniami a sieťami. To poskytuje používateľom flexibilnú a škálovateľnú možnosť VPN okrem vstavaných funkcií VPN spoločnosti Zyxel.

Upozorňujeme, že hoci séria USG FLEX H ponúka kompatibilitu s Tailscale, neobsahuje licenciu Tailscale. Používatelia, ktorí chcú využívať služby Tailscale, musia získať licenciu priamo od Tailscale.

Čo je Tailscale VPN?

Tailscale je moderné, bezpečné peer-to-peer VPN riešenie navrhnuté tak, aby sieťové pripojenie medzi zariadeniami bolo jednoduché a plynulé. Na rozdiel od tradičných VPN, ktoré sa spoliehajú na centralizované servery a zložité konfigurácie, Tailscale používa sieťovú architektúru typu mesh na priame a bezpečné pripojenie vašich zariadení – bez potreby statických IP adries, presmerovania portov alebo zložitých pravidiel firewallu.

Tailscale je v jadre poháňaný protokolom WireGuard, ktorý zabezpečuje rýchlu, šifrovanú komunikáciu medzi zariadeniami od konca do konca – aj keď sú za NAT smerovačmi.

Začíname s Tailscale na firewallu

1. Vytvorte si účet
   Navštívte znalostnú bázu Tailscale, aby ste sa zaregistrovali a začali používať svoj účet Tailscale.
2. Vygenerujte autentifikačný kľúč
   Po prihlásení prejdite do Nastavenia → Osobné nastavenia → Kľúče a kliknite na Generovať autentifikačný kľúč. Tento kľúč sa používa na autentifikáciu vášho firewallu alebo iných zariadení pri pripájaní sa k sieti Tailscale.

3. Zadajte popisný názov podľa vlastného uváženia a z bezpečnostných dôvodov deaktivujte možnosť „Opätovne použiteľný“, potom kliknite na „Vygenerovať kľúč“.

Skopírujte kľúč.

4. Prihláste sa do brány firewall a prejdite do „VPN -> Tailscale“, vložte ho do „Overovacie kľúče“.

• Ak chcete kľúč zmeniť, kliknite na Odhlásiť sa.
• Zónu si môžete vybrať sami. Odporúčame použiť zónu Tailscale pre niektoré preddefinované pravidlá.

5. Vráťte sa na stránku správcu Tailscale. Uvidíte zariadenie Firewall.

Kliknite na „Disable key expiry“ (Zakázať vypršanie platnosti kľúča) pre všetkých klientov, aby ste zabránili strate pripojenia po vypršaní platnosti.

Scenár

Máme dve podsiete, 192.168.168.0/24 a 192.168.160.0/24, ktoré sa nachádzajú za firewallmi. Firewally aj klient A sú súčasťou siete Tailscale VPN. Ciele sú nasledovné:

Prípad 1: Povoliť klientovi A prístup k podsieťam 192.168.168.0/24 a 192.168.160.0/24
1. Oznámená adresa 192.168.168.0/24 v bráne firewall A.

2. Oznámenie 192.168.160.0/24 v bráne firewall B.

3. Uistite sa, že obe podsiete boli schválené z portálu Tailscale.

Otestujte výsledok
Teraz klient A vie, ako smerovať prevádzku, a má prístup k adresám 192.168.168.1 a 192.168.160.1.

Prípad 2: Povoliť klientovi A prístup k internetu cez firewall

1. Ako príklad použijeme Firewall A. Aktivujte „Exit Node“ a „Default SNAT“.

2. Uistite sa, že Exit-Node bol povolený z portálu Tailscale.

3. Klient A musí vybrať firewall A ako výstupný uzol.

Otestujte výsledok
Internetový prevádzka bude odoslaná do brány firewall A.

Prípad 3: Zariadenia v podsieťach 192.168.168.0/24 a 192.168.160.0/24 môžu medzi sebou komunikovať
Po dokončení nastavenia propagovaných sietí môžete medzi sebou komunikovať.
Otestujte výsledok
Ping test z firewallu A

Ping test z firewallu B