Firewall Zyxel radu H [ďalší krok v smerovaní] Prečo VPN založená na smerovaní nahrádza VPN založenú na zásadách - a prečo je to dobré

Zavedením operačného systému Zyxel UOS a vydaním nového radu H spoločnosť Zyxel zmodernizovala spôsob spracovania pripojení VPN. Na rozdiel od zariadení predchádzajúcej generácie, ako sú série USG a ATP, séria H už nepodporuje používanie tunelov VPN ako ďalšieho bodu v smerovaní (Policy Routes).

Nejde o obmedzenie, ale skôr o posun smerom k modernej architektúre VPN založenej na rozhraniach, ktorá využíva smerovanie VPN pomocou VTI (Virtual Tunnel Interface). V tomto článku je vysvetlený rozdiel medzi VPN založenou na zásadách a VPN založenou na smerovaní a prečo sa tento nový prístup považuje za spoľahlivejší, škálovateľnejší a ľahšie sa spravuje.

Výhody smerovej VPN s VTI na zariadení Zyxel USG FLEX H

• Tunely VPN sa vytvárajú ako virtuálne rozhrania (VTI ) a zúčastňujú sa na smerovaní rovnako ako fyzické porty.
• Nie je potrebné definovať VPN ako next-hop v zásadách smerovania, čím sa znižuje zložitosť konfigurácie a riziko nesprávnej konfigurácie.
• Lepšia integrácia so zónovým modelom zabezpečenia spoločnosti Zyxel.

Scenár:

• Ústredie používa viacero interných podsietí:
  • 192.168.10.0/24 - správa
  • 192.168.20.0/24 - účtovníctvo
  • 192.168.30.0/24 - Sklad
• Pobočka potrebuje prístup ku všetkým z nich prostredníctvom VPN.

Problémy s VPN na základe zásad:

• Vyžadovali vytvorenie samostatného tunela alebo politiky pre každú podsieť.
• Akákoľvek zmena siete (napr. nová podsieť) znamenala manuálnu rekonfiguráciu politík a tunelov.

Používanie VTI na USG FLEX H:

• Medzi lokalitami vytvoríte jeden tunel VPN.
• Nakonfigurujte štandardné statické trasy:

dst: 192.168.10.0/24 → cez VTI-Office dst: 192.168.20.0/24 → cez VTI-Office dst: 192.168.30.0/24 → cez VTI-Office  

• Keď sa pridá nová podsieť (napr. 192.168.40.0/24) - stačí pridať trasu, nie je potrebná žiadna rekonfigurácia VPN.
• Riadenie prístupu sa riadi prostredníctvom bezpečnostných politík namiesto logiky statickej trasy.

Nastavenie tunela IPSec VPN pre uOS

Tento príklad ukazuje, ako pomocou Sprievodcu nastavením VPN nakonfigurovať tunel VPN medzi lokalitami založený na smerovaní so zariadením ZLD ako rovnocennou bránou, čo po vytvorení tunela umožní bezpečný prístup medzi dvoma lokalitami.

Prejdite na položkyVPN > IPSec VPN > Site to Site VPN > Add. a prejdite všetkými krokmi sprievodcu a vyplňte príslušné polia:

• Názov:
• IKE Verzia: IKE Version: IKEv2
• V poli My Address (Moja adresa) vyberte požadované rozhranie WAN
• Do poľa Peer Gateway Address (Adresa partnerskej brány) zadajte verejnú IP adresu vzdialeného (pobočkového) zariadenia.
• Zóna: IPSec_VPN
• Pre položku Authentication Method (Spôsob overovania) vyberte možnosť Pre-Shared Key (PSK).

V poli Type (Typ) vyberte: Route-Based.

1. Do poľa Remote Subnet (Vzdialená podsieť) zadajte manuálne: 192.168.88.0/27.
2. Do položky VTI Interface zadajte: 169.254.63.164/255.255.255.255.
3. Overte, či je na obrázku zobrazené pripojenie z miestneho rozhrania ge1 na vzdialenú IP adresu 93.159.250.211

V časti Nastavenia fázy 1 a Nastavenia fázy 2:

• Návrh: AES128 / SHA1
• DH Group (Skupina DH): DH2 / DH14

Kliknite na tlačidlo OK.

• Konfigurácia rozhrania VTI

Konfigurácia > Sieť > Rozhranie > VTI

Nastavenie IPSec VPN tunela pre ZLD

Prejdite do ponuky Konfigurácia > VPN > IPSec VPN > Brána VPN.

• Kliknite na tlačidlo Pridať a začiarknite položku Povoliť.
• Zadajte názov brány VPN:
• Vyberte verziu IKE: IKEv2
• V časti Moja adresa: Vyberte Interface: ge1 (s vašou verejnou IP adresou).
• V položke Peer Gateway Address (Adresa partnerskej brány): zadajte verejnú IP adresu vzdialeného zariadenia (HQ).
• V časti Authentication (Overovanie): Vyberte položku Pre-Shared Key (zdieľaný kľúč) a zadajte rovnaký kľúč, aký sa používa v zariadení Flex.

• Konfigurácia rozhrania VTI

Konfigurácia > Sieť > Rozhranie > VTI