Dôležité upozornenie: |
Článok poskytuje podrobný návod na nastavenie IPSec site-to-site VPN tunela pomocou sprievodcu nastavením VPN na zariadeniach ZyWALL/USG. Vysvetľuje, ako nakonfigurovať tunel VPN medzi dvoma lokalitami vrátane lokality za smerovačom NAT, čím sa zabezpečí bezpečný prístup. Postup zahŕňa použitie sprievodcu nastavením VPN na vytvorenie pravidla VPN s predvolenými fázovými nastaveniami, konfiguráciu IP adries zabezpečenej brány a nastavenie miestnych a vzdialených politík. Zahŕňa aj overovacie kroky na otestovanie funkčnosti tunela a zaoberá sa možnými problémami, ktoré môžu vzniknúť, ako napríklad nesprávne nastavenia alebo konfigurácie bezpečnostných politík.
Nastavenie IPSec VPN tunela ZyWALL/USG firemnej siete (HQ)
1. V zariadení ZyWALL/USG použite sprievodcu nastaveniami VPN na vytvorenie pravidla VPN, ktoré možno použiť s bránou FortiGate. Kliknite na tlačidlo Next (Ďalej).
Rýchle nastavenie > Sprievodca nastavením VPN > Vitajte
2. Vyberte možnosť Express, ak chcete vytvoriť pravidlo VPN s predvolenými nastaveniami fázy 1 a fázy 2 a ako metódu overovania použiť vopred zdieľaný kľúč. Kliknite na tlačidlo Ďalej.
Rýchle nastavenie > Sprievodca nastavením VPN > Typ sprievodcu
3. Zadajte názov pravidla, ktorý sa použije na identifikáciu tohto pripojenia VPN (a brány VPN). Môžete použiť 1 až 31 alfanumerických znakov. Pri tejto hodnote sa rozlišujú veľké a malé písmená. Vyberte pravidlo, ktoré má byť Site-to-site. Kliknite na tlačidlo Ďalej.
Rýchle nastavenie > Sprievodca nastavením siete VPN > Typ sprievodcu > Nastavenia siete VPN (scenár)
4. Nakonfigurujte Secure Gateway IP ako WAN IP adresu pobočky (v príklade 172.100.30.40). Potom zadajte bezpečný kľúč Pre-Shared Key (8-32 znakov).
5. Nastavte lokálnu politiku ako rozsah IP adries siete pripojenej k zariadeniu ZyWALL/USG (centrála) a vzdialenú politiku ako rozsah IP adries siete pripojenej k zariadeniu ZyWALL/USG (pobočka).
Rýchle nastavenie > Sprievodca nastavením siete VPN > Typ sprievodcu > Nastavenia siete VPN (Konfigurácia)
5. Táto obrazovka poskytuje súhrnné informácie o tuneli VPN len na čítanie. Kliknite na tlačidlo Uložiť.
Rýchle nastavenie > Sprievodca nastavením VPN > Vitajte > Typ sprievodcu > Nastavenia VPN (súhrn)
6. Teraz je pravidlo nakonfigurované v zariadení ZyWALL/USG. Tu sa zobrazia nastavenia pravidiel fázy
Fáza 1: VPN > IPSec VPN > VPN Gateway Fáza 2: VPN > IPSec VPN > VPN Connection Rýchle nastavenie > Sprievodca nastavením VPN > Uvítanie > Typ sprievodcu > Nastavenia VPN > Sprievodca ukončený
7. Nakonfigurujte Peer ID Type ako Any, aby ZyWALL/USG nemusel kontrolovať obsah identity vzdialeného IPSec smerovača.
CONFIGURATION (Konfigurácia) > VPN > IPSec VPN > VPN Gateway (Brána VPN) > Show Advanced Settings (Zobraziť rozšírené nastavenia) > Authentication (Overovanie) > Peer ID Type (Typ ID partnera).
Nastavenie IPSec VPN tunela firemnej siete (pobočky) v zariadení ZyWALL/USG
1. V zariadení ZyWALL/USG použite sprievodcu nastaveniami VPN na vytvorenie pravidla VPN, ktoré možno použiť s bránou FortiGate. Kliknite na tlačidlo Next (Ďalej).
Rýchle nastavenie > Sprievodca nastavením VPN > Vitajte
2. Vyberte možnosť Express, ak chcete vytvoriť pravidlo VPN s predvolenými nastaveniami fázy 1 a fázy 2 a ako metódu overovania použiť vopred zdieľaný kľúč. Kliknite na tlačidlo Ďalej.
Rýchle nastavenie > Sprievodca nastavením VPN > Typ sprievodcu
3. Zadajte názov pravidla, ktorý sa použije na identifikáciu tohto pripojenia VPN (a brány VPN). Môžete použiť 1 až 31 alfanumerických znakov. Pri tejto hodnote sa rozlišujú veľké a malé písmená. Vyberte pravidlo, ktoré má byť Site-to-site. Kliknite na tlačidlo Ďalej.
Rýchle nastavenie > Sprievodca nastavením siete VPN > Typ sprievodcu > Nastavenia siete VPN (scenár)
4. Nakonfigurujte Secure Gateway IP ako WAN IP adresu pobočky (v príklade 172.100.20.30). Potom zadajte bezpečný kľúč Pre-Shared Key (8-32 znakov).
5. Nastavte lokálnu politiku ako rozsah IP adries siete pripojenej k zariadeniu ZyWALL/USG (centrála) a vzdialenú politiku ako rozsah IP adries siete pripojenej k zariadeniu ZyWALL/USG (pobočka).
Rýchle nastavenie > Sprievodca nastavením siete VPN > Typ sprievodcu > Nastavenia siete VPN (Konfigurácia)
5. Táto obrazovka poskytuje súhrnné informácie o tuneli VPN len na čítanie. Kliknite na tlačidlo Uložiť.
Rýchle nastavenie > Sprievodca nastavením VPN > Vitajte > Typ sprievodcu > Nastavenia VPN (súhrn)
6. Teraz je pravidlo nakonfigurované v zariadení ZyWALL/USG. Tu sa zobrazia nastavenia pravidiel fázy
Fáza 1 : VPN > IPSec VPN > VPN Gateway Fáza 2: VPN > IPSec VPN > VPN Connection Rýchle nastavenie > Sprievodca nastavením VPN > Uvítanie > Typ sprievodcu > Nastavenia VPN > Sprievodca ukončený
7. Nakonfigurujte Peer ID Type ako Any, aby ZyWALL/USG nemusel kontrolovať obsah identity vzdialeného IPSec smerovača.
CONFIGURATION (Konfigurácia) > VPN > IPSec VPN > VPN Gateway (Brána VPN) > Show Advanced Settings (Zobraziť rozšírené nastavenia) > Authentication (Overovanie) > Peer ID Type (Typ ID partnera).
Nastavenie smerovača NAT (v tomto príklade sa používa zariadenie ZyWALL USG)
Poznámka: Tieto nastavenia by sa mali použiť len v prípade, ak sa jeden z vašich firewallov nachádza za NAT. Tieto nastavenia by mali byť nakonfigurované na NAT smerovači umiestnenom pred firewallom, ktorým môže byť smerovač poskytovateľa internetových služieb alebo hlavný smerovač vo vašej kancelárskej sieti. Nižšie uvádzame príklad s použitím jedného z našich zariadení - slúži len na referenčné účely.
1. Vyberte prichádzajúce rozhranie, na ktorom sa musia prijímať pakety pre pravidlo NAT. 2. Zadajte pole Pôvodná IP definovaná používateľom a zadajte preloženú cieľovú IP adresu, ktorú toto pravidlo NAT podporuje.
Konfigurácia > Sieť > NAT > Pridať
2. Na bráne firewall musí byť povolené presmerovanie IP pre nasledujúce protokoly IP a porty UDP:
Protokol IP = 50 → Používa sa pri dátovej ceste (ESP)
Protokol IP = 51 → Používa dátová cesta (AH)
Číslo portu UDP = 500 → používa IKE (riadiaca cesta IPSec)
Číslo portu UDP = 4500 → používa ho NAT-T (IPsec NAT traverzovanie)
KONFIGURÁCIA > Bezpečnostná politika > Kontrola politiky
VERIFIKÁCIA:
Otestujte tunel IPSec VPN
1. Prejdite do ponuky CONFIGURATION (Konfigurácia) > VPN > IPSec VPN > VPN Connection (Pripojenie VPN).
2. Kliknite na tlačidlo Pripojiť na hornej lište. Keď je rozhranie pripojené, svieti ikona Stav pripojenia.
2. Overte čas spustenia tunela (Up Time) a prichádzajúcu (Bajty)/odchádzajúcu (Bajty) prevádzku.
MONITOR > VPN Monitor > IPSec
3. Ak chcete otestovať, či tunel funguje, napíšte ping z počítača v jednej lokalite na počítač v druhej lokalite. Uistite sa, že oba počítače majú prístup na internet (prostredníctvom zariadení IPSec).
Počítač za zariadením ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
PC za zariadením ZyWALL/USG (pobočka) > Window 7 > cmd > ping 10.10.10.33
Čo sa môže pokaziť?
1. Ak sa zobrazí nižšie uvedená správa denníka [info] alebo [error], skontrolujte nastavenia fázy 1 systému ZyWALL/USG. Na vytvorenie IKE SA musí ZyWALL/USG v ústredí aj v pobočkách používať rovnaký Pre-Shared Key (zdieľaný kľúč), Encryption (šifrovanie), Authentication method (metóda overovania), DH key group (skupina kľúčov DH) a ID Type (typ identifikátora).
MONITOR > Protokol
2. Ak vidíte, že proces 1. fázy IKE SA sa skončil, ale stále sa zobrazuje nižšie uvedená správa denníka [info], skontrolujte nastavenia 2. fázy ZyWALL/USG. Na vytvorenie IKE SA musí ZyWALL/USG v ústredí aj v pobočkách používať rovnaký protokol, zapuzdrenie, šifrovanie, metódu overovania a PFS.
MONITOR > Protokol
3. Uistite sa, že bezpečnostné politiky oboch zariadení ZyWALL/USG v lokalite HQ aj v lokalite Branch povoľujú prevádzku IPSec VPN. IKE používa port UDP 500, AH používa protokol IP 51 a ESP používa protokol IP 50.
4. Na zariadení ZyWALL/USG je štandardne povolený prechod cez sieť NAT, uistite sa, že aj vzdialené zariadenie IPSec musí mať povolený prechod cez sieť NAT.