Firewall Zyxel [VPN] - Konfigurácia siete IPSec Site-To-Site VPN na firewalle Zyxel [samostatný režim]

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

Táto príručka vás prevedie nastavením siete VPN typu Site-to-Site (S2S) medzi dvoma firewallmi pomocou protokolu IKEv2 IPSec. Budeme sa zaoberať ručnou konfiguráciou aj použitím vstavaného sprievodcu, ako aj tým, ako nakonfigurovať VPN na prácu s viacerými podsieťami v rámci toho istého tunela.

V prípade, že hľadáte ďalšie scenáre VPN, tipy a triky, pozrite si nasledujúce články:

Všeobecné informácie:

Nebula:

Kancelária sa chce bezpečne pripojiť k svojej centrále prostredníctvom internetu. Obe kancelárie majú na prístup na internet zariadenie USG / ZyWall / ATP / USG FLEX.

Poznámka: Skôr ako začnete konfigurovať VPN, uistite sa, že obe pracoviská nemajú rovnaké podsiete. Konfigurácia VPN medzi lokalitami s rovnakou podsieťou na oboch stranách je technicky možná, ale nie je jednoduchá a môže viesť ku komplikáciám kvôli prekrývajúcim sa IP adresám. Ak majú obe lokality rovnakú podsieť, môže to viesť ku konfliktom v smerovaní, pretože sieť VPN nebude vedieť, na ktorú stranu má posielať prevádzku, keď uvidí adresu IP, ktorá existuje v oboch lokalitách.

Metóda sprievodcu Nastavenie VPN

Najjednoduchšou a najpohodlnejšou metódou vytvorenia pripojenia medzi lokalitami je použitie vstavaného sprievodcu. V prvom príklade tohto článku vás prevedieme týmto procesom. Aj v prípade, že ste mali problémy pri ručnom konfigurovaní siete VPN, môžete použiť sprievodcu nastavením siete VPN a porovnať nastavenia na účely riešenia problémov.

Nastavenia lokality HQ (Wizzard)

  • Prihláste sa do webového grafického rozhrania brány firewall HQ Site a prejdite do časti Sprievodca rýchlym nastavením v ľavej ponuke.
  • Kliknite na položku "Nastavenie VPN".

Môžete si vybrať medzi expresným (VPN s predvolenými hodnotami) alebo pokročilým (manuálne nastavenie kryptografie atď...). Na príklade tohto článku sme zvolili možnosť "Advanced" (Rozšírené).

  • Dôrazne odporúčame používať IKEv2 namiesto IKEv1, aby sa zvýšila bezpečnosť, rýchlosť nadviazania spojenia, stabilita, podpora mobility a zvýšila efektívnosť pri spracovaní zmien v sieti.
  • Zadajte zrozumiteľný názov a vyberte možnosť Site-to-Site VPN.
  • Kliknite na tlačidlo "Ďalej".

Nastavenia fázy 1

  • Na ďalšom mieste zadajte "Secure Gateway" Toto je adresa Wan vášho druhého firewallu; v tomto prípade je to IP adresa pobočky. (Keď začnete konfigurovať druhý firewall, budete musieť vyplniť WAN IP adresu tohto firewallu. )
  • Nastavte návrhy fázy 1 podľa potreby. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrým šifrovaním/overovaním, napríklad AES256 pre šifrovanie, SHA512 pre overovanie a DH14 pre skupinu kľúčov.

Nastavenia fázy 2

  • Uistite sa, že nastavenia fázy 2 sú rovnaké ako nastavenia fázy 1. (t. j. AES256, SHA512).
  • Miestne zásady a vzdialené zásady - Miestne a vzdialené zásady definujú, ktorá prevádzka sa šifruje v sieti VPN medzi lokalitami, čím sa zabezpečí bezpečná, efektívna a správne smerovaná komunikácia medzi sieťami.

    Poznámka: Najprv skontrolujte, či adresa IP vzdialenej podsiete už neexistuje v miestnej podsieti, aby ste sa vyhli dvojitej konfigurácii adresy IP. Ak je vzdialená podsieť podobná jednej miestnej podsieti, budete môcť dosiahnuť len miestnu sieť.
  • Po správnom zadaní všetkých údajov kliknite na tlačidlo "Next" (Ďalej), ešte raz skontrolujte všetky nastavenia, kliknite na tlačidlo"Save" (Uložiť) a pokračujte v konfigurácii druhej brány firewall.

Nastavenia pobočky (Wizzard)

Pri nastavení brány firewall v druhej pobočke musíte postupovať presne podľa rovnakého postupu. Hlavný rozdiel je len v niektorých nastaveniach.

  • IP adresa brány musí byť zadaná ako IP adresa WAN zariadenia v sídle centrály
  • Miestna politika a vzdialená politika sa budú tiež líšiť. Príklad uvedený nižšie:
    Lokalita HQ
    Miestna politika: 192.168.40.1
    Vzdialená politika: 192.168.70.1
    Pobočka:
    Miestna politika: 192.168.70.1
    Vzdialená politika: 192.168.40.1
  • Ak bolo všetko správne nakonfigurované a nie sú žiadne problémy s pripojením, inými nastaveniami alebo výstavbou, pripojenie VPN sa vytvorí automaticky ihneď po uložení nastavení.

Manuálna metóda nastavenia siete VPN

Brána VPN - manuálne nastavenia lokality HQ

  • Prihláste sa do webového grafického rozhrania brány firewall HQ Site
Go to Configuration -> VPN -> VPN Ge -> Add
  • Začiarknite políčko Enable (Povoliť)
  • Zadajte jasný názov
  • Vyberte verziu IKE

Dôrazne odporúčame používať IKEv2 namiesto IKEv1, aby sa zlepšila bezpečnosť, zrýchlilo nadviazanie spojenia, zvýšila stabilita, podpora mobility a efektivita pri spracovaní zmien v sieti.

  • My Address (Interface) (Moja adresa (rozhranie)) - nastaví vašu adresu IP wan.
  • Peer Gateway Address (Adresa partnerskej brány) - toto je adresa WAN vašej druhej brány firewall; v tomto prípade je to adresa IP pobočky. (Keď začnete konfigurovať druhú bránu firewall, budete musieť vyplniť IP adresu WAN tejto brány firewall.
  • Pre-Shared Key (vopred zdieľaný kľúč) - vytvorte silné heslo (tento kľúč budete používať aj na vzdialenom zariadení).
  • Nastavenia fázy 1 - Nastavte návrhy fázy 1 podľa potreby. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrým šifrovaním/overovaním, napríklad AES256 na šifrovanie, SHA512 na overovanie a DH14 na skupinu kľúčov.

Tunel VPN - Príručka nastavení lokality HQ

dyn_repppp_1

Najskôr je potrebné vytvoriť objekt pre "Remote Policy" kliknutím na "Create New Object" (Vytvoriť nový objekt) a výberom "IPV4 Address" (Adresa IPV4).

  • Názov - zadajte jasný názov
  • Typ adresy - "SUBNET"
  • Sieť - adresa miestnej siete vzdialenej lokality
  • Netmask (Maska siete) - maska podsiete vzdialenej lokality
  • Potom kliknite na tlačidlo "OK"

Teraz môžeme pokračovať vo vypĺňaní ďalších polí.

  • Začiarknite políčko Enable (Povoliť)
  • Zadajte jasný názov
  • Vyberte možnosť Site-To-Site VPN
  • Brána VPN - Vyberte bránu VPN vytvorenú v predchádzajúcom kroku
  • Miestna politika a vzdialená politika sa budú líšiť.
  • Nastavenia fázy 2 - Nastavte návrhy fázy 2 podľa potreby. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrým šifrovaním/overovaním, napríklad AES256 pre šifrovanie, SHA512 pre overovanie a DH14 pre skupinu kľúčov.
  • Kliknite na tlačidlo "Ok".

Teraz môžeme začať konfigurovať lokalitu Pobočka. Na to postupujte podľa rovnakých krokov ako v prípade lokality centrály, ale s niektorými zmenami údajov.

Brána VPN - Príručka nastavení pobočky

Configuration > VPN > IPSec VPN > VPN Gateway

Zopakujte kroky z centrály, aby ste nakonfigurovali bránu VPN

  • Pri konfigurácii brány VPN na bráne Firewall v lokalite HQ ste v poli "Peer Gateway Address Static Address " ( Statickáadresa peer brány ) zadali adresu WAN vašej lokality Branch. Teraz pri konfigurácii lokality Pobočky musíte do poľa "Peer Gateway Address Static Address " ( Statickáadresa peer brány) zadať IP adresu WAN vašej lokality HQ.
  • Pre-Shared Key (vopred zdieľaný kľúč) - musí byť rovnaký pre obe lokality.

Tunel VPN - Príručka nastavení pobočky

Configuration > VPN > IPSec VPN > VPN Connection

Zopakujte kroky pre ústredie, aby ste nakonfigurovali tunel VPN

  • Až na niekoľko rozdielov ste pri konfigurácii lokality HQ zadali sieť v lokalite Pobočka v poli Vzdialené zásady. Teraz, keď konfigurujete lokalitu Pobočka, musíte v poli Remote Policy (Vzdialená politika) zadať sieť z lokality HQ.

Začiarknite možnosť "Nailed-Up " (Pribitý), aby ste vytvorili tunel VPN a pripojili sa automaticky.

Otestujte výsledok

  • Pripojte tunel VPN prvýkrát manuálne. Potom by sa malo opätovne vyhľadať pripojenie a automaticky sa pripojiť.
  • To, že je tunel VPN pripojený, môžete vidieť, keď je symbol zeme zelený

Poznámka: Skontrolujte pravidlá brány firewall, či existujú predvolené pravidlá IPSec-to-Device a IPSec-to-Any.
V opačnom prípade môže dôjsť k zablokovaniu prevádzky medzi tunelmi.
Screenshot_2021-05-26_173435.png

Obmedzenie - Používajte niekoľko podsietí

Na firewalloch Zyxel existuje obmedzenie, pri ktorom nemôžete v tuneli VPN vybrať niekoľko podsietí. Miestna politika (podsieť) a vzdialená politika (podsieť) môžu byť nakonfigurované len s jednou podsieťou každá. 

Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy

Ak chcete tento problém obísť, môžete nakonfigurovať trasu politiky na smerovanie ďalších podsietí do tunela manuálne.

Vytvorte túto trasu zásad:

Poznámka! Môže byť potrebné smerovať pakety odpovedí späť cez tunel na vzdialenej lokalite.

Riešenie problémov

Bežné problémy a ich riešenia:

  • Nesprávny zdieľaný kľúč: Predsdieľaný kľúč: Dvakrát skontrolujte predsdieľaný kľúč na oboch zariadeniach.
  • Nesprávna konfigurácia podsiete: Skontrolujte, či sú v nastaveniach VPN nakonfigurované správne miestne a vzdialené podsiete.
  • Nastavenia fázy 1 a fázy 2:

Nastavenia kľúča, ktoré je potrebné skontrolovať, aby ste sa uistili, že sú rovnaké na oboch lokalitách

  • Metóda overovania: Zvyčajne sa používa vopred zdieľaný kľúč.
  • Šifrovací algoritmus: Bežné možnosti zahŕňajú AES (128/256 bitov), 3DES.
  • Algoritmus hašovania: Zvyčajne SHA-256 alebo SHA-512 alebo SHA-1.
  • Skupina DH (Diffie-Hellmanova skupina): Zabezpečuje bezpečnú výmenu kľúčov (napr. skupina 2, skupina 14).
  • Životnosť:

Podrobnejšie pokyny na riešenie problémov nájdete na tomto odkaze:

Zyxel Firewall [VPN] - Riešenie problémov s miestnou sieťou VPN [samostatný režim].

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
10 z 19 to považovali za užitočné
Zdieľať