Zyxel Firewall VPN – Nastavenie IPSec Site-To-Site VPN na Zyxel Firewall v samostatnom režime

Táto príručka vás prevedie nastavením Site-to-Site (S2S) VPN medzi dvoma firewallmi pomocou IKEv2 IPSec. Pokryjeme manuálnu konfiguráciu aj použitie vstavaného sprievodcu, ako aj spôsob konfigurácie VPN pre viacero podsietí v rámci jedného tunela.

Ak hľadáte iné scenáre VPN, tipy a triky, pozrite si nasledujúce články:

Všeobecné:

• VPN Návod – Výber správneho typu VPN pre váš Home Office (+Užitočné odkazy a návody)
• Provisioning konfigurácie VPN na USG-Firewalle
• Zyxel Firewall [VPN] – Riešenie problémov so Site-to-Site VPN [Samostatný režim]

Nebula:

• Vytvorenie Site-to-Site VPN v Nebula medzi dvoma Nebula bránami (NSG)

Kancelária chce bezpečne prepojiť so svojím sídlom cez internet. Obe kancelárie majú USG / ZyWall / ATP / USG FLEX na prístup na internet.

Poznámka: Pred začatím konfigurácie VPN sa uistite, že obe lokality nemajú rovnaké podsiete. Konfigurácia VPN medzi lokalitami s rovnakou podsieťou na oboch stranách je technicky možná, ale nie je jednoduchá a môže viesť ku komplikáciám v dôsledku prekrývajúcich sa IP adries. Keď obe lokality majú rovnakú podsieť, môže to spôsobiť konflikty v smerovaní, pretože VPN nebude vedieť, na ktorú stranu poslať prevádzku, keď uvidí IP adresu, ktorá existuje v oboch lokalitách.

Nastavenie VPN pomocou sprievodcu

Najjednoduchšou a najpohodlnejšou metódou na vytvorenie Site-to-Site spojenia je použitie vstavaného sprievodcu. V prvom príklade tohto článku vás prevedieme týmto procesom. Tiež, ak ste mali problémy s manuálnou konfiguráciou VPN, môžete použiť sprievodcu na nastavenie VPN a porovnať nastavenia pre účely riešenia problémov.

Nastavenia sídla (sprievodca)

• Prihláste sa do Web GUI firewallu na sídle a prejdite do sekcie Quick Setup Wizard v ľavom menu.
• Kliknite na „VPN Setup“

Môžete si vybrať medzi Express (VPN s predvolenými hodnotami) alebo Advanced (manuálne nastavenie kryptografie atď.). Pre ukážku v tomto článku sme zvolili možnosť „Advanced“.

• Dôrazne odporúčame používať IKEv2 namiesto IKEv1 pre zlepšenie bezpečnosti, rýchlejšie nadviazanie spojenia, stabilitu, podporu mobility a zvýšenie efektivity pri spracovaní zmien v sieti.
• Zadajte zrozumiteľný názov a vyberte Site-to-Site VPN.
• Kliknite na „Next“

Nastavenia fázy 1

• Na ďalšej stránke zadajte „Secure Gateway“. Toto je WAN adresa vášho druhého firewallu; v tomto prípade IP adresa pobočky. (Keď začnete konfigurovať druhý firewall, budete potrebovať vyplniť WAN IP adresu tohto firewallu.)
• Nastavte návrhy fázy 1 podľa želania. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrou šifrou/autentifikáciou, napríklad AES256 pre šifrovanie, SHA512 pre autentifikáciu a DH14 pre skupinu kľúčov.

Nastavenia fázy 2

• Uistite sa, že nastavenia fázy 2 sú rovnaké ako nastavenia fázy 1 (t.j. AES256, SHA512).
• Lokálna politika a vzdialená politika – Lokálne a vzdialené politiky definujú, ktorý prevádzka je šifrovaná v site-to-site VPN, zabezpečujúc bezpečnú, efektívnu a správne smerovanú komunikáciu medzi sieťami.
  
  Poznámka: Najprv skontrolujte, či IP adresa vzdialenej podsiete už neexistuje v lokálnej podsieti, aby ste sa vyhli dvojitej konfigurácii IP adries. Ak je vzdialená podsieť rovnaká ako lokálna, budete môcť dosiahnuť iba lokálnu sieť.

• Keď sú všetky údaje správne zadané, kliknite na „Next“, znova skontrolujte všetky nastavenia, kliknite na „Save“ a pokračujte v konfigurácii druhého firewallu.

Nastavenia pobočky (sprievodca)

Musíte postupovať presne podľa rovnakého postupu pre firewall v druhej kancelárii. Hlavný rozdiel je len v niektorých nastaveniach.

• IP brány musí byť zadaná ako WAN IP zariadenia na sídle
• Lokálna politika a vzdialená politika budú tiež odlišné. Príklad nižšie:
  Sídlo
  Lokálna politika: 192.168.40.1
  Vzdialená politika: 192.168.70.1
  Pobočka:
  Lokálna politika: 192.168.70.1
  Vzdialená politika: 192.168.40.1

• Ak je všetko správne nakonfigurované a nie sú žiadne problémy s pripojením, nastaveniami alebo konštrukciou, VPN spojenie sa automaticky nadviaže ihneď po uložení nastavení.

Manuálna metóda nastavenia VPN

VPN brána – manuálne nastavenia na sídle

• Prihláste sa do Web GUI firewallu na sídle

Prejdite na Konfigurácia -> VPN -> VPN Ge -> Pridať

• Zaškrtnite políčko Povoliť
• Zadajte zrozumiteľný názov
• Vyberte verziu IKE

Dôrazne odporúčame používať IKEv2 namiesto IKEv1 pre zlepšenie bezpečnosti, rýchlejšie nadviazanie spojenia, stabilitu, podporu mobility a zvýšenie efektivity pri spracovaní zmien v sieti.

• Moja adresa (rozhranie) – nastaví vašu WAN IP adresu.
• Adresa peer brány – Toto je WAN adresa vášho druhého firewallu; v tomto prípade IP adresa pobočky. (Keď začnete konfigurovať druhý firewall, budete potrebovať vyplniť WAN IP adresu tohto firewallu.)
• Predzdieľaný kľúč – Vytvorte silné heslo (tento kľúč použijete aj na vzdialenom zariadení).
• Nastavenia fázy 1 – Nastavte návrhy fázy 1 podľa želania. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrou šifrou/autentifikáciou, napríklad AES256 pre šifrovanie, SHA512 pre autentifikáciu a DH14 pre skupinu kľúčov. 

VPN tunel – manuálne nastavenia na sídle

Konfigurácia > VPN > IPSec VPN > VPN pripojenie > Pridať

Najprv je potrebné vytvoriť objekt pre „Vzdialenú politiku“ kliknutím na „Vytvoriť nový objekt“ a výberom „IPV4 adresa“.

• Názov – zadajte zrozumiteľný názov
• Typ adresy – „PODSIEŤ“
• Síť – lokálna sieť vzdialenej lokality
• Maska siete – maska podsiete vzdialenej lokality
• Potom kliknite na „OK“

Teraz môžeme pokračovať vyplnením ďalších polí.

• Zaškrtnite políčko Povoliť
• Zadajte zrozumiteľný názov
• Vyberte Site-To-Site VPN
• VPN brána – vyberte VPN bránu vytvorenú v predchádzajúcom kroku
• Lokálna politika a vzdialená politika budú odlišné.
• Nastavenia fázy 2 – Nastavte návrhy fázy 2 podľa želania. Z bezpečnostných dôvodov vyberte silné heslo a návrhy s dobrou šifrou/autentifikáciou, napríklad AES256 pre šifrovanie, SHA512 pre autentifikáciu a DH14 pre skupinu kľúčov. 
• Kliknite na „OK“

Teraz môžeme začať konfigurovať pobočku. Postupujte podľa rovnakých krokov ako pre sídlo, ale so zmenou niektorých údajov.

VPN brána – manuálne nastavenia pobočky

Konfigurácia > VPN > IPSec VPN > VPN brána

Opakujte kroky zo sídla na konfiguráciu VPN brány

• Pri konfigurácii VPN brány na firewalli v sídle ste zadali WAN IP pobočky do poľa „Peer Gateway Address“ – statická adresa. Teraz pri konfigurácii pobočky musíte zadať WAN IP sídla do poľa „Peer Gateway Address“ – statická adresa.
• Predzdieľaný kľúč – musí byť rovnaký pre obe lokality.

VPN tunel – manuálne nastavenia pobočky

Konfigurácia > VPN > IPSec VPN > VPN pripojenie

Opakujte kroky zo sídla na konfiguráciu VPN tunela

• S výnimkou niekoľkých rozdielov: pri konfigurácii sídla ste v poli Vzdialená politika zadali sieť pobočky. Teraz pri konfigurácii pobočky musíte v poli Vzdialená politika zadať sieť sídla.

Zaškrtnite možnosť „Nailed-Up“ pre automatické nadviazanie VPN tunela a pripojenie.

Otestujte výsledok

• Prvýkrát manuálne pripojte VPN tunel. Následne by mal automaticky kontrolovať pripojenie a znovu sa pripojiť.
• Vidíte, že VPN tunel je pripojený, keď je symbol zeme zelený.

Poznámka: Skontrolujte pravidlá firewallu, aby ste sa uistili, že existujú predvolené pravidlá IPSec-to-Device a IPSec-to-Any.
Inak môže byť prevádzka medzi tunelmi zablokovaná.

Obmedzenie – Použitie viacerých podsietí

Na Zyxel firewalloch existuje obmedzenie, kde nie je možné vybrať viacero podsietí v jednom VPN tuneli. Lokálna politika (podsiet) a vzdialená politika (podsiet) môžu byť nakonfigurované len s jednou podsieťou každá.

Konfigurácia -> VPN -> IPSec VPN -> VPN pripojenie -> Politika

Aby ste sa tomuto problému vyhli, môžete manuálne nakonfigurovať smerovaciu politiku, ktorá presmeruje ďalšie podsiete do tunela.

Vytvorte túto smerovaciu politiku:

Poznámka! Môže byť potrebné smerovať odpovedajúce pakety späť cez tunel na vzdialenej lokalite.

Riešenie problémov

Bežné problémy a riešenia:

• Nesprávny predzdieľaný kľúč: Dvojito skontrolujte predzdieľaný kľúč na oboch zariadeniach.
• Nesprávna konfigurácia podsietí: Uistite sa, že sú správne nakonfigurované lokálne a vzdialené podsiete v nastaveniach VPN.
• Nastavenia fázy 1 a fázy 2:

Kľúčové nastavenia, ktoré je potrebné skontrolovať, aby boli rovnaké na oboch lokalitách

• Metóda autentifikácie: Zvyčajne sa používa predzdieľaný kľúč.
• Šifrovací algoritmus: Bežné možnosti zahŕňajú AES (128/256 bitov), 3DES.
• Hash algoritmus: Typicky SHA-256 alebo SHA-512 alebo SHA-1.
• DH skupina (Diffie-Hellman skupina): Zabezpečuje bezpečnú výmenu kľúčov (napr. skupina 2, skupina 14).
• Platnosť (Lifetime):

Pre podrobnejšie pokyny na riešenie problémov pozrite odkaz:

Zyxel Firewall [VPN] – Riešenie problémov so Site-to-Site VPN [Samostatný režim]