Ako nakonfigurovať smerovanie pre klientov L2TP cez IPSec do vzdialenej kancelárie cez IPSec tunel na hardvérových bránach série ZyWALL USG?
(Použitie ZyWALL USG 50 ako príklad)
Uvažujme nasledujúcu topológiu:
Sú tu 2 kancelárie, A a B (v každej kancelárii je nainštalovaná hardvérová brána série ZyWALL USG). Sú prepojené IPSec VPN tunelom. Vzdialení klienti L2TP cez IPSec sa pripájajú do každej kancelárie cez internet.
Úloha: nakonfigurovať smerovanie tak, aby všetci klienti L2TP cez IPSec mohli pristupovať k lokálnej podsieti kancelárií A a B, bez ohľadu na to, ku ktorej kancelárii je klient pripojený.
Podstata konfigurácie spočíva v vytvorení dvoch trás na oboch bezpečnostných bránach:
1. Všetka prevádzka (s akoukoľvek zdrojovou IP adresou) smerovaná do vzdialenej podsiete bude smerovaná do IPSec VPN tunela. Táto trasa je potrebná, pretože IP adresy klientov L2TP cez IPSec nie sú v rozsahu špecifikovanom v VPN Connections pre spojenie medzi dvoma kanceláriami. Prevádzka nebude automaticky smerovaná do tunela.
2. Druhá trasa nasmeruje bránu, že prevádzka s cieľovými IP adresami z rozsahu vzdialených klientov L2TP cez IPSec by mala byť odoslaná cez IPSec tunel medzi kanceláriami, alebo prevádzka určená pre vzdialených klientov L2TP cez IPSec by mala byť smerovaná cez IPSec tunel medzi kanceláriami. Bez tejto trasy nebudú odpovede na požiadavky doručené.
Prejdime si parametre nášho testovacieho nastavenia:
| ZyWALL USG 50 (Kancelária A) | ZyWALL USG 100 (Kancelária B) |
wan1: 10.0.0.2 (v reálnom nasadení by to mala byť globálna statická IP adresa) | wan1: 10.0.1.2 (v reálnom nasadení by to mala byť globálna statická IP adresa) |
Konfigurácia ZyWALL USG 50 z Kancelárie A
Na konfiguráciu rozhraní prejdite do Configuration > Network > Interface a vyberte záložku Ethernet.
Na vytvorenie objektov potrebných pre konfiguráciu smerovania prejdite do Configuration > Object > Address.
Okrem podsietí pre klientov L2TP cez IPSec je potrebné vytvoriť aj objekt typu INTERFACE IP pre rozhranie wan1 a objekt typu SUBNET definujúci vzdialenú podsieť Kancelárie B. Toto je potrebné pre konfiguráciu L2TP cez IPSec tunela a IPSec tunela medzi kanceláriami.
L2TP cez IPSec tunel a IPSec tunel medzi kanceláriami by mali byť nakonfigurované v Configuration > VPN > IPSec VPN > VPN Gateway a Configuration > VPN > IPSec VPN > VPN Connection.
Na konfiguráciu pravidiel smerovania prejdite do Configuration > Network > Routing > Policy Route.
Nastavenia prvej trasy:
Nastavenia druhej trasy:
Ďalej je potrebné nakonfigurovať firewall. Na konfiguráciu pravidiel firewallu prejdite do Configuration > Network > Firewall.
V našom nastavení je hlavnou podmienkou povolenia paketov cez firewall priradenie oboch tunelov do rovnakej zóny, kde je povolená prevádzka medzi rozhraniami v zóne (Block Intra-zone – nie).
Takisto by mali byť pravidlá povoľujúce prevádzku z tejto zóny do lokálnej siete a z lokálnej siete do tejto zóny.
Konfigurácia ZyWALL USG 100 z Kancelárie B
Na konfiguráciu rozhraní prejdite do Configuration > Network > Interface a vyberte záložku Ethernet.
Na vytvorenie objektov potrebných pre konfiguráciu smerovania prejdite do Configuration > Object > Address.
Okrem podsietí pre klientov L2TP cez IPSec je potrebné vytvoriť aj objekt typu INTERFACE IP pre rozhranie wan1 a objekt typu SUBNET definujúci vzdialenú podsieť Kancelárie A. Toto je potrebné pre konfiguráciu L2TP cez IPSec tunela a IPSec tunela medzi kanceláriami.
L2TP cez IPSec tunel a IPSec tunel medzi kanceláriami by mali byť nakonfigurované v Configuration > VPN > IPSec VPN > VPN Gateway a Configuration > VPN > IPSec VPN > VPN Connection.
Na konfiguráciu pravidiel smerovania prejdite do Configuration > Network > Routing > Policy Route.
Nastavenia prvej trasy:
Nastavenia druhej trasy:
Ďalej je potrebné nakonfigurovať firewall. Na konfiguráciu pravidiel firewallu prejdite do Configuration > Network > Firewall.
V našom nastavení je hlavnou podmienkou povolenia paketov cez firewall priradenie oboch tunelov do rovnakej zóny, kde je povolená prevádzka medzi rozhraniami v zóne (Block Intra-zone – nie).
Takisto by mali byť pravidlá povoľujúce prevádzku z tejto zóny do lokálnej siete a z lokálnej siete do tejto zóny.
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.