Firewall Zyxel [Smerovanie VPN] - Smerovanie prevádzky z tunela VPN na iné miesto VPN [Smerovanie VPN]

V tomto článku sa vysvetľuje, ako smerovať prevádzku z tunela site-to-site do iného tunela, aby sa dosiahli zariadenia za pripojením site-to-site. Vysvetľuje, ako smerovať prevádzku z lokality A do lokality B cez firewall / bránu HQ (smerovanie site-to-site cez site-to-site tunel), riešenie problémov/problémov, pravidlá smerovania, ak chcete, aby vaše klientské zariadenia VPN dosiahli server, ktorý sa nachádza na inej lokalite (klient-to-site cez site-to-site), konfigurácia SecuExtender IPSec.

Alternatíva 1: Smerovanie prevádzky zo vzdialeného tunela VPN do iného site-to-site VPN

1) Nastavenie tunelov VPN

Predpoklad: Medzi lokalitami už musí byť vytvorené spojenie.

Po vytvorení tunela ho prepojíme pomocou protokolu L2TP cez IPSec.

Pokyny na nastavenie siete VPN nájdete na adrese:

VPN - Konfigurácia IPSec Site-To-Site VPN

Nájdete tu informácie o protokole L2TP cez IPSec:

VPN - Konfigurácia L2TP cez IPSec VPN pomocou PSK [Samostatný režim]

Na zjednodušenie procesu môžete použiť sprievodcu vytvorením tunela VPN a L2TP cez IPSec.

2) Konfigurácia smerovacích politík

Aby ste umožnili prevádzku medzi hlavnou centrálou (HQ) a lokalitou B, musíte nastaviť zásady a trasy pre tunel VPN.

Na bráne firewall centrály:

1. Vytvorte trasu zásad, ktorá bude smerovať prichádzajúce požiadavky z tunela L2TP do tunela lokality B. Toto je smerovanie prichádzajúcich požiadaviek z tunela L2TP cez bránu HQ Firewall do tunela lokality B

   • Zdroj: Podsieť klienta L2TP
   • Cieľ: Podsieť lokality B
   • Next-hop: VPN tunel "Site B tunnel"

Všimnite si, že cieľová adresa je adresa nášho klienta.

2. Vytvorte zásadu, ktorá povoľuje odpovede z lokality B a smeruje ich do tunela do lokality B. To je rozhodujúce pre prevádzku, ktorá sa vracia z lokality B do centrály.

• • Prameň: Zdroj: ľubovoľný
  • Cieľová stanica: Tunel L2TP
  • Next-hop: VPN tunel "L2TP Tunnel"

Na lokalite B:

1. Vytvorte tiež trasu zásad, ktorá povoľuje prichádzajúce požiadavky z centrály a presmeruje ich do tunela na lokalitu B. Vytvorte tiež trasu zásad, ktorá povoľuje odpovede z centrály a presmeruje ich do tunela na lokalitu B:

Uistite sa, že je povolené asymetrické smerovanie pre bezproblémové pripojenie. Túto možnosť nájdete tu:

Konfigurácia > Bezpečnostná politika > Kontrola politiky

Aktivácia tejto funkcie aktivuje "trojuholníkovú" trasu, čím umožní bráne firewall používať asymetrickú topológiu trasy v sieti a zabráni obnoveniu spojenia pri spätných odpovediach.

Dodržiavaním týchto krokov môžete efektívne smerovať prevádzku medzi tunelmi VPN a udržiavať plynulé a bezpečné spojenie medzi centrálou a lokalitou B.

Alternatíva 2: Smerovanie z tunela VPN do inej lokality VPN

1) Smerovanie prevádzky z lokality A do lokality B cez lokalitu centrály

Ak chcete, aby sa lokalita A dostala do lokality B a naopak, musíte na každej bráne firewall vytvoriť smerovanie, aby brána firewall HQ vedela, kam má posielať prichádzajúce požiadavky a kam má posielať aj odpovede.

1.1 Trasy zásad - Firewall HQ

Na firewalle HQ musíte najprv nakonfigurovať pravidlo, ktoré povoľuje požiadavky prichádzajúce z lokality A, ktoré smerujú do lokality B. Tie musia byť smerované v tuneli do lokality B, a to je dôležité pre požiadavky ICMP (prichádzajúce z lokality A), ale aj pre odpovede ICMP (prichádzajúce z lokality B a teraz sa opäť vracajú do lokality B).

Prichádzajúce: ľubovoľné - Zdroj: "Cieľ: "Site B subnet" - Next-hop Tunnel - "Site B VPN tunnel"

Po druhé, musíte nakonfigurovať pravidlo, ktoré povolí odpovede prichádzajúce z lokality B, ktoré smerujú do lokality A (keď ste poslali požiadavku z lokality A), a tie musia byť smerované do tunela lokality A. Je to dôležité pre požiadavky ICMP (prichádzajúce z lokality B), ale aj pre odpovede ICMP (prichádzajúce z lokality B a teraz sa opäť vracajú do lokality A).

Prichádzajúce: ľubovoľné - Zdroj: "Cieľ: "Site A subnet" - Next-hop Tunnel - "Site A VPN tunnel"

1.2 Smerovanie podľa zásad - Firewall lokality A

Potom musíte nakonfigurovať pravidlo, ktoré povolí požiadavky prichádzajúce z lokality B, ktoré smerujú na lokalitu A (keď ste poslali požiadavku z lokality B). Tie musia byť smerované"späť" do tunela lokality A, a to je dôležité pre požiadavky ICMP (prichádzajúce z lokality B), ale aj pre odpovede ICMP (prichádzajúce z lokality B a teraz sa opäť vracajú do lokality B).

Prichádzajúce: ľubovoľné - Zdroj: "Cieľ: "Site A subnet" - Next-hop "Site A VPN tunnel"

1.3 Zásady smerovania - Firewall lokality B

Potom musíte nakonfigurovať pravidlo, ktoré povolí požiadavky prichádzajúce z lokality A, ktoré smerujú na lokalitu B (keď ste poslali požiadavku z lokality A). Tie musia byť smerované"späť" do tunela lokality B, a to je dôležité pre požiadavky ICMP (prichádzajúce z lokality A), ale aj pre odpovede ICMP (prichádzajúce z lokality A a teraz sa opäť vracajú do lokality A).

Prichádzajúce: ľubovoľné - Zdroj: "Cieľ: "Ďalšie miesto: "Site B VPN tunel"

2) Overenie / riešenie problémov

Keď ste nakonfigurovali všetky trasy zásad, je dôležité overiť, či smerovanie skutočne funguje. Možno máte v pravidlách brány firewall konfliktné trasy (prekrývanie podsietí, existujúce politiky/statické trasy atď.) alebo je niečo iné nesprávne.

Všimnite si, že to môže byť veľmi mätúce, pretože existuje veľa trás, o ktoré sa musíte postarať. Najjednoduchšie je ručne zmapovať všetky toky paketov na papieri (PC -> brána A - brána musí smerovať do centrály, centrála musí smerovať do lokality B - lokalita B musí smerovať odpoveď opäť do centrály ... atď), opýtajte sa sami seba - "kto je zodpovedný za smerovanie a je smerovanie na mieste?".

Nižšie nájdete dva scenáre, v ktorých možno budete musieť zmeniť konfigurácie, aby smerovanie fungovalo.

2.1 Testovanie pingom na bránu firewall

Prvým je testovanie pomocou pingu z počítača na lokalite A na server alebo počítač na lokalite B:

Červená šípka - požiadavka ICMP [ping]

Zelená šípka - odpoveď ICMP [ping]

2.2mCesty politiky - Firewall lokality A

Ak odosielate ping na bránu lokality B z brány lokality A (zabudovaný nástroj ICMP), zásady smerovania na lokalite A sa neuplatnia na odpovede späť z lokality B, ak sa lokalita B pokúša odoslať ping na bránu lokality A.

Preto potrebujeme smerovanie zásad, ktoré vyzerá takto:

Prichádzajúce: Zdroj: ZyWall- Zdroj: Cieľ: "Site B subnet" -> Destination: "Ďalší cieľ: "Site A VPN tunel"

2.3 Zásady smerovania - Firewall lokality B

Prvý test, ktorý môžete vykonať, je ping na firewall, avšak keďže smerovanie, ktoré ste teraz vytvorili, je určené len pre prichádzajúce (s výnimkou Zywall), znamená to, že smerovanie sa neuplatní, ak ping prichádza z lokality A, dosiahne firewall lokality B a potom je firewall zodpovedný za odpoveď na túto požiadavku. Odpoveď ICMP bude potom vyzerať takto:

Požiadavka ICMP

PC (požiadavka ICMP) -> brána lokality A -> tunel VPN do centrály -> brána centrály posiela prevádzku do brány lokality B

Odpoveď ICMP

Brána lokality B (odpoveď ICMP) -> brána lokality B -> tunel VPN do HQ -> brána HQ posiela prevádzku bráne lokality A -> brána lokality A posiela pakety späť do PC

Preto je potrebná táto trasa politiky:

Prichádzajúce: Zdroj: ZyWall- Zdroj: Cieľ: "Site A subnet" -> Destination: "Ďalšie miesto: "Site B VPN tunel"

2.4 Testovanie pomocou Pinging servera / PC

Keďže PC sa nachádza v sieti 192.168.20.0/24 a server sa nachádza v sieti 192.168.30.0/24, server nerozpozná sieť 192.168.20.0/24, a preto server s veľkou pravdepodobnosťou zablokuje pakety ICMP prichádzajúce z neznámych podsietí. Preto pri vykonávaní testov vždy:

• vypnite všetky vstavané brány firewall (napr. Windows Defender / Firewall)
• vypnite ostatné antivírusové programy a softvéry na zabezpečenie koncových bodov nainštalované na serveri/počítači.

Smerovanie prevádzky medzi klientmi a lokalitami cez tunel medzi lokalitami

Pozor: Toto nefungovalo s dynamickou VPN! Prosím, vyberte iba Site2Site VPN!

1) Konfigurácia SecuExtender IPSec VPN

Aby bolo možné smerovať klientov IPSec VPN do iného tunela, musia používať pevné IP adresy.

Ak je potrebné smerovať veľa rôznych klientov, odporúča sa použiť IP adresy, ktoré sú blízko seba, aby sa mohol vytvoriť rozsah. Tým sa zníži počet potrebných trás.

Podsieť, v ktorej sa nachádzajú adresy IP, nemusí byť prítomná na bráne firewall.

Zadajte pevnú IP adresu na klientovi IPSec VPN

2) Nakonfigurujte smerovanie brány firewall

V bráne firewall prejdite na položku

a kliknite na

Add

a vytvorte rozsah IP adries klientov IPSec VPN.

Teraz môžeme pridať potrebné trasy pod

kliknutím na

Add

2.1 Na mieste A Firewall

Potrebujeme vytvoriť dve trasy:

• Jednu pre odchádzajúcu prevádzku, teda z dynamického tunela VPN-klient do vzdialenej podsiete cez tunel site-to-site.

• Jeden pre prichádzajúcu prevádzku, teda zo vzdialenej podsiete cez tunel site-to-site do tunela VPN-klient.

Nové trasy by mali vyzerať podobne:

Ďalším spôsobom, ako môže prechádzať prichádzajúca prevádzka zo vzdialenej podsiete cez vzdialený tunel VPN, je povolenie "asymetrickej trasy":

Tým sa povolí "trojuholníková" trasa, ktorá spôsobí, že firewall povolí použitie topológie asymetrickej trasy v sieti a nevynuluje spojenie, keď sa vráti odpoveď.

2.2. Na bráne firewall lokality B

Na vzdialenej lokalite môže byť potrebné mať vytvorené podobné trasy, aby zariadenie na hlavnej lokalite vedelo, ako spracovať prevádzku od klientov VPN prichádzajúcich z pobočky.

Na hlavnej lokalite vytvoríme rozsah IP pre vzdialených klientov VPN, aby sme ho mohli použiť na smerovanie prevádzky.

Teraz vytvoríme zodpovedajúce trasy aj na lokalite HQ.

Jednu odchádzajúcu trasu, teda z podsiete HQ cez tunel site-to-site do vzdialených klientov VPN.

A jedna prichádzajúca trasa, teda z rozsahu vzdialených klientov VPN cez tunel site-to-site do miestnej siete LAN centrály. Ak je prevádzka smerovaná do lokálnej podsiete, ako next-hop vyberieme "Auto", USG to spravuje automaticky.

Trasy by mali vyzerať približne takto:

+++ Môžete si kúpiť licencie pre svojich klientov Zyxel VPN (SSL VPN, IPsec) s okamžitým dodaním 1 kliknutím: Zyxel Webstore +++