Zyxel H Series Firewall [nästa hopp i policyvägar] Varför ruttbaserat VPN ersätter policybaserat VPN - och varför det är bra

Skapat 05 Juni 2025 13:04 - Uppdaterad 26 Juni 2025 15:12

Serhii Boiarynov

Viktigt meddelande:
Kära kund, var medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om riktigheten i informationen i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Med introduktionen av Zyxel UOS-operativsystemet och lanseringen av den nya H-serien har Zyxel moderniserat hur VPN-anslutningar hanteras. Till skillnad från tidigare generationers enheter som USG- och ATP-serierna stöder H-serien inte längre användning av VPN-tunnlar som nästa hopp i policyvägar.

Detta är inte en begränsning, utan snarare ett skifte mot en modern, gränssnittsbaserad VPN-arkitektur som använder ruttbaserad VPN med VTI (Virtual Tunnel Interface). I den här artikeln förklaras skillnaden mellan policybaserat och ruttbaserat VPN och varför det nya tillvägagångssättet anses vara mer tillförlitligt, skalbart och enklare att hantera.

Fördelar med ruttbaserat VPN med VTI på Zyxel USG FLEX H

VPN-tunnlar skapas som virtuella gränssnitt (VTI) och deltar i routingen precis som fysiska portar.
Inget behov av att definiera VPN som next-hop i Policy Routes, vilket minskar konfigurationskomplexiteten och risken för felkonfigurering.
Bättre integration med Zyxels zonbaserade säkerhetsmodell.

Scenario:

Huvudkontoret använder flera interna subnät:
- 192.168.10.0/24 - Administration
- 192.168.20.0/24 - Redovisning
- 192.168.30.0/24 - Lager
Filialkontoret behöver åtkomst till dem alla via VPN.

Problem med policybaserad VPN:

Kräver att man skapar en separat tunnel eller policy för varje undernät.
Varje nätverksförändring (t.ex. ett nytt subnät) innebar manuell omkonfiguration av policyer och tunnlar.

Använda VTI på USG FLEX H:

Du skapar en enda VPN-tunnel mellan webbplatserna.
Konfigurera statiska standardvägar:

dst: 192.168.10.0/24 → via VTI-Office dst: 192.168.20.0/24 → via VTI-Office dst: 192.168.30.0/24 → via VTI-Office

När ett nytt subnät (t.ex. 192.168.40.0/24) läggs till är det bara att lägga till en rutt, ingen omkonfiguration av VPN behövs.
Åtkomstkontroll hanteras genom säkerhetspolicyer istället för statisk ruttlogik.

Konfigurera IPSec VPN-tunnel för uOS

Det här exemplet visar hur du använder VPN Setup Wizard för att konfigurera en ruttbaserad VPN-tunnel från plats till plats med en ZLD-enhet som peer-gateway, vilket möjliggör säker åtkomst mellan de två platserna när tunneln har upprättats.

Navigera tillVPN > IPSec VPN > Site to Site VPN > Add. och gå igenom alla steg i guiden och fyll i lämpliga fält:

Namn: IKE
IKE-version: IKEv2
I fältet My Address väljer du önskat WAN-gränssnitt
I fältet Peer Gateway Address anger du den offentliga IP-adressen för fjärrenheten (filialen).
Zon: IPSec_VPN
För Autentiseringsmetod väljer du Pre-Shared Key (PSK).

Välj under Typ: Route-baserad.

I Remote Subnet anger du manuellt: 192.168.88.0/27.
I VTI-gränssnitt anger du: 169.254.63.164/255.255.255.255.
Kontrollera att diagrammet visar anslutningen från det lokala gränssnittet ge1 till fjärr-IP 93.159.250.211

Under Inställningar för fas 1 och Inställningar för fas 2:

Förslag: AES128 / SHA1
DH-grupp: DH2 / DH14

Klicka på OK.

Konfigurera VTI-gränssnittet

Konfiguration > Nätverk > Gränssnitt > VTI

Konfigurera en IPSec VPN-tunnel för ZLD

Navigera till Konfiguration > VPN > IPSec VPN > VPN Gateway.

Klicka på Lägg till och markera Aktivera.
Ange namn på VPN-gateway:
Välj IKE-version: IKEv2
Under Min adress: Välj Interface: ge1 (med din offentliga IP).
Under Peer Gateway Address: ange den offentliga IP-adressen för fjärrenheten (HQ)
Under Authentication (Autentisering): Välj Pre-Shared Key och ange samma nyckel som används på Flex-enheten.