Viktigt meddelande: |
Artikeln innehåller en steg-för-steg-guide för att konfigurera en IPSec VPN-tunnel från plats till plats med hjälp av VPN Setup Wizard på ZyWALL/USG-enheter. Den förklarar hur du konfigurerar VPN-tunneln mellan två webbplatser, inklusive en bakom en NAT-router, för att säkerställa säker åtkomst. Processen innebär att du använder guiden VPN-inställningar för att skapa en VPN-regel med standardfasinställningar, konfigurera säkra gateway-IP:er och ställa in lokala och fjärrpolicyer. Den omfattar också verifieringssteg för att testa tunnelns funktionalitet och tar upp potentiella problem som kan uppstå, till exempel felaktiga inställningar eller säkerhetspolicykonfigurationer.
Konfigurera ZyWALL/USG IPSec VPN-tunnel för företagsnätverk (HQ)
1. I ZyWALL/USG använder du guiden VPN Settings för att skapa en VPN-regel som kan användas med FortiGate. Klicka på Nästa.
Snabbinställning > VPN-inställningsguiden > Välkommen
2. Välj Express för att skapa en VPN-regel med standardinställningarna för fas 1 och fas 2 och använda en fördelad nyckel som autentiseringsmetod. Klicka på Nästa.
Snabbinställning > Guiden för VPN-inställningar > Typ av guide
3. Ange det regelnamn som används för att identifiera den här VPN-anslutningen (och VPN-gatewayen). Du kan använda 1-31 alfanumeriska tecken. Detta värde är skiftlägeskänsligt. Välj att regeln ska vara Site-to-site. Klicka på Nästa.
Snabbinställning > Guiden VPN-inställning > Typ av guide > VPN-inställningar (Scenario)
4. Konfigurera Secure Gateway IP som filialens WAN-IP-adress (i exemplet 172.100.30.40). Skriv sedan in en säker Pre-Shared Key (8-32 tecken).
Ställ in Lokal policy till att vara IP-adressintervallet för nätverket som är anslutet till ZyWALL/USG (HQ) och Fjärrpolicy till att vara IP-adressintervallet för nätverket som är anslutet till ZyWALL/USG (Branch).
Snabbinställning > Guiden för VPN-inställning > Typ av guide > VPN-inställningar (konfiguration)
5. Denna skärm ger en skrivskyddad sammanfattning av VPN-tunneln. Klicka på Spara.
Snabbinställning > Guiden VPN-inställning > Välkommen > Typ av guide > VPN-inställningar (Sammanfattning)
6. Nu är regeln konfigurerad på ZyWALL/USG. Inställningarna för fasreglerna kommer att visas här
Fas 1: VPN > IPSec VPN > VPN Gateway Fas 2: VPN > IPSec VPN > VPN-anslutning Snabbinställning > Guiden för VPN-inställning > Välkommen > Typ av guide > VPN-inställningar > Guiden slutförd
7. Konfigurera Peer ID Type som Any för att låta ZyWALL/USG inte behöva kontrollera identitetsinnehållet i den avlägsna IPSec-routern.
KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Visa avancerade inställningar > Autentisering > Peer ID-typ
Konfigurera ZyWALL/USG IPSec VPN-tunnel för företagsnätverk (filial)
1. I ZyWALL/USG använder du guiden VPN-inställningar för att skapa en VPN-regel som kan användas med FortiGate. Klicka på Nästa.
Snabbinställning > VPN-inställningsguiden > Välkommen
2. Välj Express för att skapa en VPN-regel med standardinställningarna för fas 1 och fas 2 och använda en fördelad nyckel som autentiseringsmetod. Klicka på Nästa.
Snabbinställning > Guiden för VPN-inställningar > Typ av guide
3. Ange det regelnamn som används för att identifiera den här VPN-anslutningen (och VPN-gatewayen). Du kan använda 1-31 alfanumeriska tecken. Detta värde är skiftlägeskänsligt. Välj att regeln ska vara Site-to-site. Klicka på Nästa.
Snabbinställning > Guiden VPN-inställning > Typ av guide > VPN-inställningar (Scenario)
4. Konfigurera Secure Gateway IP som filialens WAN-IP-adress (i exemplet 172.100.20.30). Skriv sedan in en säker Pre-Shared Key (8-32 tecken).
Ställ in lokal policy till att vara IP-adressintervallet för nätverket som är anslutet till ZyWALL/USG (HQ) och fjärrpolicy till att vara IP-adressintervallet för nätverket som är anslutet till ZyWALL/USG (Branch).
Snabbinställning > Guiden för VPN-inställning > Typ av guide > VPN-inställningar (konfiguration)
5. Denna skärm ger en skrivskyddad sammanfattning av VPN-tunneln. Klicka på Spara.
Snabbinställning > Guiden VPN-inställning > Välkommen > Typ av guide > VPN-inställningar (Sammanfattning)
6. Nu är regeln konfigurerad på ZyWALL/USG. Inställningarna för fasreglerna kommer att visas här
Fas 1: VPN > IPSec VPN > VPN Gateway Fas 2: VPN > IPSec VPN > VPN-anslutning Snabbinställning > Guiden för VPN-inställning > Välkommen > Typ av guide > VPN-inställningar > Guiden slutförd
7. Konfigurera Peer ID Type som Any för att låta ZyWALL/USG inte behöva kontrollera identitetsinnehållet i den avlägsna IPSec-routern.
KONFIGURATION > VPN > IPSec VPN > VPN Gateway > Visa avancerade inställningar > Autentisering > Peer ID-typ
Konfigurera NAT-routern (använder ZyWALL USG-enhet i det här exemplet)
Obs: Dessa inställningar ska endast tillämpas om en av dina brandväggar ligger bakom en NAT. Dessa inställningar ska konfigureras på NAT-routern som är placerad före brandväggen, vilket kan vara din ISP-router eller huvudroutern i ditt kontorsnätverk. Nedan ger vi ett exempel med en av våra enheter - detta är endast för referensändamål.
1. Välj det inkommande gränssnitt där paket för NAT-regeln måste tas emot. Ange fältet User-Defined Original IP och skriv den översatta destinations-IP-adressen som den här NAT-regeln stöder.
KONFIGURATION > Nätverk > NAT > Lägg till
2. IP-vidarebefordran måste vara aktiverad i brandväggen för följande IP-protokoll och UDP-portar:
IP-protokoll = 50 → Används av datasökväg (ESP)
IP-protokoll = 51 → Används av dataväg (AH)
UDP-portnummer = 500 → används av IKE (IPSec-kontrollväg)
UDP-portnummer = 4500 → används av NAT-T (IPsec NAT-traversal)
KONFIGURATION > Säkerhetsprincip > Principkontroll
VERIFIERING:
Testa IPSec VPN-tunneln
1. Gå till KONFIGURATION > VPN > IPSec VPN > VPN-anslutning
klicka på Connect i den övre fältet. Ikonen Status connect tänds när gränssnittet är anslutet.
2. Verifiera tunnelns upptid och inkommande (Bytes)/utgående (Bytes) trafik.
ÖVERVAKNING > VPN-övervakning > IPSec
3. För att testa om en tunnel fungerar eller inte, gör en ping från en dator på den ena sidan till en dator på den andra sidan. Se till att båda datorerna har tillgång till Internet (via IPSec-enheter).
Dator bakom ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33
Dator bakom ZyWALL/USG (filial) > Window 7 > cmd > ping 10.10.10.33
Vad kan gå fel?
1. Om du ser nedanstående [info] eller [fel] loggmeddelande, kontrollera ZyWALL/USG fas 1-inställningar. Både ZyWALL/USG på huvudkontoret och filialerna måste använda samma Pre-Shared Key, kryptering, autentiseringsmetod, DH-nyckelgrupp och ID-typ för att upprätta IKE SA.
MONITOR > Logg
2. Om du ser att fas 1 IKE SA-processen är klar men fortfarande får nedanstående [info]-loggmeddelande, kontrollera ZyWALL/USG fas 2-inställningarna. Både ZyWALL/USG på huvudkontoret och filialerna måste använda samma protokoll, inkapsling, kryptering, autentiseringsmetod och PFS för att upprätta IKE SA.
ÖVERVAKNING > Logg
3. Kontrollera att säkerhetspolicyerna för både ZyWALL/USG på huvudkontoret och filialen tillåter IPSec VPN-trafik. IKE använder UDP-port 500, AH använder IP-protokoll 51 och ESP använder IP-protokoll 50.
4. Standard NAT-traversering är aktiverad på ZyWALL/USG, se till att den avlägsna IPSec-enheten också måste ha NAT-traversering aktiverad.