Zyxel Firewall VPN - Konfigurera IPSec Site-To-Site VPN på Zyxel Firewall Fristående läge

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Denna guide hjälper dig att sätta upp en Site-to-Site (S2S) VPN mellan två brandväggar med hjälp av IKEv2 IPSec. Vi går igenom både manuell konfiguration och användning av en inbyggd guide, samt hur du konfigurerar VPN för att hantera flera subnät inom samma tunnel.

Om du letar efter andra VPN-scenarier, tips och tricks, ta en titt på följande artiklar:

Allmänt:

Nebula:

Ett kontor vill ansluta säkert till sitt huvudkontor via Internet. Båda kontoren har en USG / ZyWall / ATP / USG FLEX för internetåtkomst.

Observera: Innan du börjar konfigurera VPN, se till att båda platserna inte har samma subnät. Att konfigurera en VPN mellan platser med samma subnät på båda sidor är tekniskt möjligt, men det är inte enkelt och kan leda till komplikationer på grund av överlappande IP-adresser. När båda platserna har samma subnät kan detta leda till routingkonflikter eftersom VPN:n inte vet vilken sida trafiken ska skickas till när den ser en IP-adress som finns på båda platserna.

Guide-metod för att ställa in VPN

Det enklaste och mest bekväma sättet att etablera en Site-to-Site-anslutning är att använda den inbyggda guiden. I det första exemplet i denna artikel guidar vi dig genom processen. Om du har haft problem med manuell VPN-konfiguration kan du också använda guiden för att skapa VPN och jämföra inställningarna för felsökning.

Inställningar för huvudkontoret (Guide)

  • Logga in på din huvudkontors brandväggs webb-GUI och gå till avsnittet Snabbinställningsguide i vänstermenyn.
  • Klicka på "VPN Setup"

Du kan välja mellan Express (VPN med standardvärden) eller Avancerat (manuell inställning av kryptografi etc.). För att ge dig ett exempel i denna artikel har vi valt "Avancerat" alternativ.

  • Vi rekommenderar starkt att använda IKEv2 istället för IKEv1 för att förbättra säkerheten, snabba upp anslutningsetableringen, stabilitet, stöd för mobilitet och öka effektiviteten vid hantering av nätverksändringar.
  • Ange ett begripligt namn och välj Site-to-Site VPN.
  • Klicka på "Nästa"

Fas 1-inställningar

  • I nästa steg, ange “Säker gateway” Detta är WAN-adressen till din andra brandvägg; i detta fall är det filialens IP-adress. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN IP-adressen för denna brandvägg.)
  • Ställ in Fas 1-förslag efter önskemål. Av säkerhetsskäl, välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp.

Fas 2-inställningar

  • Säkerställ att fas 2-inställningarna är samma som fas 1-inställningarna (t.ex. AES256, SHA512).
  • Lokal policy och fjärrpolicy - Lokala och fjärrpolicys definierar vilken trafik som krypteras i en site-to-site VPN, vilket säkerställer säker, effektiv och korrekt routad kommunikation mellan nätverk.

    Observera: Kontrollera först att IP-adressen för det fjärranslutna subnätet inte redan finns på det lokala subnätet för att undvika dubbel IP-adresskonfiguration. När det fjärranslutna subnätet är likadant som ett lokalt subnät kan du bara nå det lokala nätverket.
  • När all data har matats in korrekt, klicka på “Nästa,” kontrollera alla inställningar igen, klicka på "Spara" och fortsätt med att konfigurera den andra brandväggen.

Inställningar för filialen (Guide)

Du behöver följa exakt samma procedur för brandväggen i det andra kontoret. Den största skillnaden är bara i vissa inställningar.

  • Gateway IP måste anges som WAN-IP för enheten på huvudkontoret
  • Lokal policy och fjärrpolicy kommer också att vara olika. Exempel nedan:
    Huvudkontor
    Lokal policy: 192.168.40.1
    Fjärrpolicy: 192.168.70.1
    Filial:
    Lokal policy: 192.168.70.1
    Fjärrpolicy: 192.168.40.1
  • Om allt har konfigurerats korrekt och det inte finns några problem med anslutningen, övriga inställningar eller konstruktionen, kommer en VPN-anslutning att upprättas automatiskt omedelbart efter att inställningarna sparats.

Manuell metod för att ställa in VPN

VPN-gateway - Manuell inställning för huvudkontoret

  • Logga in på din huvudkontors brandväggs webb-GUI
Gå till Konfiguration -> VPN -> VPN Ge -> Lägg till
  • Markera kryssrutan Aktivera
  • Ange ett tydligt namn
  • Välj IKE-version

Vi rekommenderar starkt att använda IKEv2 istället för IKEv1 för att förbättra säkerheten, snabba upp anslutningsetableringen, stabilitet, stödja mobilitet och öka effektiviteten vid hantering av nätverksändringar.

  • Min adress (gränssnitt) - ställer in din WAN IP-adress.
  • Peer Gateway-adress - Detta är WAN-adressen till din andra brandvägg; i detta fall är det filialens IP-adress. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN IP-adressen för denna brandvägg.)
  • Fördelad nyckel (Pre-Shared Key) - Skapa ett starkt lösenord (du kommer även att använda denna nyckel på den fjärranslutna enheten).
  • Fas 1-inställningar - Ställ in Fas 1-förslag efter önskemål. Av säkerhetsskäl välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp. 

VPN-tunnel - Manuell inställning för huvudkontoret

Konfiguration > VPN > IPSec VPN > VPN-anslutning > Lägg till

Det första du behöver göra är att skapa ett objekt för “Fjärrpolicy” genom att klicka på “Skapa nytt objekt” och välja “IPV4-adress.”

  • Namn - ange ett tydligt namn
  • Adress typ - “SUBNET”
  • Nätverk - det lokala nätverksadressen för den fjärranslutna platsen
  • Nätmask - subnätmask för den fjärranslutna platsen
  • Klicka sedan på “OK

Nu kan vi fortsätta att fylla i de andra fälten.

  • Markera kryssrutan Aktivera
  • Ange ett tydligt namn
  • Välj Site-To-Site VPN
  • VPN-gateway - Välj den VPN-gateway som skapades i föregående steg
  • Lokal policy och fjärrpolicy kommer att vara olika.
  • Fas 2-inställningar - Ställ in Fas 2-förslag efter önskemål. Av säkerhetsskäl välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp. 
  • Klicka på "Ok"

Nu kan vi börja konfigurera filialen. Följ samma steg som för huvudkontoret, men med vissa dataskillnader.

VPN-gateway - Manuell inställning för filialen

Konfiguration > VPN > IPSec VPN > VPN-gateway

Upprepa stegen för huvudkontoret för att konfigurera VPN-gatewayen

  • När du konfigurerade VPN-gatewayen på brandväggen på huvudkontoret angav du WAN-IP för filialen i fältet "Peer Gateway-adress Statisk adress”. Nu, när du konfigurerar filialen, måste du ange WAN-IP för huvudkontoret i fältet "Peer Gateway-adress Statisk adress”.
  • Fördelad nyckel - måste vara densamma för båda platserna.

VPN-tunnel - Manuell inställning för filialen

Konfiguration > VPN > IPSec VPN > VPN-anslutning

Upprepa stegen för huvudkontoret för att konfigurera VPN-tunneln

  • Förutom några skillnader: när du konfigurerade huvudkontoret angav du nätverket på filialen i fältet Fjärrpolicy. Nu, när du konfigurerar filialen, måste du ange nätverket från huvudkontoret i fältet Fjärrpolicy.

Markera alternativet "Always-On" för att upprätta VPN-tunneln och ansluta automatiskt.

Testa resultatet

  • Anslut VPN-tunneln manuellt första gången. Därefter bör den automatiskt kontrollera anslutningen och återansluta.
  • Du kan se att VPN-tunneln är ansluten när jord-symbolen är grön.

 

Observera: Kontrollera dina brandväggsregler för att säkerställa att standardreglerna IPSec-to-Device och IPSec-to-Any finns.
Annars kan trafiken mellan tunnlarna blockeras.
Screenshot_2021-05-26_173435.png

Begränsning - Använd flera subnät

På Zyxel-brandväggar finns en begränsning där du inte kan välja flera subnät i en VPN-tunnel. Lokal policy (subnät) och fjärrpolicy (subnät) kan endast konfigureras med ett subnät vardera.

Konfiguration -> VPN -> IPSec VPN -> VPN-anslutning -> Policy

För att komma runt detta problem kan du konfigurera en policyrutt för att manuellt routa andra subnät in i tunneln.

Skapa denna policyrutt:

Observera! Det kan vara nödvändigt att routa svarspaketen tillbaka genom tunneln på den fjärranslutna platsen.

Felsökning

Vanliga problem och lösningar:

  • Fel fördelad nyckel: Kontrollera den fördelade nyckeln på båda enheterna noggrant.
  • Felaktig subnätskonfiguration: Säkerställ att rätt lokala och fjärranslutna subnät är konfigurerade i VPN-inställningarna.
  • Fas 1- och Fas 2-inställningar:

Viktiga inställningar som måste kontrolleras för att säkerställa att de är samma på båda platserna

  • Autentiseringsmetod: Vanligtvis används en fördelad nyckel.
  • Krypteringsalgoritm: Vanliga alternativ inkluderar AES (128/256 bitar), 3DES.
  • Hash-algoritm: Vanligtvis SHA-256 eller SHA-512 eller SHA-1.
  • DH-grupp (Diffie-Hellman-grupp): Säkerställer säker nyckelutbyte (t.ex. Grupp 2, Grupp 14).
  • Livslängd: 

För mer detaljerade instruktioner om felsökning, se länken:

Zyxel Firewall [VPN] - Felsökning av Site-to-Site VPN [Fristående läge]
 

 

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
10 av 19 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.