Den här guiden visar hur du ställer in en Site-to-Site (S2S) VPN mellan två brandväggar med hjälp av IKEv2 IPSec. Vi går igenom både manuell konfiguration och användning av en inbyggd guide, samt hur du konfigurerar VPN för att hantera flera subnät inom samma tunnel.
Om du letar efter andra VPN-scenarier, tips och tricks, ta en titt på följande artiklar:
Allmänt:
- VPN-konfigurationsprovisionering på en USG-brandvägg
- Zyxel Firewall [VPN] - Felsök Site-to-Site VPN [Fristående läge]
Ett kontor vill ansluta säkert till sitt huvudkontor via Internet. Båda kontoren har en USG / ZyWall / ATP / USG FLEX för internetåtkomst.
Observera: Innan du börjar konfigurera VPN, se till att båda platserna inte har samma subnät. Att konfigurera en VPN mellan platser med samma subnät på båda sidor är tekniskt möjligt, men det är inte enkelt och kan leda till komplikationer på grund av överlappande IP-adresser. När båda platserna har samma subnät kan detta leda till routingkonflikter eftersom VPN:n inte vet vilken sida trafiken ska skickas till när den ser en IP-adress som finns på båda platserna.
Guide-metod för att ställa in VPN
Det enklaste och mest bekväma sättet att etablera en Site-to-Site-anslutning är att använda den inbyggda guiden. I det första exemplet i denna artikel guidar vi dig genom processen. Om du har haft problem med manuell konfiguration av VPN kan du också använda guiden för att ställa in VPN och jämföra inställningarna för felsökning.
Inställningar för huvudkontoret (Guide)
- Logga in på huvudkontorets brandväggs webbgränssnitt och gå till avsnittet Quick Setup Wizard i vänstermenyn.
- Klicka på "VPN Setup"
Du kan välja mellan Express (VPN med standardvärden) eller Advanced (manuell inställning av kryptering etc.). För att ge ett exempel i denna artikel har vi valt alternativet "Advanced".
- Vi rekommenderar starkt att använda IKEv2 istället för IKEv1 för att förbättra säkerheten, snabba upp anslutningsetableringen, öka stabiliteten, stödja mobilitet och öka effektiviteten vid hantering av nätverksändringar.
- Ge ett begripligt namn och välj Site-to-Site VPN.
- Klicka på "Next"
Inställningar för Fas 1
- Ange “Secure Gateway” som är WAN-adressen för din andra brandvägg; i detta fall är det Branch-site IP-adressen. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN IP-adressen för denna brandvägg.)
- Ställ in Fas 1-förslag efter önskemål. Av säkerhetsskäl välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp.
Inställningar för Fas 2
- Se till att inställningarna för fas 2 är samma som för fas 1 (t.ex. AES256, SHA512).
-
Lokal policy och fjärrpolicy - Lokala och fjärrpolicyer definierar vilken trafik som krypteras i en site-to-site VPN, vilket säkerställer säker, effektiv och korrekt routad kommunikation mellan nätverk.
Observera: Kontrollera först att IP-adressen för det fjärranslutna subnätet inte redan finns i det lokala subnätet för att undvika dubbel IP-adresskonfiguration. När det fjärranslutna subnätet är liknande ett lokalt subnät kommer du endast att kunna nå det lokala nätverket.
- När all data har angetts korrekt klickar du på “Next”, kontrollerar alla inställningar igen, klickar på "Save" och fortsätter med att konfigurera den andra brandväggen.
Inställningar för filialkontoret (Guide)
Du behöver följa exakt samma procedur för brandväggen på det andra kontoret. Den största skillnaden är några inställningar.
- Gateway IP måste anges som WAN-IP för enheten på huvudkontoret
-
Lokal policy och fjärrpolicy kommer också att vara olika. Exempel nedan:
Huvudkontor
Lokal policy: 192.168.40.1
Fjärrpolicy: 192.168.70.1
Filialkontor:
Lokal policy: 192.168.70.1
Fjärrpolicy: 192.168.40.1
- Om allt har konfigurerats korrekt och det inte finns några problem med anslutningen, andra inställningar eller konstruktion, kommer en VPN-anslutning att upprättas automatiskt omedelbart efter att inställningarna sparats.
Manuell metod för att ställa in VPN - VPN Gateway - Huvudkontorets inställningar manuellt
- Logga in på huvudkontorets brandväggs webbgränssnitt
Gå till Configuration -> VPN -> VPN Ge -> Add
- Markera kryssrutan Enable
- Ge ett tydligt namn
- Välj IKE-version
Vi rekommenderar starkt att använda IKEv2 istället för IKEv1 för att förbättra säkerheten, snabba upp anslutningsetableringen, öka stabiliteten, stödja mobilitet och öka effektiviteten vid hantering av nätverksändringar.
- My Address (Interface) - ställer in din WAN-IP-adress.
- Peer Gateway Address - Detta är WAN-adressen för din andra brandvägg; i detta fall är det Branch-site IP-adressen. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN IP-adressen för denna brandvägg.)
- Pre-Shared Key - Skapa ett starkt lösenord (detta nyckel används även på den fjärranslutna enheten).
- Inställningar för Fas 1 - Ställ in fas 1-förslag efter önskemål. Av säkerhetsskäl välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp.
VPN-tunnel - Huvudkontorets inställningar manuellt
Configuration > VPN > IPSec VPN > VPN Connection > Add
Det första du behöver göra är att skapa ett objekt för “Remote Policy” genom att klicka på “Create New Object” och välja “IPV4 Address.”
- Namn - ange ett tydligt namn
- Adress typ - “SUBNET”
- Nätverk - det lokala nätverksadressen för den fjärranslutna platsen
- Netmask - subnätmasken för den fjärranslutna platsen
- Klicka sedan på “OK”
Nu kan vi fortsätta att fylla i de andra fälten.
- Markera kryssrutan Enable
- Ge ett tydligt namn
- Välj Site-To-Site VPN
- VPN Gateway - Välj den VPN-gateway som skapades i föregående steg
- Lokal policy och fjärrpolicy kommer att vara olika.
- Inställningar för Fas 2 - Ställ in fas 2-förslag efter önskemål. Av säkerhetsskäl välj ett starkt lösenord och förslag med bra kryptering/autentisering, såsom AES256 för kryptering, SHA512 för autentisering och DH14 för nyckelgrupp.
- Klicka på "Ok"
Nu kan vi börja konfigurera filialkontoret. Följ samma steg som för huvudkontoret, men med vissa ändringar i data.
VPN Gateway - Inställningar för filialkontoret manuellt
Configuration > VPN > IPSec VPN > VPN Gateway
Upprepa stegen för huvudkontoret för att konfigurera VPN Gateway
- När du konfigurerade VPN Gateway på brandväggen på huvudkontoret angav du WAN-IP för ditt filialkontor i fältet "Peer Gateway Address Static Address”. Nu, när du konfigurerar filialkontoret, måste du ange WAN-IP för ditt huvudkontor i fältet "Peer Gateway Address Static Address”.
- Pre-Shared Key måste vara densamma för båda platserna.
VPN-tunnel - Inställningar för filialkontoret manuellt
Configuration > VPN > IPSec VPN > VPN Connection
Upprepa stegen för huvudkontoret för att konfigurera VPN-tunneln
- Med några få skillnader: när du konfigurerade huvudkontoret angav du nätverket för filialkontoret i fältet Remote Policy. Nu, när du konfigurerar filialkontoret, måste du ange nätverket från huvudkontoret i fältet Remote Policy.
Markera alternativet "Nailed-Up" för att upprätta VPN-tunneln och ansluta automatiskt.
Testa resultatet
- Anslut VPN-tunneln manuellt första gången. Därefter ska den automatiskt kontrollera anslutningen och återansluta.
- Du kan se att VPN-tunneln är ansluten när jord-symbolen är grön
Observera: Kontrollera dina brandväggsregler för att säkerställa att standardreglerna IPSec-to-Device och IPSec-to-Any finns.
Annars kan trafiken mellan tunnlarna blockeras.
Begränsning - Använd flera subnät
På Zyxel-brandväggar finns en begränsning där du inte kan välja flera subnät i en VPN-tunnel. Lokal policy (subnät) och fjärrpolicy (subnät) kan endast konfigureras med ett subnät vardera.
Configure -> VPN -> IPSec VPN -> VPN Connection -> Policy
För att komma runt detta problem kan du konfigurera en policy-route för att manuellt dirigera andra subnät in i tunneln.
Skapa denna policy-route:
Observera! Det kan vara nödvändigt att dirigera svarspaketen tillbaka genom tunneln på den fjärranslutna platsen.
Felsökning
Vanliga problem och lösningar:
- Felaktig Pre-shared Key: Kontrollera pre-shared key på båda enheterna noggrant.
- Felaktig subnätskonfiguration: Säkerställ att korrekta lokala och fjärranslutna subnät är konfigurerade i VPN-inställningarna.
- Inställningar för Fas 1 och Fas 2:
Viktiga inställningar som måste kontrolleras för att säkerställa att de är samma på båda platserna
- Autentiseringsmetod: Vanligtvis används en pre-shared key.
- Krypteringsalgoritm: Vanliga alternativ inkluderar AES (128/256 bitar), 3DES.
- Hash-algoritm: Vanligtvis SHA-256, SHA-512 eller SHA-1.
- DH-grupp (Diffie-Hellman-grupp): Säkerställer säker nyckelutbyte (t.ex. Grupp 2, Grupp 14).
- Livslängd:
För mer detaljerade instruktioner om felsökning, se länken:
Zyxel Firewall [VPN] - Felsök Site-to-Site VPN [Fristående läge]

Kommentarer
0 kommentarerlogga in för att lämna en kommentar.