Zyxel-brandväggen [VPN] - Konfigurera IPSec Site-To-Site VPN på Zyxel-brandväggen [fristående läge]

Skapat - Uppdaterad
Serhii Boiarynov
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, var medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om riktigheten i informationen i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Den här guiden går igenom hur du konfigurerar ett Site-to-Site (S2S) VPN mellan två brandväggar med IKEv2 IPSec. Vi går igenom både manuell konfiguration och användning av en inbyggd guide, samt hur du konfigurerar VPN för att hantera flera undernät inom samma tunnel.

Om du letar efter andra VPN-scenarier, tips och tricks kan du ta en titt på följande artiklar:

Allmänt:

Nebula:

Ett kontor vill ansluta säkert till sitt huvudkontor via Internet. Båda kontoren har en USG / ZyWall / ATP / USG FLEX för att komma åt internet.

Obs: Innan du börjar konfigurera VPN måste du se till att båda platserna inte har samma undernät. Det är tekniskt möjligt att konfigurera ett VPN mellan platser med samma subnät på båda sidor, men det är inte lätt och kan leda till komplikationer på grund av överlappande IP-adresser. När båda platserna har samma subnät kan detta leda till routningskonflikter eftersom VPN inte vet vilken sida trafiken ska skickas till när den ser en IP-adress som finns på båda platserna.

Wizard-metod för installation av VPN

Den enklaste och mest praktiska metoden för att upprätta en Site-to-Site-anslutning är att använda den inbyggda guiden. I det första exemplet i den här artikeln kommer vi att guida dig genom processen. Om du har haft problem när du har konfigurerat ett VPN manuellt kan du använda guiden för att konfigurera VPN och jämföra inställningarna för felsökningsändamål.

Inställningar för HQ-webbplatsen (Wizzard)

  • Logga in på din HQ Site-brandväggs webbgränssnitt och gå till avsnittet Quick Setup Wizard i menyn till vänster.
  • Klicka på "VPN Setup"

Du kan välja mellan Express (VPN med standardvärden) eller Advanced (Manuell inställning av kryptografi etc...). För att ge dig ett exempel på den här artikeln har vi valt alternativet "Advanced".

  • Vi rekommenderar starkt att IKEv2 används i stället för IKEv1 för att förbättra säkerheten, snabba upp anslutningen, stabiliteten, stödja mobilitet och öka effektiviteten vid hantering av nätverksändringar.
  • Ge VPN ett begripligt namn och välj Site-to-Site VPN.
  • Klicka på "Nästa"

Inställningar för fas 1

  • På nästa sida anger du "Secure Gateway" Detta är Wan-adressen för din andra brandvägg; i det här fallet är det IP-adressen för Branch site. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN-IP-adressen för den här brandväggen. )
  • Ställ in fas 1-förslag enligt önskemål. Av säkerhetsskäl bör du välja ett starkt lösenord och förslag med bra kryptering/autentisering, t.ex. AES256 för kryptering, SHA512 för autentisering och DH14 för en nyckelgrupp.

Inställningar för fas 2

  • Se till att inställningarna för fas 2 är desamma som för fas 1. (t.ex. AES256, SHA512)
  • Local Policy and Remote Policy - Local and Remote Policies definierar vilken trafik som ska krypteras i ett VPN från plats till plats, vilket garanterar säker, effektiv och korrekt routad kommunikation mellan nätverk.

    Obs: Kontrollera först om IP-adressen för fjärrundernätet inte redan finns i det lokala undernätet för att undvika dubbel IP-adresskonfiguration. Om fjärrundernätet liknar ett lokalt undernät kommer du bara att kunna nå det lokala nätverket.
  • När alla uppgifter har angetts korrekt klickar du på "Next", kontrollerar alla inställningar igen, klickar på"Save" och fortsätter med att konfigurera den andra brandväggen.

Inställningar för filialens webbplats (Wizzard)

Du måste följa exakt samma procedur för brandväggen på det andra kontoret. Den största skillnaden finns bara i vissa inställningar.

  • Gateway-IP måste anges som WAN-IP för enheten på huvudkontoret
  • Lokal policy och fjärrpolicy kommer också att vara olika. Exempel nedan:
    Högkvarterets webbplats
    Lokal policy: 192.168.40.1
    Fjärrpolicy: 192.168.70.1
    Plats för filial:
    Lokal policy: 192.168.70.1
    Fjärrpolicy: 192.168.40.1
  • Om allt har konfigurerats korrekt och det inte finns några problem med anslutningen, andra inställningar eller konstruktionen kommer en VPN-anslutning att upprättas automatiskt omedelbart efter att inställningarna har sparats.

Manuell metod Inställning VPN

Manual för inställningar av VPN Gateway - HQ Site

  • Logga in på webbgränssnittet för brandväggen på huvudkontoret
dyn_repppppppp_0
  • Markera kryssrutan Enable
  • Ge ett tydligt namn
  • Välj IKE-version

Vi rekommenderar starkt att IKEv2 används i stället för IKEv1 för att förbättra säkerheten, snabba upp anslutningen, stabiliteten, stödja mobilitet och öka effektiviteten vid hantering av nätverksändringar.

  • My Address (Interface) - anger din IP-adress för wan.
  • Peer Gateway Address - Detta är WAN-adressen för din andra brandvägg; i det här fallet är det IP-adressen för Branch site. (När du börjar konfigurera den andra brandväggen måste du fylla i WAN-IP-adressen för den här brandväggen.
  • Pre-Shared Key - Skapa ett starkt lösenord (du kommer också att använda den här nyckeln på fjärrenheten).
  • Inställningar för fas 1 - Ställ in förslag för fas 1 enligt önskemål. Av säkerhetsskäl bör du välja ett starkt lösenord och förslag med bra kryptering/autentisering, t.ex. AES256 för kryptering, SHA512 för autentisering och DH14 för en nyckelgrupp.

Manual för inställningar av VPN-tunnel - HQ Site

Configuration > VPN > IPSec VPN > VPN Connection > Add

Det första du behöver göra är att skapa ett objekt för "Remote Policy" genom att klicka på "Create New Object" och välja "IPV4 Address".

  • Namn - ange ett tydligt namn
  • Typ av adress - "SUBNET"
  • Nätverk - den lokala nätverksadressen för fjärrplatsen
  • Nätmask - subnätmask för fjärrplatsen
  • Klicka sedan på "OK"

Nu kan vi fortsätta att fylla i de andra fälten.

  • Markera kryssrutan Aktivera
  • Ge ett tydligt namn
  • Välj VPN för plats-till-plats
  • VPN Gateway - Välj den VPN Gateway som skapades i föregående steg
  • Local Policy och Remote Policy kommer att vara olika.
  • Inställningar för fas 2 - Ställ in fas 2-förslag enligt önskemål. Av säkerhetsskäl bör du välja ett starkt lösenord och förslag med bra kryptering/autentisering, t.ex. AES256 för kryptering, SHA512 för autentisering och DH14 för en nyckelgrupp.
  • Klicka på "Ok"

Nu kan vi börja konfigurera Branch-sajten. Följ samma steg som du gjorde för HQ-platsen, men med vissa dataförändringar.

VPN Gateway - Manual för inställningar för filialplats

dyn_repppppppp_2

Upprepa HQ-stegen för att konfigurera VPN Gateway

  • När du konfigurerade VPN-gatewayen på brandväggen på huvudkontoret angav du WAN-IP för din filial i fältet "Peer Gateway Address StaticAddress " . När du nu konfigurerar Branch-platsen måste du ange WAN-IP för HQ-platsen i fältet "Peer Gateway Address StaticAddress ".
  • Pre-Shared Key - måste vara densammaför båda platserna.

Inställningshandbok för VPN-tunnel - filial

dyn_repppppppp_3

Upprepa stegen för HQ för att konfigurera VPN-tunneln

  • När du konfigurerade huvudkontoret angav du, med några få undantag, nätverket på filialplatsen i Remote Policy. När du nu konfigurerar filialplatsen måste du ange nätverket från huvudkontoret i fältet Remote Policy.

Kryssa för alternativet "Nailed-Up" för att upprätta VPN-tunneln och ansluta automatiskt.

Testa resultatet

  • Anslut VPN-tunneln manuellt första gången. Efteråt bör den skanna om anslutningen och återansluta automatiskt.
  • Du kan se att VPN-tunneln är ansluten när jordsymbolen är grön

Obs: Kontrollera dina brandväggsregler för att se till att standardreglerna IPSec-till-enhet och IPSec-till-alla finns.
Annars kan trafiken mellan tunnlarna blockeras.
Screenshot_2021-05-26_173435.png

Begränsning - Använd flera undernät

På Zyxel-brandväggar finns det en begränsning som innebär att du inte kan välja flera undernät i en VPN-tunnel. Den lokala principen (undernätet) och fjärrprincipen (undernätet) kan bara konfigureras med ett undernät vardera.

dyn_repppppppp_4

För att komma runt det här problemet kan du konfigurera en principväg för att dirigera andra undernät till tunneln manuellt.

Skapa den här principrutten:

Obs! Det kan behövas att svarspaketen dirigeras tillbaka genom tunneln på fjärrplatsen.

Felsökning

Vanliga problem och lösningar:

  • Felaktig fördelad nyckel: Dubbelkolla den fördelade nyckeln på båda enheterna.
  • Felaktig konfiguration av subnät: Se till att rätt lokala och fjärranslutna subnät är konfigurerade i VPN-inställningarna.
  • Inställningar för fas 1 och fas 2:

Nyckelinställningar som måste kontrolleras för att se till att de är desamma på båda platserna

  • Autentiseringsmetod: Vanligtvis används en i förväg delad nyckel.
  • Krypteringsalgoritm: Vanliga alternativ inkluderar AES (128/256 bitar), 3DES.
  • Hash-algoritm: Vanligtvis SHA-256 eller SHA-512 eller SHA-1.
  • DH-grupp (Diffie-Hellman-grupp): Garanterar säkert nyckelutbyte (t.ex. grupp 2, grupp 14).
  • Livstid:

För mer detaljerade instruktioner om felsökning, se länken:

Zyxel Firewall [VPN] - Felsökning Site-to-Site VPN [Fristående läge]

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
10 av 19 tyckte detta var till hjälp
Dela