Hur konfigurerar man routing för L2TP över IPSec-klienter till ett fjärrkontor via en IPSec-tunnel på ZyWALL USG-seriens hårdvarugateways?
(Använder ZyWALL USG 50 som exempel)
Låt oss betrakta följande topologi:
Det finns 2 kontor, A och B (varje kontor har en ZyWALL USG-serie hårdvarugateway installerad). De är anslutna via en IPSec VPN-tunnel. Fjärranslutna L2TP över IPSec-klienter ansluter till varje kontor via Internet.
Uppgiften: konfigurera routing så att alla L2TP över IPSec-klienter kan nå det lokala subnätet för kontor A och B, oavsett vilket kontor klienten ansluter till.
Essensen i konfigurationen är att skapa två rutter på båda säkerhetsgateways:
1. All trafik (med vilka käll-IP-adresser som helst) riktad till det fjärran subnätet ska routas in i IPSec VPN-tunneln. Denna rutt är nödvändig eftersom IP-adresserna för L2TP över IPSec-klienter inte ligger inom det intervall som anges i VPN Connections för anslutningen mellan de två kontoren. Trafik routas inte automatiskt in i tunneln.
2. Den andra rutten kommer att instruera gatewayen att trafik med destinations-IP-adresser från det fjärran L2TP över IPSec-klientintervallet ska skickas genom IPSec-tunneln mellan kontoren, eller att trafik avsedd för fjärranslutna L2TP över IPSec-klienter ska routas via IPSec-tunneln mellan kontoren. Utan denna rutt kommer svar på förfrågningar inte att levereras.
Låt oss gå igenom parametrarna för vår testuppsättning:
| ZyWALL USG 50 (Kontor A) | ZyWALL USG 100 (Kontor B) |
wan1: 10.0.0.2 (i en verklig installation bör detta vara en global statisk IP-adress) | wan1: 10.0.1.2 (i en verklig installation bör detta vara en global statisk IP-adress) |
Konfigurera ZyWALL USG 50 från Kontor A
För att konfigurera gränssnitt, gå till Configuration > Network > Interface och välj fliken Ethernet.
För att skapa objekten som behövs för routingkonfiguration, gå till Configuration > Object > Address.
Utöver subnäten för L2TP över IPSec-klienter behöver du också skapa ett objekt av typen INTERFACE IP för wan1-gränssnittet och ett objekt av typen SUBNET som definierar det fjärran subnätet för Kontor B. Detta är nödvändigt för konfigurationen av L2TP över IPSec-tunneln och IPSec-tunneln mellan kontoren.
L2TP över IPSec-tunneln och IPSec-tunneln mellan kontoren bör konfigureras under Configuration > VPN > IPSec VPN > VPN Gateway och Configuration > VPN > IPSec VPN > VPN Connection.
För att konfigurera routingregler, gå till Configuration > Network > Routing > Policy Route.
Inställningar för den första rutten:
Inställningar för den andra rutten:
Nästa steg är att konfigurera brandväggen. För att konfigurera brandväggsregler, gå till Configuration > Network > Firewall.
I vår uppsättning är huvudvillkoret för att tillåta paket genom brandväggen att binda båda tunnlarna till samma zon, där trafik mellan gränssnitt i zonen är tillåten (Block Intra-zone – no).
Det bör också finnas regler som tillåter trafik från denna zon till det lokala nätverket och från det lokala nätverket till denna zon.
Konfigurera ZyWALL USG 100 från Kontor B
För att konfigurera gränssnitt, gå till Configuration > Network > Interface och välj fliken Ethernet.
För att skapa objekten som behövs för routingkonfiguration, gå till Configuration > Object > Address.
Utöver subnäten för L2TP över IPSec-klienter behöver du också skapa ett objekt av typen INTERFACE IP för wan1-gränssnittet och ett objekt av typen SUBNET som definierar det fjärran subnätet för Kontor A. Detta är nödvändigt för konfigurationen av L2TP över IPSec-tunneln och IPSec-tunneln mellan kontoren.
L2TP över IPSec-tunneln och IPSec-tunneln mellan kontoren bör konfigureras under Configuration > VPN > IPSec VPN > VPN Gateway och Configuration > VPN > IPSec VPN > VPN Connection.
För att konfigurera routingregler, gå till Configuration > Network > Routing > Policy Route.
Inställningar för den första rutten:
Inställningar för den andra rutten:
Nästa steg är att konfigurera brandväggen. För att konfigurera brandväggsregler, gå till Configuration > Network > Firewall.
I vår uppsättning är huvudvillkoret för att tillåta paket genom brandväggen att binda båda tunnlarna till samma zon, där trafik mellan gränssnitt i zonen är tillåten (Block Intra-zone – no).
Det bör också finnas regler som tillåter trafik från denna zon till det lokala nätverket och från det lokala nätverket till denna zon.
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.