Zyxel H Serisi Güvenlik Duvarı [Politika Yönlendirmelerinde Sonraki Atlama] Rota Tabanlı VPN Neden Politika Tabanlı VPN'in Yerini Alıyor - Ve Bu Neden İyi Bir Şey

Zyxel UOS işletim sisteminin tanıtılması ve yeni H Serisinin piyasaya sürülmesiyle birlikte Zyxel, VPN bağlantılarının ele alınma şeklini modernize etti. USG ve ATP serisi gibi önceki nesil cihazların aksine, H Serisi artık VPN tünellerinin Politika Yönlendirmelerinde bir sonraki atlama olarak kullanılmasını desteklememektedir.

Bu bir sınırlama değil, VTI (Sanal Tünel Arayüzü) ile rota tabanlı VPN kullanan modern, arayüz tabanlı bir VPN mimarisine geçiştir. Bu makale, ilke tabanlı ve rota tabanlı VPN arasındaki farkı ve bu yeni yaklaşımın neden daha güvenilir, ölçeklenebilir ve yönetimi daha kolay olarak kabul edildiğini açıklamaktadır.

Zyxel USG FLEX H'de VTI ile Rota Tabanlı VPN'in Faydaları

• VPN tünelleri sanal arayüzler (VTI) olarak oluşturulur ve tıpkı fiziksel bağlantı noktaları gibi yönlendirmeye katılır.
• VPN'i Politika Yönlendirmelerinde sonraki atlama olarak tanımlamaya gerek yoktur, bu da yapılandırma karmaşıklığını ve yanlış yapılandırma riskini azaltır.
• Zyxel'in bölge tabanlı güvenlik modeli iledaha iyi entegrasyon.

Senaryo:

• Genel Merkez birden fazla dahili alt ağ kullanır:
  • 192.168.10.0/24 - Yönetim
  • 192.168.20.0/24 - Muhasebe
  • 192.168.30.0/24 - Depo
• Şube ofisinin hepsine VPN üzerinden erişmesi gerekiyor.

İlke tabanlı VPN ile ilgili sorunlar:

• Her alt ağ için ayrı bir tünel veya politika oluşturulması gerekiyordu.
• Herhangi bir ağ değişikliği (örneğin, yeni bir alt ağ), politikaların ve tünellerin manuel olarak yeniden yapılandırılması anlamına geliyordu.

USG FLEX H'de VTIKullanma

• Siteler arasında tek bir VPN tüneli oluşturursunuz.
• Standart statik rotaları yapılandırın:

dst: 192.168.10.0/24 → VTI-Ofis üzerinden dst: 192.168.20.0/24 → VTI-Ofis üzerinden dst: 192.168.30.0/24 → VTI-Ofis üzerinden  

• Yeni bir alt ağ (örn. 192.168.40.0/24) eklendiğinde - sadece bir rota ekleyin, VPN'in yeniden yapılandırılmasına gerek yoktur.
• Erişim kontrolü, statik rota mantığı yerine güvenlik politikaları aracılığıyla yönetilir.

uOS için IPSec VPN Tüneli Kurma

Bu örnek, eş ağ geçidi olarak bir ZLD cihazı ile rota tabanlı bir siteden siteye VPN tüneli yapılandırmak için VPN Kurulum Sihirbazı'nın nasıl kullanılacağını gösterir ve tünel kurulduktan sonra iki site arasında güvenli erişim sağlar.

VPN > IPSec VPN > Siteden Siteye VPN > Ekle'ye gidin. ve sihirbazın tüm adımlarından geçerek uygun alanları doldurun:

• İsim:
• IKE Sürümü: IKEv2
• Adresim alanında, gerekli WAN arayüzünü seçin
• Eş Ağ Geçidi Adresi alanına uzak (şube) cihazın genel IP adresini girin.
• Bölge: IPSec_VPN
• Kimlik Doğrulama Yöntemi için Ön Paylaşımlı Anahtar (PSK) seçeneğini belirleyin.

Tür altında şunu seçin: Rota Tabanlı.

1. Uzak Alt Ağ alanına manuel olarak girin: 192.168.88.0/27.
2. VTI Arayüzü'ne şunu girin: 169.254.63.164/255.255.255.255.
3. Diyagramın yerel ge1 arayüzünden uzak IP 93.159.250.211'e bağlantıyı gösterdiğini doğrulayın

1. Aşama Ayarları ve 2. Aşama Ayarları altında:

• Teklif: AES128 / SHA1
• DH Grubu: DH2 / DH14

Tamam'a tıklayın.

• VTI Arayüzünü Yapılandırma

Yapılandırma > Ağ > Arayüz > VTI

ZLD için bir IPSec VPN Tüneli Kurma

Yapılandırma > VPN > IPSec VPN > VPN Ağ Geçidi'ne gidin.

• Ekle' ye tıklayın ve Etkinleştir'i işaretleyin.
• VPN Ağ Geçidi Adını girin:
• IKE Sürümünü seçin: IKEv2
• Adresim altında: Arayüz: ge1 'i seçin (genel IP'niz ile).
• Eş Ağ Geçidi Adresi altında: uzak (HQ) cihazın genel IP adresini girin
• Kimlik Doğrulama'da: Ön Paylaşımlı Anahtar 'ı seçin ve Flex cihazında kullanılan anahtarın aynısını girin.

• VTI Arayüzünü Yapılandırma

Yapılandırma > Ağ > Arayüz > VTI