Önemli Uyarı: |
Bu örnek, ZyWALL/USG cihazları arasında bir IPSec Siteden Siteye VPN tüneli oluşturmak için VPN Kurulum Sihirbazı'nın nasıl kullanılacağını gösterir. Örnek, bir Site bir NAT yönlendiricisinin arkasındayken (diğer bir deyişle Double-NAT) her bir site arasında VPN tünelinin nasıl yapılandırılacağını anlatmaktadır. IPSec Siteden Siteye VPN tüneli yapılandırıldığında, her bir siteye güvenli bir şekilde erişilebilir.
İçerik
| 1 IPSec VPN Tüneli kurulumu | 2 IPSec VPN Tüneli kurulumu | Nat yönlendiriciyi kurun | Sonucu test edin |
| 1 Hızlı Kurulum | 1 Hızlı Kurulum | 1 Nat kuralı | 1 Bağlantıyı kontrol edin |
| 2 Sihirbaz | 2 Sihirbaz | 2 IP yönlendirme | 2 Monitör |
| 3 VPN ayarları | 3 VPN ayarları | 3 ping atmayı dene | |
| 4 Yerel/Uzak Politika | 4 Yerel/Uzak Politika | ||
| 5 VPN Kurulumu Özeti | 5 VPN Kurulumu Özeti | ||
| 6 Sihirbaz Tamamlandı | 6 Sihirbaz Tamamlandı | ||
| 7 Eş Kimlik türü | 7 Eş Kimlik türü |
KURULUM/ADIM ADIM PROSEDÜR:
Kurumsal Ağın (HQ) ZyWALL/USG IPSec VPN Tünelini Kurma
1. ZyWALL/USG'de FortiGate ile kullanılabilecek bir VPN kuralı oluşturmak için VPN Ayarları sihirbazını kullanın. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz
2. Varsayılan faz 1 ve faz 2 ayarlarıyla bir VPN kuralı oluşturmak ve kimlik doğrulama yöntemi olarak önceden paylaşılan bir anahtar kullanmak için Express'i seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü
3. Bu VPN bağlantısını (ve VPN ağ geçidini) tanımlamak için kullanılan Kural Adını yazın. 1-31 alfanümerik karakter kullanabilirsiniz. Bu değer büyük/küçük harfe duyarlıdır. Siteden siteye olacak kuralı seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Senaryo)
4. Güvenli Ağ Geçidi IP'sini Şubenin WAN IP adresi olarak yapılandırın (örnekte 172.100.30.40). Ardından, güvenli bir Ön Paylaşımlı Anahtar (8-32 karakter) yazın.
Yerel Politika 'yı ZyWALL/USG'ye (Merkez) bağlı ağın IP adres aralığı ve Uzak Politika 'yı ZyWALL/USG'ye (Şube) bağlı ağın IP adres aralığı olarak ayarlayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Yapılandırma)
5. Bu ekran VPN tünelinin salt okunur bir özetini sağlar. Kaydet'e tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları (Özet)
6. Şimdi kural ZyWALL/USG üzerinde yapılandırılmıştır. Faz kuralları ayarları burada görünecektir
Aşama 1: VPN > IPSec VPN > VPN Gateway
Aşama 2: VPN > IPSec VPN > VPN Bağlantısı
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları > Sihirbaz Tamamlandı
7. ZyWALL/USG'nin uzak IPSec yönlendiricisinin kimlik içeriğini kontrol etmesine gerek kalmaması için Peer ID Type'ı Any olarak yapılandırın.
KONFİGÜRASYON > VPN > IPSec VPN > VPN Gateway > Gelişmiş Ayarları Göster > Kimlik Doğrulama > Eş Kimlik Türü
Kurumsal Ağın (Şube) ZyWALL/USG IPSec VPN Tünelini Kurma
1. ZyWALL/USG'de FortiGate ile kullanılabilecek bir VPN kuralı oluşturmak için VPN Ayarları sihirbazını kullanın. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz
2. Varsayılan faz 1 ve faz 2 ayarlarıyla bir VPN kuralı oluşturmak ve kimlik doğrulama yöntemi olarak önceden paylaşılan bir anahtar kullanmak için Express'i seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü
3. Bu VPN bağlantısını (ve VPN ağ geçidini) tanımlamak için kullanılan Kural Adını yazın. 1-31 alfanümerik karakter kullanabilirsiniz. Bu değer büyük/küçük harfe duyarlıdır. Siteden siteye olacak kuralı seçin. İleri'ye tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Senaryo)
4. Güvenli Ağ Geçidi IP'sini Şubenin WAN IP adresi olarak yapılandırın (örnekte 172.100.20.30). Ardından, güvenli bir Ön Paylaşımlı Anahtar (8-32 karakter) yazın.
Yerel Politika 'yı ZyWALL/USG'ye (Merkez) bağlı ağın IP adres aralığı ve Uzak Politika 'yı ZyWALL/USG'ye (Şube) bağlı ağın IP adres aralığı olarak ayarlayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Sihirbaz Türü > VPN Ayarları (Yapılandırma)
5. Bu ekran VPN tünelinin salt okunur bir özetini sağlar. Kaydet'e tıklayın.
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları (Özet)
6. Şimdi kural ZyWALL/USG üzerinde yapılandırılmıştır. Faz kuralları ayarları burada görünecektir
Aşama 1: VPN > IPSec VPN > VPN Gateway
Aşama 2: VPN > IPSec VPN > VPN Bağlantısı
Hızlı Kurulum > VPN Kurulum Sihirbazı > Hoş Geldiniz > Sihirbaz Türü > VPN Ayarları > Sihirbaz Tamamlandı
7. ZyWALL/USG'nin uzak IPSec yönlendiricisinin kimlik içeriğini kontrol etmesine gerek kalmaması için Peer ID Type'ı Any olarak yapılandırın.
KONFİGÜRASYON > VPN > IPSec VPN > VPN Gateway > Gelişmiş Ayarları Göster > Kimlik Doğrulama > Eş Kimlik Türü
NAT Yönlendiricisini Kurma (Bu örnekte ZyWALL USG cihazını kullanma)
1. NAT kuralı için paketlerin alınması gereken Gelen Arayüzü seçin. Kullanıcı Tanımlı Orijinal IP alanını belirtin ve bu NAT kuralının desteklediği çevrilmiş hedef IP adresini yazın.
KONFİGÜRASYON > Ağ > NAT > Ekle
2. IP yönlendirme, aşağıdaki IP protokolleri ve UDP bağlantı noktaları için güvenlik duvarında etkinleştirilmelidir:
IP protokolü = 50 → Veri yolu (ESP) tarafından kullanılır
IP protokolü = 51 → Veri yolu (AH) tarafından kullanılır
UDP Bağlantı Noktası Numarası = 500 → IKE (IPSec kontrol yolu) tarafından kullanılır
UDP Port Numarası = 4500 → NAT-T (IPsec NAT geçişi) tarafından kullanılır
KONFİGÜRASYON > Güvenlik Politikası > Politika Kontrolü
DOĞRULAMA:
IPSec VPN Tünelini Test Edin
1. Gitmek
KONFİGÜRASYON > VPN > IPSec VPN > VPN Bağlantısı
üst çubuktaki Bağlan öğesine tıklayın. Arayüz bağlandığında Durum bağlantısı simgesi yanar.
2. Tünel Yukarı Süresi ve Gelen(Bayt)/Giden(Bayt) Trafiğini doğrulayın.
MONİTÖR > VPN Monitörü > IPSec
3. Tünelin çalışıp çalışmadığını test etmek için bir sitedeki bilgisayardan diğer sitedeki bilgisayara ping atın. Her iki bilgisayarın da İnternet erişimine sahip olduğundan emin olun (IPSec cihazları aracılığıyla).
ZyWALL/USG arkasındaki bilgisayar (HQ) > Window 7 > cmd > ping 192.168.20.33
ZyWALL/USG arkasındaki bilgisayar (Şube) > Pencere 7 > cmd > ping 10.10.10.33
Neler Yanlış Gidebilir?
1. Aşağıdaki [info] veya [error] günlük mesajını görürseniz, lütfen ZyWALL/USG Faz 1 Ayarlarını kontrol edin. Merkez ve Şube sitelerindeki her iki ZyWALL/USG, IKE SA oluşturmak için aynı Ön Paylaşımlı Anahtar, Şifreleme, Kimlik Doğrulama yöntemi, DH anahtar grubu ve Kimlik Türü kullanmalıdır.
MONİTÖR > Günlük
2. Faz 1 IKE SA işleminin tamamlandığını görüyorsanız ancak yine de aşağıdaki [info] günlük mesajını alıyorsanız, lütfen ZyWALL/USG Faz 2 Ayarlarını kontrol edin. Merkez ve Şube sitelerindeki her iki ZyWALL/USG, IKE SA'yı oluşturmak için aynı Protokol, Kapsülleme, Şifreleme, Kimlik Doğrulama yöntemi ve PFS'yi kullanmalıdır.
MONİTÖR > Günlük
3. Merkez ve Şube sitesi güvenlik politikalarındaki her iki ZyWALL/USG'nin de IPSec VPN trafiğine izin verdiğinden emin olun. IKE UDP bağlantı noktası 500'ü, AH IP protokolü 51'i ve ESP IP protokolü 50'yi kullanır.
4. ZyWALL/USG'de varsayılan NAT geçişi etkindir, lütfen uzak IPSec cihazının da NAT geçişinin etkin olduğundan emin olun.
Ayrıca ilginç:
Doğrudan test cihazlarımızdan birine bakmak ister misiniz? Sanal Laboratuvarımıza buradan bir göz atın:
Sanal LAB - Siteden Siteye VPN
KB-00167