Zyxel Firewall [VPN] - Zyxel Firewall'da IPSec Siteden Siteye VPN Yapılandırma [Bağımsız mod]

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru şekilde çevrilemeyebilir. Çevrilmiş versiyondaki bilgilerin doğruluğu konusunda sorularınız veya tutarsızlıklarınız varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Bu kılavuz, IKEv2 IPSec kullanarak iki güvenlik duvarı arasında bir Siteden Siteye (S2S) VPN kurma konusunda size yol gösterecektir. Hem manuel yapılandırma hem de yerleşik bir sihirbazın kullanımının yanı sıra VPN'in aynı tünel içinde birden fazla alt ağı işleyecek şekilde nasıl yapılandırılacağını ele alacağız.

Başka VPN Senaryoları, İpuçları ve Püf Noktaları arıyorsanız, aşağıdaki makalelere bir göz atın:

Genel:

Nebula:

Bir ofis, internet üzerinden genel merkezine güvenli bir şekilde bağlanmak istiyor. Her iki ofiste de internete erişmek için bir USG / ZyWall / ATP / USG FLEX vardır.

Not: VPN'i yapılandırmaya başlamadan önce, her iki sitenin de aynı alt ağlara sahip olmadığından emin olun. Her iki tarafta da aynı alt ağa sahip siteler arasında bir VPN yapılandırmak teknik olarak mümkündür, ancak kolay değildir ve çakışan IP adresleri nedeniyle komplikasyonlara yol açabilir. Her iki site de aynı alt ağa sahip olduğunda, VPN her iki konumda da bulunan bir IP adresi gördüğünde trafiği hangi tarafa göndereceğini bilemeyeceği için bu durum yönlendirme çakışmalarına yol açabilir.

Sihirbaz Yöntemi VPN Kurulumu

Siteden Siteye bağlantı kurmak için en basit ve kullanışlı yöntem yerleşik sihirbazı kullanmaktır. Bu makalenin ilk örneğinde, süreç boyunca size rehberlik edeceğiz. Ayrıca, bir VPN'i manuel olarak yapılandırırken sorun yaşadıysanız, VPN'i kurmak için sihirbazı kullanabilir ve sorun giderme amacıyla ayarları karşılaştırabilirsiniz.

HQ Site Ayarları (Wizzard)

  • HQ Site güvenlik duvarınızın Web GUI'sinde oturum açın ve sol menüdeki Hızlı Kurulum Sihirbazı bölümüne gidin.
  • "VPN Kurulumu "na tıklayın

Ekspres (Varsayılan Değerlerle VPN) veya Gelişmiş (Kriptografinin Manuel Ayarı vb...) arasında seçim yapabilirsiniz. Bu makalede örnek olması açısından biz "Gelişmiş" seçeneğini seçtik.

  • Güvenliği, bağlantı kurma hızını, kararlılığı artırmak, mobiliteyi desteklemek ve ağ değişikliklerini ele alma verimliliğini artırmak için IKEv1 yerine IKEv2 kullanmanızı şiddetle tavsiye ederiz.
  • Anlaşılabilir bir isim verin ve Siteden Siteye VPN'i seçin.
  • "İleri "ye tıklayın

1. Aşama Ayarları

  • Sonraki kısımda, "Güvenli Ağ Geçidi" girin Bu, ikinci güvenlik duvarınızın Wan adresidir; bu durumda, Şube sitesi IP adresidir. (İkinci güvenlik duvarını yapılandırmaya başladığınızda, bu güvenlik duvarının WAN IP adresini doldurmanız gerekecektir. )
  • 1. Aşama tekliflerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, güçlü bir parola ve şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi iyi Şifreleme/Kimlik Doğrulama içeren teklifler seçin.

Aşama 2 Ayarları

  • 2. aşama ayarlarının 1. aşama ayarlarıyla aynı olduğundan emin olun. (yani AES256, SHA512)
  • Yerel Politika ve Uzak Politika - Yerel ve Uzak Politikalar, siteden siteye VPN'de hangi trafiğin şifreleneceğini tanımlayarak ağlar arasında güvenli, verimli ve doğru yönlendirilmiş iletişim sağlar.

    Not: Çift IP adresi yapılandırmasını önlemek için lütfen önce uzak alt ağın IP adresinin yerel alt ağda zaten mevcut olup olmadığını kontrol edin. Uzak alt ağ bir yerel alt ağa benzediğinde, yalnızca yerel ağa erişebileceksiniz.
  • Tüm veriler doğru bir şekilde girildikten sonra "İleri"ye tıklayın, tüm ayarları tekrar kontrol edin,"Kaydet "e tıklayın ve ikinci güvenlik duvarını yapılandırmaya devam edin.

Şube Sitesi Ayarları (Wizzard)

İkinci ofisteki güvenlik duvarı için de tamamen aynı prosedürü izlemeniz gerekir. Temel fark sadece bazı ayarlardadır.

  • Ağ Geçidi IP 'si, Genel Merkez Sitesindeki cihazın WANIP 'si olarak belirtilmelidir
  • Yerel Politika ve Uzak Politika da farklı olacaktır. Aşağıdaki örnek:
    Merkez Site
    Yerel Politika: 192.168.40.1
    Uzak Politika: 192.168.70.1
    Şube Sitesi:
    Yerel İlke: 192.168.70.1
    Uzak Politika: 192.168.40.1
  • Her şey doğru yapılandırılmışsa ve bağlantıda, diğer ayarlarda veya yapıda herhangi bir sorun yoksa, ayarlar kaydedildikten hemen sonra otomatik olarak bir VPN bağlantısı kurulacaktır.

Manuel Yöntem VPN Kurulumu

VPN Ağ Geçidi - Genel Merkez Site Ayarları Kılavuzu

  • HQ Site Güvenlik Duvarı Web GUI'nizde oturum açın
dyn_repppp_0
  • Etkinleştir onay kutusunu işaretleyin
  • Net bir isimverin
  • IKE Sürümünü Seçin

Güvenliği artırmak, bağlantı kurulmasını hızlandırmak, kararlılığı sağlamak, mobiliteyi desteklemek ve ağ değişikliklerini ele alma verimliliğini artırmak için IKEv1 yerine IKEv2 kullanmanızı şiddetle tavsiye ederiz.

  • Adresim (Arayüz) - wan IP adresinizi ayarlar.
  • Eş Ağ Geçidi Adresi - Bu, ikinci güvenlik duvarınızın WAN adresidir; bu durumda, Şube sitesi IP adresidir. (İkinci güvenlik duvarını yapılandırmaya başladığınızda, bu güvenlik duvarının WAN IP adresini girmeniz gerekecektir.
  • Ön Paylaşımlı Anahtar - Güçlü bir parola oluşturun (bu anahtarı uzak cihazda da kullanacaksınız).
  • Aşama1 Ayarları - Aşama 1 önerilerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, güçlü bir parola ve şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi iyi Şifreleme/Kimlik Doğrulama içeren teklifler seçin.

VPN Tüneli - Genel Merkez Site Ayarları Kılavuzu

Configuration > VPN > IPSec VPN > VPN Connection > Add

Yapmanız gereken ilk şey, "Yeni Nesne Oluştur "a tıklayıp "IPV4 Adresi "ni seçerek "Uzak İlke" için bir Nesne oluşturmaktır.

  • Ad - açık bir ad girin
  • Adres Türü - "SUBNET"
  • - uzak sitenin yerel ağ adresi
  • Netmask - uzak sitenin alt ağ maskesi
  • Ardından "Tamam"a tıklayın

Şimdi diğer alanları doldurmaya devam edebiliriz.

  • Etkinleştir onay kutusunu işaretleyin
  • Net bir isimverin
  • Siteden Siteye VPN'i Seçin
  • VPN Ağ Geçidi - Önceki adımda oluşturulan VPN Ağ Geçidini seçin
  • Yerel İlke ve Uzak İlke farklı olacaktır.
  • Faz 2 Ayarları - Faz 2 tekliflerini istediğiniz gibi ayarlayın. Güvenlik nedeniyle, güçlü bir parola ve şifreleme için AES256, kimlik doğrulama için SHA512 ve anahtar grubu için DH14 gibi iyi Şifreleme/Kimlik Doğrulama içeren teklifler seçin.
  • "Tamam"a tıklayın

Şimdi Şube sitesini yapılandırmaya başlayabiliriz. Bunu yapmak için, HQ sitesi için yaptığınız adımların aynısını izleyin, ancak bazı veri değişiklikleri yapın.

VPN Ağ Geçidi - Şube Sitesi Ayarları Kılavuzu

Configuration > VPN > IPSec VPN > VPN Gateway

VPN Ağ Geçidini yapılandırmak için HQ Adımlarını tekrarlayın

  • Genel Merkez sitesindeki Güvenlik Duvarında VPN Ağ Geçidini yapılandırırken, "Eş Ağ GeçidiAdresi Statik Adresi" alanında Şube sitenizin WAN IP'sini belirttiniz. Şimdi, Şube sitesini yapılandırırken, "Eş Ağ Geçidi Adresi StatikAdresi " alanında Genel Merkez sitenizin WAN IP'sini belirtmelisiniz.
  • Ön Paylaşımlı Anahtar - her iki site için de aynı olmalıdır.

VPN Tüneli - Şube Sitesi Ayarları Kılavuzu

Configuration > VPN > IPSec VPN > VPN Connection

VPN Tünelini yapılandırmak için HQ Adımlarını tekrarlayın

  • Birkaç fark dışında, Genel Merkez sitesini yapılandırdığınızda, Uzak İlke'de Şube sitesindeki ağı belirttiniz. Şimdi, Şube sitesini yapılandırdığınızda, Uzak İlke alanında Genel Merkez sitesindeki ağı belirtmeniz gerekir.

VPN tünelini kurmak ve otomatik olarak bağlanmak için "Çivilenmiş" seçeneğini işaretleyin.

Sonucu test edin

  • VPN tünelini ilk kez manuel olarak bağlayın. Daha sonra, bağlantıyı yeniden taramalı ve otomatik olarak yeniden bağlanmalıdır.
  • Toprak sembolü yeşil olduğunda VPN Tünelinin bağlı olduğunu görebilirsiniz

Not: Varsayılan IPSec-to-Device ve IPSec-to-Any kurallarının mevcut olduğundan emin olmak için lütfen güvenlik duvarı kurallarınızı kontrol edin.
Aksi takdirde, tüneller arasındaki trafik engellenebilir.
Screenshot_2021-05-26_173435.png

Sınırlama - Birkaç alt ağ kullanın

Zyxel güvenlik duvarlarında, bir VPN tünelinde birden fazla alt ağ seçemeyeceğiniz bir sınırlama vardır. Yerel ilke (alt ağ) ve uzak ilke (alt ağ) yalnızca birer alt ağ ile yapılandırılabilir.

dyn_repppp_4

Bu sorunu aşmak için, başka alt ağları tünele manuel olarak yönlendirmek üzere bir ilke rotası yapılandırabilirsiniz.

Bu ilke yolunu oluşturun:

Not! Yanıt paketlerini uzak sitedeki tünel üzerinden geri yönlendirmek gerekebilir.

Sorun Giderme

Yaygın Sorunlar ve Çözümleri:

  • Yanlış Ön Paylaşımlı Anahtar: Her iki cihazdaki ön paylaşımlı anahtarı iki kez kontrol edin.
  • Yanlış Alt Ağ Yapılandırması: VPN ayarlarında doğru yerel ve uzak alt ağların yapılandırıldığından emin olun.
  • Faz 1 ve Faz 2 Ayarları:

Her iki sitede de aynı olduklarından emin olmak için kontrol edilmesi gereken Anahtar Ayarları

  • Kimlik Doğrulama Yöntemi: Tipik olarak, önceden paylaşılan bir anahtar kullanılır.
  • Şifreleme Algoritması: Yaygın seçenekler arasında AES (128/256 bit), 3DES bulunur.
  • Hash Algoritması: Tipik olarak SHA-256 veya SHA-512 veya SHA-1.
  • DH Grubu (Diffie-Hellman Grubu): Güvenli anahtar değişimi sağlar (ör. Grup 2, Grup 14).
  • Ömür boyu:

Sorun giderme hakkında daha ayrıntılı talimatlar için bkz:

Zyxel Firewall [VPN] - Siteden Siteye VPN Sorunlarını Giderme [Bağımsız mod]

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
19 kişi içerisinden 10 kişi bunun yardımcı olduğunu düşündü
Paylaş