ZyWALL USG Donanım Ağ Geçitlerinde IPSec Tüneli Üzerinden Uzak Ofise L2TP over IPSec İstemci Yönlendirmesi

Oluşturma tarihi 09 Mayıs 2019 00:53 - Güncellenme 23 Haziran 2026 11:57

Serhii Boiarynov

Başka sorularınız var mı? Bir talep gönder

ZyWALL USG serisi donanım ağ geçitlerinde IPSec tüneli üzerinden uzak ofise L2TP over IPSec istemcileri için yönlendirme nasıl yapılandırılır?

(Örnek olarak ZyWALL USG 50 kullanılmıştır)

Aşağıdaki topolojiyi ele alalım:

İki ofis var, A ve B (her ofiste bir ZyWALL USG serisi donanım ağ geçidi kurulu). Bunlar bir IPSec VPN tüneli ile bağlıdır. Uzak L2TP over IPSec istemcileri İnternet üzerinden her iki ofise bağlanır.
Görev: Tüm L2TP over IPSec istemcilerinin, hangi ofise bağlandıklarına bakılmaksızın, A ve B ofislerinin yerel alt ağlarına erişebilmesi için yönlendirme yapılandırmak.

Yapılandırmanın özü, her iki güvenlik ağ geçidinde iki rota oluşturmaya indirgenir:
1. Uzak alt ağa yönlendirilen tüm trafik (herhangi bir kaynak IP adresi ile) IPSec VPN tüneline yönlendirilmelidir. Bu rota gereklidir çünkü L2TP over IPSec istemcilerinin IP adresleri, iki ofis arasındaki bağlantı için VPN Bağlantıları bölümünde belirtilen aralıkta değildir. Trafik otomatik olarak tünele yönlendirilmez.
2. İkinci rota, uzak L2TP over IPSec istemci aralığından gelen hedef IP adreslerine sahip trafiğin ofisler arasındaki IPSec tünelinden gönderilmesi gerektiğini belirtir veya uzak L2TP over IPSec istemcilerine yönelik trafiğin ofisler arasındaki IPSec tüneli üzerinden yönlendirilmesini sağlar. Bu rota olmadan, isteklere verilen yanıtlar iletilemez.

Test kurulumumuzun parametrelerini inceleyelim:

ZyWALL USG 50 (Ofis A)	ZyWALL USG 100 (Ofis B)
wan1: 10.0.0.2 (gerçek kurulumda bu global statik IP adresi olmalıdır) lan1: 192.168.38.1/24 - Ofis A'nın yerel alt ağı Ofis A'nın L2TP over IPSec istemcilerinin bağlanırken IP adresi aldığı alt ağ: 192.168.100.0	wan1: 10.0.1.2 (gerçek kurulumda bu global statik IP adresi olmalıdır) lan1: 192.168.39.1/24 - Ofis B'nin yerel alt ağı Ofis B'nin L2TP over IPSec istemcilerinin bağlanırken IP adresi aldığı alt ağ: 192.168.150.0

Ofis A'dan ZyWALL USG 50 Yapılandırması

Arayüzleri yapılandırmak için Configuration > Network > Interface yolunu izleyin ve Ethernet sekmesini seçin.

Yönlendirme yapılandırması için gereken nesneleri oluşturmak üzere Configuration > Object > Address yoluna gidin.

L2TP over IPSec istemcilerine ait alt ağlara ek olarak, wan1 arayüzü için INTERFACE IP türünde ve Ofis B'nin uzak alt ağını tanımlayan SUBNET türünde bir nesne oluşturmanız gerekir. Bu, L2TP over IPSec tünelinin ve ofisler arasındaki IPSec tünelinin yapılandırılması için gereklidir.

L2TP over IPSec tüneli ve ofisler arasındaki IPSec tüneli Configuration > VPN > IPSec VPN > VPN Gateway ve Configuration > VPN > IPSec VPN > VPN Connection bölümlerinde yapılandırılmalıdır.

Yönlendirme kurallarını yapılandırmak için Configuration > Network > Routing > Policy Route yoluna gidin.

İkinci rotanın ayarları:

Sonraki adımda, güvenlik duvarını yapılandırmanız gerekir. Güvenlik duvarı kurallarını yapılandırmak için Configuration > Network > Firewall yoluna gidin.
Kurulumumuzda, paketlerin güvenlik duvarından geçmesine izin vermek için ana koşul, her iki tünelin aynı bölgeye bağlanmasıdır; bu bölgede arayüzler arasındaki trafik izinlidir (Block Intra-zone – no).
Ayrıca, bu bölgeden yerel ağa ve yerel ağdan bu bölgeye trafik izin veren kurallar da olmalıdır.

Ofis B'den ZyWALL USG 100 Yapılandırması

Arayüzleri yapılandırmak için Configuration > Network > Interface yolunu izleyin ve Ethernet sekmesini seçin.

Yönlendirme yapılandırması için gereken nesneleri oluşturmak üzere Configuration > Object > Address yoluna gidin.

L2TP over IPSec istemcilerine ait alt ağlara ek olarak, wan1 arayüzü için INTERFACE IP türünde ve Ofis A'nın uzak alt ağını tanımlayan SUBNET türünde bir nesne oluşturmanız gerekir. Bu, L2TP over IPSec tünelinin ve ofisler arasındaki IPSec tünelinin yapılandırılması için gereklidir.