(!) Пример настройки VPN с помощью ZyWALL VPN Client

Как настроить VPN-соединение с помощью ZyWALL c VPN Client с одной стороны и ZyWALL с другой?


ZyWALL VPN Client - это программный VPN-клиент для Windows. Использование VPN Client позволяет гарантированно устанавливать защищенные IPSec-туннели не только с межсетевыми экранами ZyWALL, но и с любым другим оборудованием и программными серверами, сертифицированными ICSA Labs.  


ZyWALL VPN Client предоставляет высочайший уровень защиты передаваемых данных и надежные средства контроля и мониторинга соединений IPSec VPN.


При использовании данного ПО настройки VPN-туннеля с ZyWALL во много раз проще по сравнению со встроенными средствами Windows. Рассмотрим пример установки VPN-туннеля между компьютером с установленным на нем VPN Client и аппаратным шлюзом ZyWALL.



Запустите ZyWALL IPSec VPN Client и выберите Root для создания настроек туннеля VPN.



Сначала создайте Новую Фазу 1 и затем выполните настройки в разделе Фаза 1 (Аутентификация). В поле Интерфейс выберите IP-адрес сетевого интерфейса, а в поле Удаленный шлюз укажите IP-адрес удаленного устройства с которым будет установлен туннель VPN. В поле ключ PSK укажите предварительно согласованный ключ и в поле Подтвердите еще раз введите ключ. 
Для настроек Фазы 1 в разделе IKE укажите алгоритм кодирования, метод аутентификации и ключ группы. При необходимости, для настроек дополнительных параметров Фазы 1 нажмите кнопку Ф1 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



Добавьте Фазу 2 и затем выполните настройки в разделе Фаза 2 (Конфигурация IPSec). В поле Адрес VPN клиента укажите IP-адрес компьютера на котором установлен ZyWALL VPN Client. В поле Тип адреса выберите Адрес подсети (IP Subnet). В нашем примере Удаленный адрес LAN: 192.168.1.0 и Маска подсети: 255.255.255.0.
В разделе ESP укажите алгоритм кодирования, метод аутентификации и режим работы. При необходимости, для настроек дополнительных параметров Фазы 2 нажмите кнопку Ф2 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



Нажмите кнопку Открыть Туннель для построения туннеля IPSec VPN.


Значения параметров в настройках Фаза 1 (Phase 1) и Фаза 2 (Phase 2) должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.





 


Теперь рассмотрим настройки аппаратного шлюза ZyWALL. В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL'а (в нашем примере IP Address 192.168.1.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.



В разделе WAN указываем IP-адреса на WAN-порту ZyWALL'а. В нашем примере используется статический IP-адрес (Fixed IP Address):


My WAN IP Address (IP-адрес WAN-порта): 10.0.0.1
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.2


Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.



В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создадим политику шлюза для создаваемого VPN-туннеля. 


В поле Name впишите название политики (например, "Secure_VPN"). В поле My Address укажите IP-адрес WAN-порта ZyWALL'а (в нашем примере 10.0.0.1) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере 10.0.0.2).


В поле Pre-Shared Key зададим предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal нужно установить Negotiation Mode (Режим согласования) - Main, Encryption Algorithm (Алгоритм защиты данных) - 3DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Key Group (Ключевая группа) - DH1.


Значения параметров в разделе IKE Proposal должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.


Нажмите Apply для сохранения введенных настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создадим правило для установки защищенного VPN-туннеля между ZyWALL и программным клиентом ZyWALL VPN Client.


Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "VPN_ rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере Secure_VPN). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Single Address и в поле Starting IP Address - 10.0.0.2


В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, Encryption Algorithm (Алгоритм защиты данных) - 3DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Perfect Forward Secrecy (Непосредственный контроль секретности) - NONE. Эти значения должны совпадать с аналогичными настройками в VPN Client.


Нажмите Apply для сохранения настроек.



Мы создали VPN-правило для построения защищенного туннеля между программным клиентом VPN Client и аппаратным шлюзом ZyWALL.



Проверить, установлен ли VPN-туннель, можно в разделе VPN на закладке SA Monitor



Убедиться, что VPN-туннель был установлен, можно также из меню LOGS в разделе View Log. По логам, приведенным ниже, видно, что VPN-соединение было установлено успешно.



В настройках программы ZyWALL VPN Client можно обратиться к меню Консоль для отображения процедуры аутентификации и диагностики VPN-соединения или к меню Соединения для получения статуса VPN-соединения.


С компьютера, на котором установлен программный VPN-клиент, выполним пинг хоста удаленной сети (192.168.1.0 ) через VPN-туннель. В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 10.0.0.2 на LAN IP-адрес ZyWALL'а - 192.168.1.1. 


KB-1435

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0