(!) Пример настройки VPN-туннеля между ZyWALL 1050 и ZyWALL 70W

Пример построения VPN-туннеля между аппаратными шлюзами ZyWALL 1050 и ZyWALL 70.

Рассмотрим пример построения VPN-туннеля между аппаратными шлюзами ZyWALL 1050 и ZyWALL 70.



1. Подключитесь к веб-конфигуратору ZyWALL 1050. Настройте интерфейс ge2 для подключения к сети Интернет и укажите статический WAN IP-адрес на этом интерфейсе. Данную настройку нужно производить в меню Configuration > Network > Interface > Edit > ge2



2. Зайдите в меню Configuration > Network > IPSec VPN > VPN Gateway. В разделе Property в настройках My Address выберите Interface и укажите интерфейс ge2, а затем в поле Security Gateway Address укажите IP-адрес удаленного шлюза VPN (в нашем примере это WAN IP-адрес ZyWALL 70 - 167.35.4.3). В разделе Authentication Method в поле Local ID Type укажите IP, а в поле Content впишите WAN IP-адрес ZyWALL 1050 - 210.110.7.1. В поле Peer ID Type укажите IP, а в поле Content впишите WAN IP-адрес ZyWALL 70 - 167.35.4.3.

3. Подключитесь к веб-конфигуратору ZyWALL 70 и зайдите в меню Security > VPN > Gateway Policy. Создайте Gateway Policy для соединения с ZyWALL 1050. В поле My Address укажите WAN IP-адрес ZyWALL 70, а в поле Remote Gateway Address укажите WAN IP-адрес ZyWALL 1050 (в нашем примере WAN IP-адрес ZyWALL 1050 - 210.110.7.1). 


В разделе Authentication Key в поле Local ID Type укажите IP и в поле Content впишите WAN IP-адрес ZyWALL 70, а в поле Peer ID Type укажите IP и в поле Content впишите WAN IP-адрес ZyWALL 1050.

4. В разделе IKE Proposal нужно указать настройки, необходимые для создания VPN-туннеля. Такие настройки, как Negotiation Mode, Encryption и Authentication Algorithm, должны совпадать на обоих устройствах ZyWALL, в противном случае туннель не установится.



5. В веб-конфигураторе ZyWALL 1050 зайдите в меню Configuration > Network > IPSec VPN > VPN Connection и создайте новое VPN-соединение. Установите настройки фазы 2 (Phase 2) протокола IPSec (эти настройки должны совпадать с соответствующими настройками на удаленном ZyWALL 70). Укажите в полях Local policy и Remote policy соответственно локальную подсеть (LAN_SUBNET - 192.169.1.0/24) и удаленную подсеть (Remote_Subnet - 192.168.2.0/24).

6. В ZyWALL 70 реализован Rule-based VPN. Это метод определения трафика, направляемого в VPN-туннель на основе сетевых политик (Network Policy). Проверяется IP-адрес источника и назначения трафика, и при совпадении его с настройками политики ZyWALL направяляет трафик в VPN-туннель. Например, в ZyWALL 70 в настройках Local Network и Remote Network указаны подсети соответственно 192.168.2.0 и 192.168.1.0. Трафик из подсети 192.168.2.X, направляемый в подсеть 192.168.1.X, будет идти через VPN-туннель. Аналогичные настройки на ZyWALL 1050 (в разделе Policy) должны быть противоположные настройкам ZyWALL 70, иначе туннель не будет построен.


7. Проверьте настройки IPSec Proposal. Они должны совпадать на обоих устройствах ZyWALL.



8. В ZyWALL 1050 реализован Route-based VPN. Вам нужно создать и настроить Policy Route для передачи трафика из локальной подсети в удаленную подсеть через VPN-туннель. Настройку Policy Route на ZyWALL 1050 нужно производить в меню Configuration > Policy > Route > Policy Route. Создайте новый маршрут (Policy Route), где укажите в качестве адреса источника (Source Address) локальную подсеть (LAN_SUBNET), а в качестве адреса назначения (Destination Address) - удаленную подсеть (Remote_Subnet). В разделе Next-Hop укажите в поле Type -  VPN Tunnel. Затем в поле VPN Tunnel из ниспадающего списка выберите созданное ранее правило VPN (в нашем примере VPN-правило имеет название RemoteTunnel).



9. После настройки VPN-соединения на обоих ZyWALL'ах нажмите значок Dial up VPN tunnel для теста VPN-соединения.

10. Когда VPN-туннель успешно установится, вы увидите сообщение VPN Tunnel Establishment Successful.  


KB-1606

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0