(!) Описание настройки динамического правила VPN в ZyWALL 5/35/70

Как настроить динамическое правило VPN в ZyWALL 5/35/70 для создания VPN-туннелей?

В аппаратных шлюзах серии ZyWALL существует возможность создания динамического правила VPN для организации VPN-соединений. В этой статье мы расскажем, как правильно настроить ZyWALL в этом случае, и приведем пример создания динамического правила.



Допустим, необходимо обеспечить удаленным пользователям (которые имеют подключение к Интернету) VPN-соединение с локальной сетью офиса. В офисе установлен аппаратный шлюз ZyWALL, на котором для решения нашей задачи нужно будет создать одно динамическое правило VPN.


Подключитесь к веб-конфигуратору ZyWALL. В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.



В поле Name впишите название политики. В поле My Address укажите доменное имя или IP-адрес, который будет использоваться на WAN-порту ZyWALL’а. Так как клиенты, которые будут подключаться к локальной сети офиса, имеют различные IP-адреса и эти IP-адреса могут динамически  меняться, т.е. нам неизвестны IP-адреса, с которыми будет установлен VPN-туннель, то в поле Primary Remote Gateway укажите 0.0.0.0.
В поле Pre-Shared Key задайте предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится. Либо вы можете установить галочку Enable Multiple Proposals, что позволит клиентам использовать любые параметры безопасности на стадии 1 выполнения протокола IKE. Но это понизит безопасность VPN-туннеля. 



Нажмите Apply для сохранения введенных настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название политики. В поле Gateway Policy укажите созданную ранее политику шлюза. В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Single Address, а в поле Starting IP Address - 0.0.0.0.


В разделе IPSec Proposal нужно указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на другой стороне VPN-туннеля. Либо вы можете установить галочку Enable Multiple Proposals, что позволит клиентам использовать любые параметры безопасности на стадии 2 выполнения протокола IKE. Но это понизит безопасность VPN-туннеля. 



Нажмите Apply для сохранения настроек.



Мы создали одно динамическое правило VPN на аппаратном шлюзе ZyWALL для построения защищенных динамических VPN-туннелей между ZyWALL'ом и удаленными клиентами. Таким образом, клиенты с любыми внешними IP-адресами и любыми локальными подсетями (разными) смогут подключиться к одному правилу VPN на ZyWALL'е, зная предварительно согласованный ключ Pre-Shared Key и параметры безопасности данных, которые должны совпадать на обоих сторонах VPN-туннеля, или при использовании Multiple Proposals только ключ Pre-Shared Key.

KB-1647

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0