(!) Организация доступа в Интернет через VPN-туннель между шлюзами ZyWALL 5/35/70

Как организовать доступ в Интернет для компьютеров локальной сети через шлюз, доступ к которому осуществляется через VPN-туннель и который имеет выход в Интернет?

Предположим, что необходимо организовать доступ в Интернет для компьютеров локальной сети 192.168.2.0/24 через маршрутизатор (шлюз или роутер) с адресом 192.168.1.254, который имеет выход в Интернет. Доступ к данному маршрутизатору осуществляется через VPN-туннель.



Далее рассмотрим настройки аппаратных шлюзов ZyWALL 5 и ZyWALL 35 для решения этой задачи.


Настройки ZyWALL 5


Для локальной сети 192.168.2.0/24 на ZyWALL 5 включите сервер DHCP (DHCP Server).



Создайте VPN-правило на аппаратном шлюзе ZyWALL 5 для построения защищенного туннеля между ZyWALL 5 и удаленным ZyWALL 35.


В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPNGW"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере это IP 10.0.0.2 или 0.0.0.0) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.1).

В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "ZWNET"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере VPNGW). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Range Address, в поле Starting IP Address - 0.0.0.0, Ending IP Address - 255.255.255.254, т.е. диапазон, включающий в себя все IP-адреса.


В разделе IPSec Proposal установите Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также укажите алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.



Таким образом, было создано VPN-правило на аппаратном шлюзе ZyWALL 5 для построения защищенного туннеля между ZyWALL 5 и удаленным ZyWALL 35.



Зайдите в меню VPN и перейдите на закладку Global Setting. В поле Local and Remote IP Address Conflict Resolution укажите значение The Local Network для отправки локального трафика в локальную сеть.



! При настройке DNS на ZyWALL 5 обязательно укажите IP-адрес DNS-сервера. В нашем примере в качестве DNS-сервера указан маршрутизатор, через который будет осуществляться выход в Интернет.



Настройки ZyWALL 35



Создайте VPN-правило на аппаратном шлюзе ZyWALL 35 для построения защищенного туннеля между ZyWALL 35 и удаленным ZyWALL 5.


В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPNGW"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере это IP 10.0.0.1 или 0.0.0.0) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.2).

В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "VPNNET"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере VPNGW). В разделе Local Network в поле Address Type укажите Range Address, в поле Starting IP Address - 0.0.0.0, Ending IP Address - 255.255.255.254, т.е. диапазон, включающий в себя все IP-адреса. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0.


В разделе IPSec Proposal установите Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также укажите алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.



Таким образом, было создано VPN-правило на аппаратном шлюзе ZyWALL 35 для построения защищенного туннеля между этим ZyWALL'ом и удаленным ZyWALL 5.



Зайдите в меню VPN и перейдите на закладку Global Setting. В поле Local and Remote IP Address Conflict Resolution укажите значение The Remote Network (via VPN Tunnel) для отправки локального трафика в удаленную сеть (через VPN-туннель).



На ZyWALL 35 дополнительно нужно создать Policy Route (Политика маршрута), для того чтобы весь входящий трафик из подсети 192.168.2.0 перенаправлялся на шлюз 192.168.1.254.


KB-1972

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0