(!) Организация VPN-туннеля IPSec между ZyWALL VPN Client и NBG460N

Как настроить VPN-соединение с помощью программного VPN-клиента ZyWALL VPN Client с одной стороны и интернет-центром NBG460N с другой?


ZyWALL VPN Client - это программный VPN-клиент для Windows. Использование VPN Client позволяет гарантированно устанавливать защищенные IPSec-туннели не только с межсетевыми экранами ZyXEL, но и с любым другим оборудованием и программными серверами других производителей, сертифицированными ICSA Labs.


ZyWALL VPN Client предоставляет высочайший уровень защиты передаваемых данных и надежные средства контроля и мониторинга соединений IPSec VPN.


При использовании данного ПО настройки VPN-туннеля с интернет-центром NBG460N становятся во много раз проще по сравнению со встроенными средствами Windows. Рассмотрим пример установки VPN-туннеля между компьютером, с установленным на нем ZyWALL VPN Client, и интернет-центром NBG460N.



Запустите ZyWALL IPSec VPN Client и выберите Root для создания настроек туннеля VPN.



Сначала создайте Новую Фазу 1 и затем выполните настройки в разделе Фаза 1 (Аутентификация). В поле Интерфейс выберите IP-адрес сетевого интерфейса, а в поле Удаленный шлюз укажите IP-адрес удаленного устройства, с которым будет установлен туннель VPN. В поле ключ PSK укажите предварительно согласованный ключ и в поле Подтвердите еще раз введите ключ.
Для настроек Фазы 1 в разделе IKE укажите алгоритм кодирования, метод аутентификации и ключ группы. При необходимости для настроек дополнительных параметров Фазы 1 нажмите кнопку Ф1 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



*Выбор метода кодирования DES связан с ограничениями, налагаемыми постановлением о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств: 
http://www.tsouz.ru/db/entr/norm-prav-doc/ediniy_perechen/Pages/default.aspx


Добавьте Фазу 2 и затем выполните настройки в разделе Фаза 2 (Конфигурация IPSec). В поле Адрес VPN клиента укажите IP-адрес компьютера на котором установлен ZyWALL VPN Client. В поле Тип адреса выберите Адрес подсети (IP Subnet). В нашем примере указан Удаленный адрес LAN - 192.168.1.0 и Маска подсети - 255.255.255.0.
В разделе ESP укажите алгоритм кодирования, метод аутентификации и режим работы. При необходимости, для настроек дополнительных параметров Фазы 2 нажмите кнопку Ф2 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.



Нажмите кнопку Открыть Туннель для построения туннеля IPSec VPN.


Значения параметров в настройках Фаза 1 (Phase 1) и Фаза 2 (Phase 2) должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.


 




 


Теперь рассмотрим настройки интернет-центра NBG460N. В меню Network > LAN > IP указываем IP-адрес интернет-центра (в нашем примере в поле IP Address установлен IP-адрес 192.168.1.1) и в меню Network > DHCP Server > General включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.




В меню Status посмотрите текущий WAN IP-адрес интернет-центра в разделе WAN Information в поле IP Address.



В меню Security > VPN > General нажмите на кнопку Edit напротив одного из двух VPN-правил. В появившемся разделе в самом низу нажмите кнопку Advanced. Для рассмотренной выше настройки VPN-клиента, настройка на интернет-центре будет выглядеть следующим образом:



В поле Pre-Shared Key установите предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Phase 1 нужно установить следующие значения: Negotiation Mode (Режим согласования) - Main, Encryption Algorithm (Алгоритм защиты данных) - DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Key Group (Ключевая группа) - DH1.


Значения параметров в разделе IKE Phase 1 и IKE Phase 2 должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.


Нажмите Apply для сохранения введенных настроек.

В разделе IKE Phase 2 нужно установить следующие значения: Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, Encryption Algorithm (Алгоритм защиты данных) - DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Perfect Forward Secrecy (Непосредственный контроль секретности) - None. Эти значения должны также совпадать с аналогичными настройками в программе VPN Client.


Нажмите Apply для сохранения настроек.


Мы создали VPN-правило для построения защищенного VPN-туннеля между программным клиентом ZyWALL VPN Client и интернет-центром NBG460N.



Проверить, установлен ли VPN-туннель, можно в меню Security > VPN > SA Monitor.



В настройках программы ZyWALL VPN Client можно обратиться к меню Консоль для отображения процедуры аутентификации и диагностики VPN-соединения или к меню Соединения для получения статуса VPN-соединения.


С компьютера, на котором установлен программный VPN-клиент, выполните пинг хоста удаленной сети (192.168.1.x) через VPN-туннель. В нашем примере, мы выполнили пинг на LAN IP-адрес интернет-центра NBG460N - 192.168.1.1.


KB-2072

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0