(!) Настройка VPN IPSec между двумя ZyWALL 2

Как настроить VPN-соединение между двумя ZyWALL 2?

Рассмотрим пример настройки VPN (виртуальная частная сеть) между двумя ZyWALL 2.


Предположим, что имеется следующая схема соединения:



Рассмотрим настройки ZyWALL 2 (A)


В меню LAN в разделе IP указываем IP-адрес ZyWALL'а (в нашем примере 192.168.1.1) и включаем DHCP-сервер (DHCP Server), который будет назначать ip-адреса компьютерам или сетевым устройствам, подключенным к нему. 



В меню WAN в разделе WAN IP назначаете статический IP-адрес (Use fixed IP address) на WAN-порту этого ZyWALL'а A (My WAN IP Address), указываете маску (My WAN IP Subnet Mask) и пишете WAN IP-адрес удаленного ZyWALL'а B в поле Gateway IP Address


В нашем примере My WAN IP Address - 10.0.0.1 / My WAN IP Subnet Mask - 255.255.255.0 и Gateway IP Address - 10.0.0.2



В меню VPN - VPN RULE - EDIT вы создаете правило для VPN-соединения с ZyWALL 2 (B).



Включите создаваемое вами правило VPN. Установите галочку напротив Active (Активизировать).


Включите функцию Nailed-Up. При использовании этой функции устройство ZyXEL будет пытаться автоматически установить VPN-соединение каждый раз при включении, а также восстановить его при разрыве.


Key Management (Управление ключами). Можно выбрать IKE или ручной режим (Manually). При использовании IKE ZyWALL осуществляет автоматическое согласование с другой стороной параметров безопасности в соответствии с конфигурацией, заданной в дополнительных параметрах IPSec (в Меню VPN - VPN RULE - EDIT - ADVANCED). В ручном режиме, использовать который настоятельно не рекомендуется, приходится самостоятельно задавать все параметры безопасности;


Negotiation Mode (Режим согласования). Основной (Main) или Энергичный (Aggressive);


Введите IP-адрес локального/удаленного хоста или подсети (Local/Remote). Существует три возможных типа адреса (Address Type): SINGLE (Одиночный), RANGE (Диапазон) и SUBNET (Подсеть). Удостоверьтесь, что типы адресов для обеих сторон заданы правильно, поскольку в противном случае невозможно будет установить VPN-соединение;


My IP Address. IP-адрес места, на котором ZyWALL "заканчивает" VPN-туннель. В этом поле может содержаться IP-адрес интерфейса WAN (ГВС), LAN (ЛВС) или DMZ ZyWALL, а также он может быть общедоступным IP-адресом, полученным при трансляции адресов, если ZyWALL использует Full Feature (Multi-NAT). В нашем примере WAN IP-адрес ZyWALL A 10.0.0.1;


Primary Secure Gateway (Адрес шлюза безопасности). IP-адрес в Глобальной Сети другой стороны, с которой ZyWALL связывается посредством VPN. ZyWALL может работать со статическими и динамическими IP-адресами другой стороны. Если другая сторона обладает динамическим IP-адресом, VPN-соединение должно инициироваться ей самой. Если другая сторона обладает статическим IP-адресом, VPN-соединение может инициироваться любой из сторон. В это поле можно внести IP-адрес или имя домена. В нашем примере WAN IP-адрес удаленного ZyWALL B 10.0.0.2;


В качестве метода аутентификации (Autentication Method) нужно ввести Pre-Shared Key (Предварительно согласованный ключ);


Указать протокол ESP или AH, используемый для защиты данных, а также алгоритмы кодирования и аутентификации.


Далее нажмите кнопку Advanced для настройки дополнительных параметров IPSec. 



В дополнительных настройках (в меню VPN - VPN RULE - EDIT - ADVANCED) нужно заполнить следующие пункты для первой и второй стадии VPN:


Protocol (Протокол). Укажите номер протокола, используемого пакетами, которые необходимо передать по VPN, или "0" для любых пакетов вне зависимости от номера протокола;


Enable Relay Detection (Активизировать распознавание повторной передачи). Выберите Yes (Да) для предотвращения повторной передачи пакетов IPSec;


Введите настройки для первой и второй стадии VPN.


Для стадии 1 вы должны заполнить:


Negotiation Mode (Режим согласования): Основной (Main) или Энергичный (Aggressive);
Encryption Algorithm (Алгоритм кодирования);
Authentication Algorithm (Алгоритм аутентификации);
SA Life Time (Время жизни SA). Срок давности соединения SA (Security Association) на стадии 1. Минимальное значение равно 60 секундам;
Key Group (Ключевая группа).


Для стадии 2 вы должны заполнить:


Active Protocol (Активный протокол). Указать протокол ESP или AH, используемый для защиты данных;
Encryption Algorithm (Алгоритм кодирования);
Authentication Algorithm (Алгоритм аутентификации);
SA Life Time (Время жизни SA). Срок давности соединения SA на стадии 2. Минимальное значение равно 60 секундам;
Encapsulation (Инкапсуляция). Туннельный или транспортный режим;
Perfect Forward Secrecy (PFS). Непосредственный контроль секретности.







Рассмотрим настройки ZyWALL 2 (B)


В меню LAN в разделе IP указываем IP-адрес ZyWALL'а (в нашем примере 192.168.2.1) и включаем DHCP-сервер (DHCP Server), который будет назначать ip-адреса компьютерам или сетевым устройствам, подключенным к нему. 



В меню WAN в разделе WAN IP назначаете статический IP-адрес (Use fixed IP address) на WAN-порту этого ZyWALL'а A (My WAN IP Address), указываете маску (My WAN IP Subnet Mask) и пишете WAN IP-адрес удаленного ZyWALL'а B в поле Gateway IP Address


В нашем примере My WAN IP Address - 10.0.0.2 / My WAN IP Subnet Mask - 255.255.255.0 и Gateway IP Address - 10.0.0.1



В меню VPN - VPN RULE - EDIT вы создаете правило для VPN-соединения с ZyWALL 2 (A).



Включите создаваемое вами правило VPN. Установите галочку напротив Active (Активизировать).


Включите функцию Nailed-Up. При использовании этой функции устройство ZyXEL будет пытаться автоматически установить VPN-соединение каждый раз при включении, а также восстановить его при разрыве.


Key Management (Управление ключами). Можно выбрать IKE или ручной режим (Manually). При использовании IKE ZyWALL осуществляет автоматическое согласование с другой стороной параметров безопасности в соответствии с конфигурацией, заданной в дополнительных параметрах IPSec (в Меню VPN - VPN RULE - EDIT - ADVANCED). В ручном режиме, использовать который настоятельно не рекомендуется, приходится самостоятельно задавать все параметры безопасности;


Negotiation Mode (Режим согласования). Основной (Main) или Энергичный (Aggressive);


Введите IP-адрес локального/удаленного хоста или подсети (Local/Remote). Существует три возможных типа адреса (Address Type): SINGLE (Одиночный), RANGE (Диапазон) и SUBNET (Подсеть). Удостоверьтесь, что типы адресов для обеих сторон заданы правильно, поскольку в противном случае невозможно будет установить VPN-соединение;


My IP Address. IP-адрес места, на котором ZyWALL "заканчивает" VPN-туннель. В этом поле может содержаться IP-адрес интерфейса WAN (ГВС), LAN (ЛВС) или DMZ ZyWALL, а также он может быть общедоступным IP-адресом, полученным при трансляции адресов, если ZyWALL использует Full Feature (Multi-NAT). В нашем примере WAN IP-адрес ZyWALL B  10.0.0.2;


Primary Secure Gateway (Адрес шлюза безопасности). IP-адрес в Глобальной Сети другой стороны, с которой ZyWALL связывается посредством VPN. ZyWALL может работать со статическими и динамическими IP-адресами другой стороны. Если другая сторона обладает динамическим IP-адресом, VPN-соединение должно инициироваться ей самой. Если другая строна обладает статическим IP-адресом, VPN-соединение может инициироваться любой из сторон. В это поле можно внести IP-адрес или имя домена. В нашем примере WAN IP-адрес удаленного ZyWALL A 10.0.0.1;


В качестве метода аутентификации (Autentication Method) нужно ввести Pre-Shared Key (Предварительно согласованный ключ);


Указать протокол ESP или AH, используемый для защиты данных, а также алгоритмы кодирования и аутентификации.


Далее нажмите кнопку Advanced для настройки дополнительных параметров IPSec. 



В дополнительных настройках (в меню VPN - VPN RULE - EDIT - ADVANCED) нужно заполнить следующие пункты для первой и второй стадии VPN:


Protocol (Протокол). Укажите номер протокола, используемого пакетами, которые необходимо передать по VPN, или "0" для любых пакетов вне зависимости от номера протокола;


Enable Relay Detection (Активизировать распознавание повторной передачи). Выберите Yes (Да) для предотвращения повторной передачи пакетов IPSec;


Введите настройки для первой и второй стадии VPN.


Для стадии 1 вы должны заполнить:


Negotiation Mode (Режим согласования): Основной (Main) или Энергичный (Aggressive);
Encryption Algorithm (Алгоритм кодирования);
Authentication Algorithm (Алгоритм аутентификации);
SA Life Time (Время жизни SA). Срок давности соединения SA (Security Association) на стадии 1. Минимальное значение равно 60 секундам;
Key Group (Ключевая группа).


Для стадии 2 вы должны заполнить:


Active Protocol (Активный протокол) - указать протокол ESP или AH, используемый для защиты данных;
Encryption Algorithm (Алгоритм кодирования);
Authentication Algorithm (Алгоритм аутентификации);
SA Life Time (Время жизни SA). Срок давности соединения SA на стадии 2. Минимальное значение равно 60 секундам;
Encapsulation (Инкапсуляция). Туннельный или транспортный режим;
Perfect Forward Secrecy (PFS). Непосредственный контроль секретности.

KB-1431

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0