(!) Пример построения VPN-туннеля между ZyWALL 35 и ZyWALL 70

Пример установки VPN-туннеля между двумя аппаратными шлюзами ZyWALL 35 и ZyWALL 70.

Рассмотрим пример установки VPN-туннеля между двумя аппаратными шлюзами ZyWALL 35 и ZyWALL 70.



1. Рассмотрим настройки аппаратного шлюза ZyWALL 35.


В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL’а (в нашем примере LAN IP Address 192.168.2.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.



В меню WAN - General в разделе Check Connectivity снимите галочку напротив пункта Check WAN Connectivity. Нажмите кнопку Apply и перейдите на закладку WAN1, где указываем IP-адреса на WAN-порту ZyWALL’а. В нашем примере используется статический WAN IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.0.0.2
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.1 (это WAN IP удаленного ZyWALL'а)

Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.



В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создадим политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPN_Tunnel"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере 10.0.0.2) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.1).

В поле Pre-Shared Key зададим предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения параметров установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.

Нажмите Apply для сохранения введенных настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создадим правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере Secure_VPN). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0.


В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.

Нажмите Apply для сохранения настроек.



Мы создали VPN-правило на аппаратном шлюзе ZyWALL 35 для построения защищенного туннеля между этим ZyWALL'ом и удаленным ZyWALL 70.



 




2. Теперь приступим к настройке аппаратного шлюза ZyWALL 70.


В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL’а (в нашем примере LAN IP Address 192.168.1.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.



В меню WAN - General в разделе Check Connectivity снимите галочку напротив пункта Check WAN Connectivity. Нажмите кнопку Apply и перейдите на закладку WAN1, где указываем IP-адреса на WAN-порту ZyWALL’а. В нашем примере используется статический WAN IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.0.0.1
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.2 (это WAN IP удаленного ZyWALL'а)

Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.



В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создадим политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPN_Tunnel"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере 10.0.0.1) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.2).

В поле Pre-Shared Key зададим предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения параметров установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.

Нажмите Apply для сохранения введенных настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создадим правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере Secure_VPN). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0.


В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.

Нажмите Apply для сохранения настроек.



Мы создали VPN-правило на аппаратном шлюзе ZyWALL 70 для построения защищенного туннеля между этим ZyWALL'ом и удаленным ZyWALL 35.



 




3. Проверка VPN-соединения.


Проверить, был ли установлен VPN-туннель, можно в разделе VPN на закладке SA Monitor



С одного из компьютера сети 192.168.2.0 (например, со стороны ZyWALL 35), выполним пинг хоста удаленной сети (192.168.1.0) через VPN-туннель. В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 192.168.2.33 на LAN IP ZyWALL 70  - 192.168.1.1 и на компьютер удаленной сети с IP-адресом - 192.168.1.33.



Обратите внимание на то, чтобы при ручной настройке TCP/IP-соединения для компьютеров локальной сети обязательно в качестве основного шлюза был указан IP-адрес ZyWALL.


KB-1523

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0