(!) Пример построения VPN-туннеля между ZyWALL 2 и ZyWALL 70

Пример установки VPN-туннеля между двумя аппаратными шлюзами ZyWALL 2 и ZyWALL 70.

Рассмотрим пример установки VPN-туннеля между двумя аппаратными шлюзами ZyWALL 2 и ZyWALL 70.



1. Рассмотрим настройки аппаратного шлюза ZyWALL 2.


В меню LAN в разделе IP указываем IP-адрес ZyWALL'а (в нашем примере 192.168.2.1) и включаем DHCP-сервер (DHCP Server), который будет назначать ip-адреса компьютерам или сетевым устройствам, подключенным к нему. 



В меню WAN в разделе WAN IP назначаете статический IP-адрес (Use fixed IP address) на WAN-порту этого ZyWALL 2 (My WAN IP Address), указываете маску (My WAN IP Subnet Mask) и пишете WAN IP-адрес удаленного ZyWALL 70 в поле Gateway IP Address


В нашем примере My WAN IP Address - 10.0.0.2 / My WAN IP Subnet Mask - 255.255.255.0 и Gateway IP Address - 10.0.0.1



В меню VPN - VPN RULE - EDIT вы создаете правило для VPN-соединения с ZyWALL 70.



Включите создаваемое вами правило VPN. Установите галочку напротив Active (Активизировать).


Включите функцию Nailed-Up. При использовании этой функции устройство ZyXEL будет пытаться автоматически установить VPN-соединение каждый раз при включении, а также восстановить его при разрыве.


Key Management (Управление ключами). Можно выбрать IKE или ручной режим (Manually). При использовании IKE ZyWALL осуществляет автоматическое согласование с другой стороной параметров безопасности в соответствии с конфигурацией, заданной в дополнительных параметрах IPSec (в Меню VPN - VPN RULE - EDIT - ADVANCED). В ручном режиме, использовать который настоятельно не рекомендуется, приходится самостоятельно задавать все параметры безопасности;


Negotiation Mode (Режим согласования). Основной (Main) или Энергичный (Aggressive);


Введите IP-адрес локального/удаленного хоста или подсети (Local/Remote). Существует три возможных типа адреса (Address Type): SINGLE (Одиночный), RANGE (Диапазон) и SUBNET (Подсеть). Удостоверьтесь, что типы адресов для обеих сторон заданы правильно, поскольку в противном случае невозможно будет установить VPN-соединение;


My IP Address. IP-адрес места, на котором ZyWALL "заканчивает" VPN-туннель. В этом поле может содержаться IP-адрес интерфейса WAN (ГВС), LAN (ЛВС) или DMZ ZyWALL, а также он может быть общедоступным IP-адресом, полученным при трансляции адресов, если ZyWALL использует Full Feature (Multi-NAT). В нашем примере WAN IP-адрес ZyWALL 2 - 10.0.0.2;


Primary Secure Gateway (Адрес шлюза безопасности). IP-адрес в Глобальной Сети другой стороны, с которой ZyWALL связывается посредством VPN. ZyWALL может работать со статическими и динамическими IP-адресами другой стороны. Если другая сторона обладает динамическим IP-адресом, VPN-соединение должно инициироваться ей самой. Если другая строна обладает статическим IP-адресом, VPN-соединение может инициироваться любой из сторон. В это поле можно внести IP-адрес или имя домена. В нашем примере WAN IP-адрес удаленного ZyWALL 70 - 10.0.0.1;


В качестве метода аутентификации (Autentication Method) нужно ввести Pre-Shared Key (Предварительно согласованный ключ);


Указать протокол ESP или AH и используемые алгоритмы для защиты данных.


Далее нажмите кнопку Advanced для настройки дополнительных параметров IPSec. 



В дополнительных настройках (в меню VPN - VPN RULE - EDIT - ADVANCED) нужно заполнить следующие пункты для первой и второй стадии VPN:


Protocol (Протокол). Укажите номер протокола, используемого пакетами, которые необходимо передать по VPN, или "0" для любых пакетов вне зависимости от номера протокола;


Enable Relay Detection (Активизировать распознавание повторной передачи). Выберите Yes (Да) для предотвращения повторной передачи пакетов IPSec;


Введите настройки для первой и второй стадии VPN-соединения.


Мы создали VPN-правило на аппаратном шлюзе ZyWALL 2 для построения защищенного туннеля между этим ZyWALL'ом и удаленным ZyWALL 70.



 




2. Теперь приступим к настройке аппаратного шлюза ZyWALL 70.


В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL’а (в нашем примере LAN IP Address 192.168.1.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.



В меню WAN - General в разделе Check Connectivity снимите галочку напротив пункта Check WAN Connectivity. Нажмите кнопку Apply и перейдите на закладку WAN1, где указываем IP-адреса на WAN-порту ZyWALL’а. В нашем примере используется статический WAN IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.0.0.1
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.2 (это WAN IP удаленного ZyWALL'а)

Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.



В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создадим политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPN_Tunnel"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере 10.0.0.1) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.2).

В поле Pre-Shared Key зададим предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения параметров установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.

Нажмите Apply для сохранения введенных настроек.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создадим правило для установки защищенного VPN-туннеля между двумя ZyWALL'ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере Secure_VPN). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0.


В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.

Нажмите Apply для сохранения настроек.



Мы создали VPN-правило на аппаратном шлюзе ZyWALL 70 для построения защищенного туннеля между этим ZyWALL'ом и удаленным ZyWALL 2.



 




3. Проверка VPN-соединения.


Проверить, был ли установлен VPN-туннель, можно в разделе VPN на закладке SA Monitor



С одного из компьютера сети 192.168.2.0 (например, со стороны ZyWALL 2), выполним пинг хоста удаленной сети (192.168.1.0) через VPN-туннель. В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 192.168.2.33 на LAN IP ZyWALL 70  - 192.168.1.1 и на компьютер удаленной сети с IP-адресом - 192.168.1.33.



Обратите внимание на то, чтобы при ручной настройке TCP/IP-соединения для компьютеров локальной сети обязательно в качестве основного шлюза был указан IP-адрес ZyWALL.


KB-1524

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0