(!) Пример создания VPN-туннеля IPSec между шлюзами безопасности ZyWALL USG и аппаратными шлюзами серии ZyWALL UTM

Пример создания простого VPN-туннеля IPSec между шлюзом безопасности ZyWALL USG 50 и аппаратным шлюзом ZyWALL 5.

В данной статье приведен пример создания простого VPN-туннеля IPSec между шлюзом безопасности ZyWALL USG 50 и аппаратным шлюзом ZyWALL 5.



Настройку VPN-подключения будем производить из веб-конфигуратора устройства.

Настройка ZyWALL USG 50

Зайдите в меню Network > Interface > Ethernet и установите на интерфейсе wan1 статический IP-адрес (в нашем примере установлен IP-адрес 10.0.0.1). В качестве локальной подсети указана подсеть 192.168.1.0/24.



В меню Object > Address создайте объект, в котором будет указана удаленная подсеть (в нашем примере указана подсеть 172.16.1.0/24).



Для создания IPSec-туннеля зайдите в меню VPN > IPSec VPN > VPN Gateway и создайте новое правило с указанием IP-адреса удаленного VPN-шлюза.
В поле My Address - Interface укажите интерфейс wan1, а в поле Peer Gateway Address - Static Address укажите IP-адрес шлюза, с которым ZyWALL USG 50 будет устанавливать VPN-туннель (в нашем примере указан IP-адрес 10.0.0.2). В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах туннеля.



После проведения настроек VPN Gateway зайдите в меню VPN > IPSec VPN > VPN Connection для дальнейшей настройки VPN-подключения.



В разделе Application Scenario выберите значение Site-to-site и в поле VPN Gateway выберите предустановленное правило.
В поле Local policy укажите локальную подсеть (в нашем примере 192.168.1.0/24), а в поле Remote policy укажите удаленную подсеть (в нашем примере 172.168.1.0/24).

Таким образом, будет создано VPN-подключение.

Затем зайдите в меню Network > Zone и отредактируйте зону IPSec_VPN, членом которой будет являться созданное ранее VPN-подключение.




Затем зайдите в меню Network > Firewall и создайте правило межсетевого экрана для прохождения сетевого трафика из туннеля VPN в локальную подсеть. Укажите направление, регулирующее трафик по отношению к зоне IPSec_VPN, куда входит созданный туннель IPSec.



Настройка ZyWALL 5

Для локальной сети 172.168.1.0/24 на ZyWALL 5 включите сервер DHCP (DHCP Server).



Создайте VPN-правило на аппаратном шлюзе ZyWALL 5 для построения защищенного туннеля между ZyWALL 5 и удаленным ZyWALL USG 50.

В меню Security в разделе VPN > VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN > Gateway Policy > Edit создайте политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "GW_toUSG50"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере это IP 10.0.0.2 или 0.0.0.0) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере это IP-адрес 10.0.0.1).

В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.



После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN > Network Policy > Edit создайте правило для установки защищенного VPN-туннеля между двумя ZyWALL’ами.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Conn_toUSG50"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере "GW_toUSG50"). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 172.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.1.0, Ending IP Address - 255.255.255.0, т.е. диапазон, включающий в себя все IP-адреса.

В разделе IPSec Proposal установите Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также укажите алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.



Таким образом, было создано VPN-правило на аппаратном шлюзе ZyWALL 5 для построения защищенного VPN-туннеля между ZyWALL 5 и удаленным ZyWALL USG 50.



Для проверки VPN-подключения выполните ping хостов из одной локальной подсети в другую через туннель.


KB-2172

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0