Маршрутизация клиентов L2TP over IPSec в удаленный офис через IPSec-туннель на аппаратных шлюзах серии ZyWALL USG

Как на аппаратных шлюзах серии ZyWALL USG настроить маршрутизацию клиентов L2TP over IPSec в удаленный офис через IPSec-туннель?

Рассмотрим следующую топологию:

Есть 2 офиса A и B (в каждом офисе установлен аппаратный шлюз серии ZyWALL USG). Они соединены VPN-туннелем IPSec. К каждому из офисов по Интернету подключаются удаленные клиенты L2TP over IPSec.
Задача: настроить маршрутизацию для всех клиентов L2TP over IPSec в локальную подсеть офиса A и B, при этом не важно, к какому офису клиент подключается.

Суть настройки будет сводиться к написанию двух маршрутов на обоих шлюзах безопасности:
1. Весь трафик (с любыми IP-адресами источника), направляющийся в удаленную подсеть, будет маршрутизироваться в VPN-туннель IPSec. Этот маршрут нужен, так как IP-адреса клиентов L2TP over IPSec не входят в диапазон, указанный в VPN Connections для соединения двух офисов. Автоматически трафик не будет маршрутизироваться в туннель.
2. Второй маршрут будет указывать шлюзу, что трафик с IP-адресами назначения из диапазона удаленных клиентов L2TP over IPSec нужно направлять в IPSec-туннель между офисами или трафик, предназначенный удаленным клиентам L2TP over IPSec, нужно направлять в IPSec-туннель между офисами. Без этого маршрута не будут доходить ответы на запросы.

Рассмотрим параметры нашей тестовой схемы:

ZyWALL USG 50 (Офис A)

ZyWALL USG 100 (Офис B)

wan1: 10.0.0.2 (в реальной схеме это должен быть глобальный статический IP-адрес)
lan1: 192.168.38.1/24 - локальная подсеть Офиса A
Подсеть, из которой клиенты L2TP over IPSec офиса A получают IP-адреса при подключении: 192.168.100.0

wan1: 10.0.1.2 (в реальной схеме это должен быть глобальный статический IP-адрес)
lan1: 192.168.39.1/24 - локальная подсеть Офиса B
Подсеть, из которой клиенты L2TP over IPSec офиса A получают IP-адреса при подключении: 192.168.150.0


На обоих устройствах необходимо настроить туннель L2TP over IPSec (для возможности подключения удаленных клиентов) по статье «Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG» и IPSec-туннель между аппаратными шлюзами по статье «Пример создания простого VPN-туннеля IPSec между двумя аппаратными шлюзами серии ZyWALL USG».

Настройка ZyWALL USG 50 из Офиса А

Для настройки интерфейсов зайдите в меню Configuration > Network > Interface на закладку Ethernet.

Для создания объектов, необходимых для настройки маршрутизации, зайдите в меню Configuration > Object > Address.

 

Кроме подсетей для клиентов L2TP over IPSec, также нужно создать объект типа INTERFACE IP для интерфейса wan1 и объект типа SUBNET, определяющий удаленную подсеть Офиса B. Это нужно для настройки туннеля L2TP over IPSec и для IPSec-туннеля между офисами.

Туннель L2TP over IPSec и IPSec-туннель между офисами должны быть настроены в меню Сonfiguration > VPN > IPSec VPN > VPN Gateway и Сonfiguration > VPN > IPSec VPN > VPN Connection.


Для настройки правил маршрутизации зайдите в меню Configuration > Network > Routing > Policy Route.

Настройки первого маршрута:

По данному маршруту трафик с IP-адресом назначения из подсети REM_l2tp_pool (192.168.150.0/24) направляется (Next Hope) в туннель VPN IPSec To_USG100, который настроен и работает между офисами. Таким образом, ZyWALL USG 50 офиса A будет знать, куда направлять пакеты, которые идут на адреса REM_l2tp_pool (192.168.150.0/24).

Настройки второго маршрута:

По второму маршруту трафик от любых IP-адресов источников на адреса Rem_VPN_sub (удаленная локальная сеть 192.168.39.0/24) будет направляться в VPN-туннель IPSec. Этот маршрут нужен, так как по правилам IPSec-туннеля туда по умолчанию идут пакеты по настройкам второй фазы (настраивается в VPN Connection) с IP-адресом источника из локального диапазона и с IP-адресом назначения из удаленного диапазона.

Затем нужно настроить Firewall. Для настройки правил межсетевого экрана зайдите в меню Configuration > Network > Firewall.
В нашей схеме основным условием прохождения пакетов через Firewall будет привязка обоих туннелей к одной зоне, в которой разрешен трафик между интерфейсами зоны (Block Intra-zone – no).
Также должны быть правила, разрешающие трафик из этой зоны в локальную сеть и из локальной сети в эту зону.

Подробно про настройку зон и правил Firewall можно прочитать в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Настройка ZyWALL USG 100 из Офиса B

Для настройки интерфейсов зайдите в меню Configuration > Network > Interface на закладку Ethernet.

Для создания объектов, необходимых для настройки маршрутизации, зайдите в меню Configuration > Object > Address.

 

Кроме подсетей для клиентов L2TP over IPSec, также нужно создать объект типа INTERFACE IP для интерфейса wan1 и объект типа SUBNET, определяющий удаленную подсеть Офиса B. Это нужно для настройки туннеля L2TP over IPSec и для IPSec-туннеля между офисами.

Туннель L2TP over IPSec и IPSec-туннель между офисами должны быть настроены в меню Сonfiguration > VPN > IPSec VPN > VPN Gateway и Сonfiguration > VPN > IPSec VPN > VPN Connection.

  

  

Для настройки правил маршрутизации зайдите в меню Configuration > Network > Routing > Policy Route.

Настройки первого маршрута:

По данному маршруту трафик с IP-адресом назначения из подсети REM_l2tp_pool (192.168.100.0/24) направляется (Next Hope) в туннель VPN IPSec To_USG100, который настроен и работает между офисами. Таким образом, ZyWALL USG 100 офиса B будет знать, куда направлять пакеты, которые идут на адреса REM_l2tp_pool (192.168.100.0/24).

Настройки второго маршрута:

  

По этому маршруту трафик от любых IP-адресов источников на адреса Rem_VPN_sub (удаленная локальная сеть 192.168.38.0/24) будет направляться в VPN-туннель IPSec. Этот маршрут нужен, так как по правилам IPSec-туннеля туда по умолчанию идут пакеты по настройкам второй фазы (настраивается в VPN Connection) с IP-адресом источника из локального диапазона и с IP-адресом назначения из удаленного диапазона.

Затем нужно настроить Firewall. Для настройки правил межсетевого экрана зайдите в меню Configuration > Network > Firewall.
В нашей схеме основным условием прохождения пакетов через Firewall будет привязка обоих туннелей к одной зоне, в которой разрешен трафик между интерфейсами зоны (Block Intra-zone – no).
Также должны быть правила, разрешающие трафик из этой зоны в локальную сеть и из локальной сети в эту зону.

Подробно про настройку зон и правил Firewall можно прочитать в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

KB-2836

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0