Пример настройки VPN с помощью ZyWALL VPN Client (с динамическим IP-адресом)

Как настроить VPN-соединение с помощью ZyWALL VPN Client (с динамическим IP-адресом) с одной стороны и ZyWALL с другой?


ZyWALL VPN Client - это программный VPN-клиент для Windows. Использование VPN Client позволяет гарантированно устанавливать защищенные IPSec-туннели не только с межсетевыми экранами ZyWALL, но и с любым другим оборудованием и программными серверами, сертифицированными ICSA Labs.  

ZyWALL VPN Client предоставляет высочайший уровень защиты передаваемых данных и надежные средства контроля и мониторинга соединений IPSec VPN. 

При использовании данного ПО настройки VPN-туннеля с ZyWALL во много раз проще по сравнению со встроенными средствами Windows. Рассмотрим пример установки VPN-туннеля между компьютером с установленным на нем VPN Client и аппаратным шлюзом ZyWALL.  

Запустите ZyWALL VPN Client и выберите Root для создания настроек туннеля VPN с ZyWALL.

Сначала создайте Новую Фазу 1 и затем выполните настройки в разделе Фаза 1 (Аутентификация). В поле Интерфейс выберите значение Любой, а в поле Удаленный шлюз укажите IP-адрес удаленного устройства с которым будет установлен туннель VPN. В поле ключ PSK укажите предварительно согласованный ключ и в поле Подтвердите еще раз введите ключ. 
Для настроек Фазы 1 в разделе IKE укажите алгоритм кодирования, метод аутентификации и ключ группы. При необходимости, для настроек дополнительных параметров Фазы 1 нажмите кнопку Ф1 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.

Добавьте Фазу 2 и затем выполните настройки в разделе Фаза 2 (Конфигурация IPSec). В поле Адрес VPN клиента нужно указать IP-адрес, который будет являться удаленным VPN-шлюзом для удаленной стороны туннеля VPN (т.к. этот IP-адрес назначается динамически провайдером, то в настройках Фазы 2 в поле Адрес VPN клиента укажите 0.0.0.0). В поле Тип адреса выберите Адрес подсети (IP Subnet). В нашем примере Удаленный адрес LAN: 192.168.1.0 и Маска подсети: 255.255.255.0.
В разделе ESP укажите алгоритм кодирования, метод аутентификации и режим работы. При необходимости, для настроек дополнительных параметров Фазы 2 нажмите кнопку Ф2 Дополнительно...
Обязательно нажмите кнопку Сохранить & Применить для сохранения настроек.

Нажмите кнопку Открыть Туннель для построения туннеля IPSec VPN.

Значения параметров в настройках Фаза 1 (Phase 1) и Фаза 2 (Phase 2) должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.


 

Теперь рассмотрим настройки аппаратного шлюза ZyWALL. В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL'а (в нашем примере IP Address 192.168.1.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.

В разделе WAN указываем IP-адреса на WAN-порту ZyWALL’а. В нашем примере используется статический IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.0.0.1
My WAN IP Subnet Mask (Маска подсети): 255.255.255.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.2

Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.

В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создадим политику шлюза для создаваемого VPN-туннеля. 

В поле Name впишите название политики (например, "Secure_VPN"). В поле My Address укажите IP-адрес WAN-порта ZyWALL'а (в нашем примере 10.0.0.1) и в поле Primary Remote Gateway установите 0.0.0.0 в качестве IP-адреса удаленного шлюза, т.к. IP-адрес на удаленной стороне назначается динамически.

В поле Pre-Shared Key зададим предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal нужно установить Negotiation Mode (Режим согласования) - Main, Encryption Algorithm (Алгоритм защиты данных) - 3DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Key Group (Ключевая группа) - DH1.

Значения параметров в разделе IKE Proposal должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.

Нажмите Apply для сохранения введенных настроек.

После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создадим правило для установки защищенного VPN-туннеля между ZyWALL и программным клиентом VPN Client.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "VPN_ rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере Secure_VPN). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Single Address и в поле Starting IP Address - 0.0.0.0

В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, Encryption Algorithm (Алгоритм защиты данных) - 3DES, Authentication Algorithm (Алгоритм аутентификации) - SHA1, SA Life Time (Время жизни SA) - 28800 и Perfect Forward Secrecy (Непосредственный контроль секретности) - NONE. Эти значения должны совпадать с аналогичными настройками в VPN Client.

Нажмите Apply для сохранения настроек.

Мы создали VPN-правило для построения защищенного туннеля между программным клиентом VPN Client и аппаратным шлюзом ZyWALL.

Проверить, установлен ли VPN-туннель, можно в разделе VPN на закладке SA Monitor

Убедиться, что VPN-туннель был установлен, можно также из меню LOGS в разделе View Log. По логам, приведенным ниже, видно, что VPN-соединение было установлено успешно.

В настройках программы ZyWALL VPN Client можно обратиться к меню Консоль для отображения процедуры аутентификации и диагностики VPN-соединения или к меню Соединения для получения статуса VPN-соединения.

С компьютера, на котором установлен программный VPN-клиент, выполним пинг хоста удаленной сети (192.168.1.0 ) через VPN-туннель. В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 10.0.0.2 (полученный динамически от провайдера) на LAN IP-адрес ZyWALL'а - 192.168.1.1. 

 

KB-1446

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.