Использование функции VPN Concentrator в аппаратных шлюзах серии ZyWALL USG

Как в аппаратных шлюзах серии ZyWALL USG можно воспользоваться функцией VPN Concentrator для настройки маршрутизации между локальными подсетями удаленных офисов, соединенными VPN-туннелем через центральный офис? Пример применения VPN-концентратора в ZyWALL USG.

В этой статье рассмотрим использование функции VPN Concentrator (VPN-концентратор) для настройки маршрутизации между локальными подсетями удаленных офисов, соединенных VPN-туннелем через центральный офис.

Рассмотрим следующую типовую топологию:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В HQ (Главный офис) установлен аппаратный шлюз ZyWALL USG 300, который подключен к Интернету с глобальным статическим IP-адресом. К нему подключаются два удаленных офиса BO1 и BO2, в которых используются аппаратные шлюзы ZyWALL USG 50. В данном примере рассмотрен вариант, когда оба эти офиса также подключены к Интернету с глобальными статическими IP-адресами. Задача – получить доступ из локальной сети офиса BO1 в локальную сеть офиса BO2 через центральный офис HQ.

Даная топология собиралась и проверялась локально на стенде со следующими параметрами:

ZyWALL USG 300 (HQ) ZyWALL USG 50 (BO1) ZyWALL USG 50 BO2
ge2 – интерфейс для выхода в Интернет и для подключения удаленных офисов через туннель VPN IPSec (IP-адрес: 172.25.27.50/24).
ge1 – интерфейс для подключения локальной сети (IP-адрес: 192.168.1.1/24).
wan1 – интерфейс для выхода в Интернет и для подключения к центральному офису через туннель VPN IPSec (IP-адрес: 172.25.27.40).
lan1 – интерфейс для подключения локальной сети (IP-адрес: 192.168.100.1/24).
wan1 – интерфейс для выхода в Интернет и для подключения к центральному офису через туннель VPN IPSec (IP-адрес: 172.25.27.18).
lan1 - интерфейс для подключения локальной сети (IP-адрес 192.168.200.1/24).


Настройка ZyWALL USG 300 (HQ)

1.Настройку интерфейсов производите в меню Configuration > Network > Interface на закладке Ethernet.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

2. Для настройки VPN Gateway зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Gateway.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Gateway для настройки туннеля к удаленному офису BO1:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Gateway для настройки туннеля к удаленному офису BO2:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. Для настройки VPN-туннеля зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Сonnection.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Connection для настройки VPN-туннеля к удаленному офису BO1:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Connection для настройки VPN-туннеля к удаленному офису BO2:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

4. Для настройки VPN-концентратора зайдите в меню Configuration > VPN > IPSec VPN на закладку Concentrator. Установите 2 VPN-подключения (в нашем примере это BO1 и BO2) членами VPN-концентратора.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Таким образом, трафик между VPN-туннелями, входящими в VPN-концентратор, будет маршрутизироваться автоматически на центральном устройстве.

Настройка ZyWALL USG 50 (BO1)

1. Настройку интерфейсов производите в меню Configuration > Network > Interface на закладке Ethernet.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

2. Для настройки VPN Gateway зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Gateway.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Gateway для настройки туннеля к офису HQ:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. Для настройки VPN-туннеля зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Сonnection.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Connection для настройки VPN-туннеля к удаленному офису HQ:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

4. Для того чтобы трафик из офиса BO1 маршрутизировался в подсеть офиса BO2 через туннель VPN IPSec, необходимо создать правило Policy Route, в котором будет явно указано, что трафик в подсеть офиса BO2 должен уходить в туннель VPN IPSec.

Для настройки правила Policy Route зайдите в меню Configuration > Network > Routing  на закладку Policy Route.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило Policy Route:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Настройка ZyWALL USG 50 (BO2)

1. Настройку интерфейсов производите в меню Configuration > Network > Interface на закладке Ethernet.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

2. Для настройки VPN Gateway зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Gateway.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Gateway для настройки туннеля к офису HQ:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. Для настройки VPN-туннеля зайдите в меню Configuration > VPN > IPSec VPN на закладку VPN Сonnection.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило VPN Connection для настройки VPN-туннеля к удаленному офису HQ:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

4. Для того чтобы трафик из офиса BO2 маршрутизировался в подсеть офиса BO1 через туннель VPN IPSec, необходимо создать правило Policy Route, в котором будет явно указано, что трафик в подсеть офиса BO1 должен уходить в туннель VPN IPSec.

Для настройки правила Policy Route зайдите в меню Configuration > Network > Routing  на закладку Policy Route.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Так выглядит правило Policy Route:

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Это решение может масштабироваться. Максимальное число VPN-концентраторов для ZyWALL USG 300 – 8, то есть можно держать 8 изолированных групп, в которые входят VPN IPSec-туннели и между которыми будет работать маршрутизация. Если туннели VPN IPSec в одном VPN-концентраторе собраны в одну зону (зоны настраиваются в меню Сonfiguration > Network > Zone), убедитесь, что в настройках этой зоны снята галочка Block Intra-zone Traffic, иначе трафик между ними будет блокироваться на уровне Firewall. Подробную информацию по настройке зон и правил Firewall можно посмотреть в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Примечание

VPN Concentrator может работать также с динамической первой фазой IPSec (когда используются динамические IP-адреса на WAN-интерфейсах). В концентратор можно объединить туннели по сценарию Site-to-Site with Dynamic Peer. Подробную информацию вы найдете в статье: БЗ-4300

KB-2786

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.