Как предоставить доступ в Интернет через VPN-туннель IPSec?

Предположим, имеются два офиса, в первом из них установлен аппаратный шлюз ZyWALL USG 50, во втором ZyWALL USG 100. Между офисами настроен туннель VPN IPSec.

Процедура настройки VPN-туннеля IPSec между двумя шлюзами безопасности серии ZyWALL USG приведена в статье: «Пример создания простого VPN-туннеля IPSec между двумя аппаратными шлюзами серии ZyWALL USG»

Необходимо настроить аппаратные шлюзы так, чтобы пользователи локальной сети офиса за ZyWALL USG 50 получали доступ в Интернет через VPN-туннель IPSec, установленный с удаленным шлюзом ZyWALL USG 100.

Для решения данной задачи можно использовать механизм Policy Route. Подробное описание настроек политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG можно найти в статье: «Настройка политик маршрутизации Policy Route в аппаратных шлюзах серии ZyWALL USG и NXC5200»

1. В веб-интерфейсе ZyWALL USG 50 в разделе Configuration > Network > Routing перейдите на закладку Policy Route и нажмите кнопку Add для создания нового правила маршрутизации.
Заполните следующие поля:

Incoming: Interface lan1

Source Address: LAN1_SUBNET
Destination Address: any
Next-Hop: VPN Tunnel - туннель до ZyWALL USG 100
SNAT: none

2. Чтобы DNS-запросы с хостов из подсети ZyWALL USG 50 уходили сразу в VPN-туннель, в настройках интерфейса Configuration > Network > Interface > Ethernet > lan1 укажите в качестве DNS-сервера локальный IP-адрес шлюза ZyWALL USG 100.

3. Далее выполните настройку ZyWALL USG 100. 
В веб-интерфейсе ZyWALL USG 100 в разделе Configuration > Network > Routing перейдите на закладку Policy Route и нажмите кнопку Add для создания нового правила маршрутизации. 
Заполните следующие поля:
 
Incoming: Tunnel – туннель до ZyWALL USG 50
Source Address: remote_VPN_subnet
Destination Address: локальная подсеть за ZyWALL USG 100
Next-Hop: Interface lan1
SNAT: none
Данное правило позволит ходить пакетам между локальными сетями USG 50 и USG 100 в VPN-туннеле без NAT.
 
 
4. Далее добавьте правило для всех остальных пакетов, пришедших из VPN-туннеля.
Incoming: Tunnel – туннель до ZyWALL USG 50
Source Address: any
Destination Address: any
Next-Hop: Auto
SNAT: outgoing-interface

5. Для обратного хода сетевых пакетов на ZyWALL USG 100 добавьте еще одно правило маршрутизации:

Incoming: any
Source Address: any
Destination Address: удаленная подсеть за ZyWALL USG 50
Next-Hop: Tunnel – туннель до ZyWALL USG 50
SNAT: none

Поскольку в нашем примере Интернет к ZyWALL USG 100 подведен только на интерфейсе wan2, Trunk состоит только из одного интерфейса.

Дополнительную информацию о настройках Trunk'а можно прочитать в статье: «Настройка балансировки внешних интерфейсов в аппаратном шлюзе серии ZyWALL USG»

 

На этом настройка завершена. Проверьте командой ping доступность хостов в Интернете из подсети ZyWALL USG 50.

 

 

KB-3449

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.