Пример настройки VPN-соединения между аппаратным шлюзом ZyWALL 5 и SHDSL-маршрутизатором P-792H

Рассмотрим пример установки VPN-туннеля между аппаратным шлюзом ZyWALL 5 и SHDSL-модемом P-792H.

Рассмотрим пример установки VPN-туннеля между аппаратным шлюзом ZyWALL 5 и SHDSL-модемом P-792H.


1. Рассмотрим настройки аппаратного шлюза ZyWALL 5.

В меню NETWORK в разделе LAN указываем IP-адрес ZyWALL’а (в нашем примере LAN IP Address 192.168.1.1) и включаем DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.


Затем в меню WAN указываем IP-адрес на WAN-порту ZyWALL’а. В нашем примере используется статический WAN IP-адрес (Fixed IP Address):

My WAN IP Address (IP-адрес WAN-порта): 10.0.0.1
My WAN IP Subnet Mask (Маска подсети): 255.0.0.0
Gateway IP Address (IP-адрес шлюза): 10.0.0.2 (это WAN IP удаленного VPN-шлюза; в нашем примере удаленным VPN-шлюзом является маршрутизатор P-792H)

Включите трансляцию IP-адресов (Network Address Traslation) на ZyWALL.


В меню SECURITY в разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT нужно создать политику шлюза для создаваемого VPN-туннеля.

В поле Name впишите название политики (например, "VPN_Tunnel"). В поле My Address укажите IP-адрес WAN-порта ZyWALL’а (в нашем примере 10.0.0.1) и в поле Primary Remote Gateway укажите IP-адрес удаленного шлюза, с которым будет установлен VPN-туннель (в нашем примере IP 10.0.0.2).

В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обоих сторонах туннеля. В разделе IKE Proposal значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.
Нажмите Apply для сохранения настроек.


 

После создания политики шлюза (Gateway Policy) нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT нужно создать правило для установки защищенного VPN-туннеля между ZyWALL’ом и удаленным VPN-шлюзом.

Включите правило (установите галочку напротив Active) и введите название VPN-правила (например, "Rule"). В поле Gateway Policy укажите созданную ранее политику шлюза (в нашем примере VPN_Tunnel). В разделе Local Network в поле Address Type укажите Subnet Address, в поле Starting IP Address - 192.168.1.0, Subnet Mask - 255.255.255.0. В разделе Remote Network в поле Address Type установите Subnet Address, в поле Starting IP Address - 192.168.2.0, Subnet Mask - 255.255.255.0.

В разделе IPSec Proposal нужно установить Encapsulation Mode (Инкапсуляция) - Tunnel, Active Protocol (Протокол) - ESP, а также указать используемые алгоритмы для защиты данных. Эти значения должны совпадать с аналогичными настройками на удаленном ZyWALL.
Нажмите Apply для сохранения настроек.


 

Мы создали VPN-правило на аппаратном шлюзе ZyWALL 5 для построения защищенного туннеля между этим ZyWALL’ом и маршрутизатором P-792H.


 

2. Рассмотрим настройки маршрутизатора P-792H.

В меню LAN - LAN Setup укажите IP-адрес P-792H (в нашем примере LAN IP Address 192.168.2.1) и включите DHCP-сервер, который будет назначать IP-адреса клиентам локальной сети.  


 

Затем в меню WAN - WAN Setup укажите IP-адрес на WAN-порту P-792H. В нашем примере используется статический WAN IP-адрес (Static IP Address):

IP Address (IP-адрес WAN-порта): 10.0.0.2
My WAN IP Subnet Mask (Маска подсети): 255.0.0.0
ENET ENCAP Gateway (IP-адрес шлюза): 10.0.0.1 (это WAN IP удаленного ZyWALL'а)


 

На P-793H должна быть включена трансляция IP-адресов (SUA/NAT).


Для настройки VPN-туннеля зайдите в меню VPN - Setup. В окне VPN Summary выберите правило для редактирования. В настройках VPN - IKE установите галочки Active и Keep Alive
В поле Name введите название для этого правила. Установите IPSec Key Mode - IKENegotiation Mode - Main и Encapsulation Mode - Tunnel (аналогичные настройки должны быть установлены и в ZyWALL).
В разделе Local в поле Local Address Type укажите Subnet, в поле IP Address Start - 192.168.2.0, End / Subnet Mask - 255.255.255.0. В разделе Remote в поле Remote Address Type установите Subnet, в поле IP Address Start - 192.168.1.0, End / Subnet Mask - 255.255.255.0.
В разделе Address Information в поле My IP Address введите WAN IP-адрес P-792H - 10.0.0.2, а в поле Secure Gateway Address укажите WAN IP-адрес удаленного VPN-шлюза - 10.0.0.1.
В разделе Security Protocol в поле VPN Protocol укажите ESP (AH не может применяться при использовании NAT). Введите ключ в строке Preshared Key. Он должен совпадать с ключом, который вы указали в ZyWALL. Установите алгоритмы безопасности VPN-туннеля. Данные настройки должны совпадать с аналогичными настройками на ZyWALL. В противном случае, VPN-туннель не будет установлен. 


Нажмите Apply для сохранения настроек.


Для настройки дополнительных параметров фазы 1 (Phase1) и фазы 2 (Phase2) VPN-соединения нажмите кнопку Advanced в настройках VPN - IKE.


 

В настройках VPN - IKE - Advanced Setup значения установленных параметров должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-соединение не установится.

Нажмите Apply для сохранения настроек.


Мы создали VPN-правило на маршрутизаторе P-792H для построения защищенного туннеля между P-792H и аппаратным шлюзом ZyWALL.


 

3. Проверка VPN-соединения.

Проверить, был ли установлен VPN-туннель, можно в меню VPN - SA Monitor в ZyWALL:


 

Меню VPN - SA Monitor в P-792H:


 


С одного из компьютера сети 192.168.1.0 (например, со стороны ZyWALL 5), выполним пинг хоста удаленной сети (192.168.2.0) через VPN-туннель. В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 192.168.1.33 на LAN IP P-792H - 192.168.2.1 и на компьютер удаленной сети с IP-адресом - 192.168.2.33.


Выполните также пинг хоста удаленной сети (192.168.1.0) через VPN-туннель с одного из компьютеров сети 192.168.2.0 (со стороны P-792H). В нашем примере, мы выполнили пинг с компьютера имеющего IP-адрес - 192.168.2.33 на LAN IP ZyWALL'а - 192.168.1.1 и на компьютер удаленной сети с IP-адресом - 192.168.1.33.


 

Также по логам соединения можно посмотреть был ли установлен VPN-туннель между устройствами. В ZyWALL зайдите в меню LOGS - View Log и в поле Display укажите IKE.  


Для просмотра логов в P-792H зайдите в меню Logs - View Logs.




Примечание: Обратите внимание на то, чтобы при ручной настройке TCP/IP-соединения для компьютеров локальной сети обязательно в качестве основного шлюза был указан IP-адрес ZyWALL.

 

KB-1774

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.