Организация туннеля IPSec VPN между интернет-центром Keenetic Giga III/Ultra II и шлюзом безопасности серии ZyWALL/USG

Как настроить туннель IPSec VPN между интернет-центром Keenetic Giga III/Ultra II и аппаратным шлюзом серии ZyWALL/USG для безопасного подключения к офисной сети?


В интернет-центрах (роутерах) Keenetic Giga III, Ultra II, Lite III, 4G III, Start II, Air, Extra II, Giga II, Ultra и Keenetic II реализована возможность использовать встроенный клиент/сервер IPSec VPN. Благодаря наличию этой функции существует возможность, в соответствии с самыми строгими требованиями к безопасности, создавать защищённые соединения по VPN-туннелю. Это может быть удобно для безопасного подключения из домашней сети к корпоративному серверу, который находится в офисной сети.
 
Далее подробно рассмотрим пример подключения из домашней локальной сети к офисной корпоративной сети через туннель IPSec VPN, установленный между интернет-центром Keenetic Giga III и шлюзом безопасности Zyxel серии ZyWALL/USG.
 
Установить туннель IPSec VPN можно как в пределах локальной сети (когда на внешних интерфейсах WAN роутера и шлюза безопасности используются частные/внутренние IP-адреса, их называют еще "серые"), так и через глобальную сеть Интернет (когда на внешних интерфейсах WAN роутера и шлюза безопасности используются публичные/внешние IP-адреса, их называют также "белые"). Рекомендуется использовать статический/постоянный IP-адрес на WAN-интерфейсах, либо использовать сервис динамических доменных имен DyDNS.
Настройка сервиса динамического DNS в интернет-центрах серии Keenetic представлена в статье «Настройка и использование сервиса динамического DNS от No-IP».
 
В нашем примере организация туннеля IPSec VPN будет осуществляться в рамках замкнутой локальной сети, т.е. на внешних интерфейсах WAN устройств будут использоваться частные/внутренние IP-адреса.
Важно! Для построения туннеля IPSec VPN через глобальную сеть Интернет, на внешних интерфейсах устройств, которые будут участвовать в построении VPN-туннеля, нужно использовать публичный/внешний IP-адрес.
Адреса локальной и удаленной сети должны быть из разных подсетей. Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов. Например, в нашем случае домашняя сеть имеет адресное пространство – 192.168.8.0/24, а в офисной сети используется адресное пространство – 192.168.1.0/24.
 
Мы рассмотрим сценарий, в котором шлюз безопасности ZyWALL будет выступать в роли сервера IPSec VPN, а интернет-центр Keenetic Giga III в роли клиента.
В нашем случае ZyWALL работает в сети 192.168.1.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.1.2 и выше) и имеет IP-адрес для управления 192.168.1.1. На внешнем интерфейсе WAN этого шлюза установлен вручную статический IP-адрес из другой подсети 10.10.1.1 (в вашем случае это может быть внешний/публичный IP-адрес).
Роутер Keenetic Giga III работает в домашней сети 192.168.8.0 (клиенты этой сети получают IP-адреса в диапазоне от 192.168.8.2 и выше) и имеет IP-адрес для управления 192.168.8.1. На внешнем интерфейсе WAN этого роутера установлен вручную статический IP-адрес из подсети 10.10.1.2 (в вашем случае это может быть внешний/публичный IP-адрес).
Необходимо организовать безопасный туннель IPSec VPN между роутером и шлюзом ZyWALL для подключения к офисной сети. Туннель будет устанавливаться между IP-адресами на внешних интерфейсах двух устройств.
 
1. Настройка шлюза безопасности Zyxel серии ZyWALL/USG.
 
В нашем примере используется ZyWALL USG 50. Настройку будем производить через встроенный графический веб-интерфейс.
Для создания VPN-туннеля зайдите в меню Configuration > VPN > IPSec VPN > VPN Gateway и нажмите кнопку Add для создания нового правила.
 
В появившемся окне Add VPN Gateway нажмите Show Advanced Settings для отображения всех дополнительных параметров.
В поле My Address > Interface укажите интерфейс устройства, через который осуществляется выход в Интернет (в нашем случае это wan1), а в поле Peer Gateway Address > Static Address укажите внешний WAN IP-адрес роутера, с которым ZyWALL будет устанавливать VPN-туннель (в нашем примере указан IP-адрес 10.10.1.2). В поле Pre-Shared Key укажите предварительно согласованный ключ, который должен совпадать на обеих сторонах туннеля. В полях Local ID Type и Peer ID Type вы можете использовать любой из идентификаторов. В нашем примере на обоих сторонах туннеля будет использоваться идентификатор IP со значением 0.0.0.0. Остальные параметры остаются по умолчанию.
 
После создания настроек в разделе VPN Gateway зайдите в меню Configuration > VPN > IPSec VPN > VPN Connection для дальнейшей настройки VPN-подключения.
Нажмите кнопку Add для создания нового правила. В появившемся окне Add VPN Connection нажмите кнопку Create new Object для создания объекта, указывающего адресное пространство удаленной сети. В нашем случае был создан объект c именем Keenetic и с параметрами Address Type = Subnet, Network = 192.168.8.0, Netmask = 255.255.255.0.
 
После создания адресного объекта в окне Add VPN Connection нажмите Show Advanced Settings для отображения дополнительных параметров.
В разделе Application Scenario выберите значение Site-to-site и в поле VPN Gateway выберите предустановленное правило, которое вы настроили ранее на вкладке VPN Gateway.
В разделе Policy в поле Local policy укажите локальную подсеть (в нашем примере 192.168.1.0/24), а в поле Remote policy укажите удаленную подсеть (в нашем примере это адресный объект c именем Keenetic и с параметрами Subnet 192.168.8.0/24). Остальные параметры остаются по умолчанию.
 
В нашем примере используются следующие настройки Phase 1 (Фаза 1) – Main, DES, MD5, DH1 и настройки Phase 2 (Фаза 2) – Tunnel, DES, SHA1.
Внимание! Значения параметров в разделе Phase 1 Settings и Phase 2 Settings обязательно должны совпадать с аналогичными настройками на другой стороне VPN-туннеля, в противном случае VPN-подключение не установится.
 
2. Настройка интернет-центра Keenetic Giga III, который будет осуществлять подключение к шлюзу ZyWALL по туннелю IPSec VPN.
 
Сначала необходимо проверить, что в роутере установлен специальный компонент микропрограммы IPsec VPN (клиент/сервер IPSec VPN для создания защищённых IP-соединений). Проверить наличие компонента можно через встроенный веб-конфигуратор устройства в меню Система > Обновление. Компонент IPsec сервер находится в разделе Applications (приложения). Убедитесь, что около данного компонента установлена галочка. Если галочка отсутствует, установите её и нажмите кнопку Обновить, которая находится в нижней части окна. Запустится процесс обновления компонентов микропрограммы в устройстве. Дополнительную информацию по обновлению компонентов, вы можете найти в статье «Обновление устройства и установка актуальных версий программных компонентов через веб-конфигуратор».
 
Теперь перейдите в меню Безопасность > IPsec VPN и нажмите кнопку Добавить для создания IPsec-подключения.
Откроется окно Настройка IPsec подключения. В нашем примере Keenetic Giga III выполняет роль клиента, поэтому поставим галочку в поле Автоподключение (в этом случае инициатором подключения выступает клиентский роутер). 
Опция Nail up поддерживает соединение в активном состоянии и восстанавливает его при разрыве (данный параметр достаточно включить на одном из концов туннеля) и опция Обнаружение неработающего пира DPD (Dead Peer Detection) предназначена для определения работоспособности туннеля.
В поле Удаленный шлюз укажите IP-адрес удаленного шлюза ZyWALL, который используется на внешнем интерфейсе WAN (в нашем примере это статический IP-адрес 10.10.1.1, но в вашем случае это может быть внешний/публичный IP-адрес).
 
В настройках Фазы 1 в полях Идентификатор этого шлюза и Идентификатор удаленного шлюза нужно указать тот идентификатор, который вы использовали на удаленном ZyWALL (в нашем примере, на ZyWALL используется идентификатор адрес IP со значением 0.0.0.0). Главное, чтобы идентификаторы и их значения совпадали на обоих сторонах туннеля. В нашем примере используется версия протокола IKE v1.
В настройках Фазы 2 в поле IP-адрес локальной сети нужно указать адрес и маску локальной сети роутера (в нашем примере 192.168.8.0), а в поле IP-адрес удаленной сети указать адрес и маску удаленной сети, которая будет находиться за установленным туннелем (в нашем примере 192.168.1.0).
Важно! Адреса локальной и удаленной сети должны быть из разных подсетей. Нельзя использовать одно адресное пространство в локальной и удаленной сети, т.к. это может привести к конфликту IP-адресов.
В нашем примере используются следующие настройки Фаза 1 – Main, DES, MD5, DH1 и настройки Фаза 2 – Tunnel, DES, SHA1.
На обоих устройствах аналогичные настройки Фазы 1 и Фазы 2 обязательно должны совпадать!
Сделав настройки IPSec-подключения нажмите кнопку Применить.
После создания подключения нужно обязательно в меню Безопасность > IPsec VPN установить галочку в поле Включить и нажать кнопку Применить.
 
3. Мониторинг состояния туннеля IPSec VPN.
 
Итак, настройки IPSec-подключения были выполнены на обоих устройствах. Если они указаны верно, то туннель IPSec VPN должен установиться между устройствами.
Для мониторинга состояния туннеля на Keenetic Giga III перейдите в меню Системный монитор на закладку IPsec VPN.
В нашем примере VPN-туннель IPSec успешно установился. Вот пример статуса туннеля на роутере Keenetic Giga III:
 
Статус текущего соединения IPSec в шлюзе безопасности ZyWALL можно посмотреть в меню Monitor > VPN Monitor > IPSec.
 
Для проверки работоспособности туннеля можно с компьютера локальной домашней сети Keenetic Giga III выполнить пинг какого-нибудь компьютера или сервера корпоративной сети, который находится за туннелем IPSec в сети удаленного шлюза ZyWALL.
 
Примечание
 
Предположим, что аппаратный шлюз ZyWALL USG и интернет-центр Keenetic Ultra II/Giga III объединены IPSec-туннелем (доступ между подсетями настроен).
Вопрос: Возможно ли выполнить такую настройку, чтобы после установки IPSec-туннеля локальная сеть за Keenetic получила бы выход в Интернет по IPSec-туннелю VPN, т.е. через интернет-провайдера удаленного шлюза ZyWALL USG?
Ответ: Организовать такую схему подключения с помощью интернет-центра Keenetic нельзя (это домашний роутер и модуль IPSec предназначен для объединения локальных подсетей, в нем реализованы более простые функции туннеля, чем в профессиональных шлюзах). При использовании двух аппаратных шлюзов ZyWALL/USG это возможно: «Как предоставить доступ в Интернет через VPN-туннель IPSec?»
 
Если на устройстве есть возможность использовать версию протокола IKE v2, используйте её. Если устройство не поддерживает IKE v2, используйте версию IKE v1.
Если наблюдаются разрывы VPN-подключения, попробуйте на Keenetic отключить опции Nail up и Обнаружение неработающего пира (DPD).

 

KB-4858

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 1 из 1
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.