Настройка IPSec VPN туннеля ZyXEL ZyWALL USG
Настройка IPSec VPN туннеля ZyXEL ZyWALL USG
Доброго времени суток! Много уважаемые читатели и гости, одного из крупнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами разобрали, что делать если флешка защищена от записи и как снять эту защиту. Уверен, что у вас все получилось. Сегодня я хочу поговорить про настройку сетевого оборудования. У меня есть ZyXEL ZyWALL USG (в моем случае — USG 20). Требуется: Поднять IPSec VPN туннель между данной железкой и удаленным сервером. В моем частном случае ZyXEL выступал в роли маршрутизатора небольшого удаленного офиса, а в роли удаленного сервера — центральный шлюз.
Сетевые реквизиты, например, будут следующими:
- Белый IP ZyXEL: 22.33.44.55
- Белый IP-адрес удаленного шлюза: 11.22.33.44
- Подсеть офиса за ZyXEL: 10.0.40.0/24
- IP-адрес ZyXEL: 10.0.40.1
- Корпоративная подсеть: 10.0.0.0/8
- IP-адрес общего корп. шлюза: 10.0.0.1
- Авторизация на базе PSK (Pre-Shared Key)
Это все, конечно, исключительно пример. В данной раскладке мы имеем общую корпоративную подсеть 10/8 (10.0.0.0-10.255.255.255), частичкой которой будет выступать удаленный (относительно корпоративной подсети) офис за роутером ZyXEL.
Реализация IPSec VPN туннеля ZyXEL ZyWALL USG
- Роутер ZyXEL должен быть настроен и уже выпускать людей в интернет через NAT и все дела. Т.е. IP адреса должны быть настроены.
- Открываем веб-консоль управления ZyXEL и логинимся.
- Идем в Object->Address и создаем новый объект. Назовем его «CORP_NETWORK» и укажем следующие характеристики:
- Name: CORP_NETWORK
- Address Type: SUBNET
- Network: 10.0.0.0 (удаленная корпоративная подсеть)
- Netmask: 255.0.0.0 (маска корпоративной подсети)
4. Идем в VPN->IPSec VPN и переходим на вкладку VPN Gateway. Здесь создаем новый объект. В открывшемся окне сразу в верхней части нажимаем на «Show Advanced Settings» — нам понадобится вид всех опций. Заполняем следующие параметры:
- Enable: YES (ставим галочку)
- VPN Gateway Name: CORP_GATEWAY
- My Address: Interface = «wan1»
- Peer Gateway Address: Static Address = «11.22.33.44» (это белый IP-адрес корпоративного шлюза)
- Authentication: Pre-Shared Key = «mySuperKey» (это PSK ключ — он должен быть одинаковым на обоих концах)
- Phase 1, SA Life Time: 28800 (время в секундах — оно должно быть одинаковым на обоих сторонах. внимательно — здесь время задается только в секундах)
- Phase 1, Negotiation Mode: «Main»
- Phase 1, Proposal: DES + SHA1 (здесь указываются типы шифрования — тоже одинаковые с обоих сторон; к сожалению, AES128 или 3DES данные железки не поддерживают — соответствует K8 у Cisco)
- Key Group: DH2 (параметр, который еще называется DH Group — должен быть одинаковый с обоих сторон)
- NAT Traversal: NO (выключаем IPSec через NAT — нам он не нужен, ибо в интернет мы глядим напрямую — т.е. на порту WAN сразу виден шлюз провайдера ISP)
- Dead Peer Detection: YES
- Enable Extended Authentication: NO
5. Переключаемся на вкладку VPN Connection (здесь же — в VPN->IPSec VPN) и создаем новый объект. Назовем его «CORP_VPN_CONNECTION», снова нажмем на кнопочку «Show Advanced Settings» и зададим следующие параметры:
- Enable: YES
- Connection Name: CORP_VPN_CONNECTION
- Application Scenario: «Site-to-site»
- VPN Gateway: «CORP_GATEWAY»
- Local policy: «LAN1_SUBNET»
- Remote policy: «CORP_NET»
- Policy Enforcement: NO
- SA Life Time: «28800»
- Active Protocol: «ESP»
- Encapsulation: «Tunnel»
- Proposal: DES + SHA1
- Perfect Foward Secrecy (PFS): DH2
- Source NAT: NO (не включать ни для Outbound Traffic, ни для Inbound Traffic)
6. Теперь идем в «Network->Zone» и редактируем уже существующую зону «IPSec_VPN». Мы увидим, что в левой части «Member List» появилось наше подключение CORP_VPN_CONNECTION. Нажимаем на кнопочку «Вправо» так, чтобы это подключение переместилось в правую часть (из Available в Member). Также убедитесь, что установлен флажок напротив опции «Block intra-net traffic».
7. Помимо всего выше перечисленного — нам нужно разрешить трафик между внутренней сетью и общей корпоративной, через IPsec. Для этого идем в Firewall и создаем два объекта.
Объект 1:
- From: LAN1
- To: IPSec_VPN
- Access: allow
Объект 2:
- From: IPSec_VPN
- To: LAN1
- Access: allow
8. Проверяем. Не забываем, что с самих шлюзов, в общем случае, ничего не запингуется — нужно проверять с машинок, находящихся за шлюзами IPSec — т.е. либо с машинки за ZyXEL, либо с машинки, находящейся за центральным шлюзом. В случае с Linux-шлюзом есть возможность проверить вот таким образом:
где 10.0.40.1 — это внутренний IP-адрес ZyXEL, а 10.0.0.1 — это внутренний IP-адрес центрального Linux-шлюза (только если центральный шлюз построен на базе Linux).
Источник
Управление полосой пропускания (Bandwidth Management) в межсетевых экранах ZyWALL
1 Управление полосой пропускания (Bandwidth Management) в межсетевых экранах ZyWALL Версия 1.0 от 04 месяца 2006 г. Основным назначением межсетевых экранов ZyWALL корпорации ZyXEL является обеспечение безопасного подключения к Интернету. Для этого в них реализована возможность установления vpn-туннелей, firewall, защита от dos-атак (IDP), антивирус и другие функции. Однако комфортной работе способствуют и другие возможности ZyWALL. Представим такую ситуацию: вы используете Интернет одновременно для загрузки файлов, просмотра веб-страниц и, например, для интернет-телефонии. При этом выделенная провайдером скорость ограничена. При загрузке файла (если сервер позволяет делать это с большой скоростью) может создаться такая ситуация, что не будет корректно работать интернет-телефония из-за занятой загрузкой файла полосы, а загрузка веб-страниц будет происходить с неприемлемо малой скоростью. При этом вам не столь важно, загрузите ли вы файл за 10 минут или за 15, главное, чтобы этот процесс не останавливал всю другую работу в Интернете. Если на одном компьютере работу еще можно как-то организовать, то при подключении к Интернету даже небольшой сети самое время задаться вопросом как разделить доступную скорость соединения между определенными пользователями/приложениями? Именно таким распределением занимается функция Bandwidth Management (BWM) ZyXEL Communications Corp. стр. 1 из 6
2 Рассмотрим применение BWM подробнее на следующем примере: ZyWall + 2 компьютера Выделенная скорость Интернета 512 Кбит/с на download и столько же на upload. Первый компьютер ( ) используется для выхода в Интернет и IP-телефонии (необходимы гарантированные 32 кбит/с). При этом, даже если идет загрузка файла, нужно оставить хотя бы 32 кбит/с для работы браузера. Второй компьютер ( ) использует мультимедийные приложения, работающие по протоколу H.323 (требует 320 кбит/с), и необходим выход в Интернет (также 32 кбит/с). Прежде всего нужно включить алгоритмы, позволяющие приложениям, использующим протоколы SIP и H.323, работать через ZyWALL. Для этого в меню Advanced/ALG поставьте соответствующие флаги ZyXEL Communications Corp. стр. 2 из 6
3 Для разделения доступной скорости нужно выполнить следующую последовательность действий: задать суммарную доступную скорость Интернета; классифицировать пользователей и типы трафика, принадлежащие определенным приложениям; задать каждому приложению пользователей требуемую скорость, не превышая в сумме выделенную провайдером. 1. Для ввода в ZyWALL доступной скорости Интернета (подключенного, например, через интерфейс WAN-2) заходим в меню Advanced => BW MGMT => Summary и выставляем по 512 кбит/с как для WAN-1, так и для LAN-интерфейса (учитывая, что приложения обмениваются данными в обе стороны), не забыв поставить флаги active. Значение Priority-based в поле Sheduler будет означать, что при заимствовании трафика родительского класса (функция будет описана далее) он будет делиться в соответствии с назначенными классам приоритетами, при установке Fairness-based поровну. 2. Для дальнейшего распределения этой полосы переходим в раздел Class Setup. В качестве Interface выбираем соответственно LAN. Высветится заданная в предыдущем меню доступная суммарная скорость в 512 Кбит/с. Выбираем радиокнопку Root Class, а затем заходим в меню Add Sub-Class для создания подклассов к каждому компьютеру и приложению ZyXEL Communications Corp. стр. 3 из 6
4 3. Назначаем полосу для первого компьютера (128 Кбит/с), затем возвращаемся в основное меню и повторяем ту же процедуру для второго компьютера (384 Кбит/с). Теперь разделяем полосу для приложений на каждом компьютере аналогично тому, как разделяли общую полосу. Для этого добавляем фильтры по адресу/порту/протоколу. 4. Для IP-телефонии выбираем соответствующий тип сервиса. 5. Интернет-браузеры используют порт 80 для своей работы, чем мы и воспользуемся для выделения трафика, им принадлежащего ZyXEL Communications Corp. стр. 4 из 6
5 6. После выделения таким образом полосы для телефонии и Интернета первому компьютеру, а также для мультимедиаприложений второму у нас остается еще часть полосы для прочих задач, таких, как загрузка файлов и др. Учтем то, что если для IP-телефонии необходимая скорость является в то же время и достаточной, то для работы веб-браузеров и загрузки файлов желательно максимизировать доступную скорость. Для этого поставим флаги Borrow bandwidth from parent class. Тогда при неиспользовании, например, SIP выделенная для него полоса добавится для загрузки файлов и работы браузера. При проставлении приоритетов руководствуемся тем, что комфортная работа в Интернете для нас более важна, чем быстрая загрузка файлов. Таким образом, ставим приоритет 5 для http и 3 для прочего трафика. Аналогичным образом добавляем подкласс для второго компьютера и делим его на H.323, http и трафик для других задач. 7. Рассмотрим теперь появившийся в результате наших действий filter list. Следует учитывать, что при проверке принадлежности трафика тому или иному классу фильтры рассматриваются устройством сверху вниз, и если пакет подпадает под классификацию одного из фильтров, то нижестоящие фильтры для него уже не рассматриваются. Из этого следует, что сверху должны располагаться фильтры с более жесткими условиями, а снизу с более общими. Так, например, фильтр other, в котором указан лишь адрес назначения, должен располагаться ниже фильтра http, в котором указан еще и номер порта ZyXEL Communications Corp. стр. 5 из 6
6 8. Для исходящего трафика имеет смысл произвести несколько иное деление на подклассы: т.к. большинство приложений используют в основном входящий трафик, то не имеет смысла выделять, например, трафик веббраузеров. В то же время трафик IP-телефонии практически симметричен, поэтому этот класс стоит выделить и для исходящего трафика. Работа BWM на практике выглядит примерно так: Здесь красный график разговор через IP-телефонию в течение 25 сек, для чего ZyWALL выделил 32 кбит/с, зеленый работа в Интернете, серый загрузка файла. Как ранее было отмечено, для работы в Интернете мы выделили больший приоритет, поэтому после освобождения части пропускной способности от IP-телефонии она в первую очередь добавилась для работы браузера и лишь затем для загрузки файлов ZyXEL Communications Corp. стр. 6 из 6
Источник
Настройка Wi-Fi авторизации по звонку или SMS (hotspot captive portal) на Zyxel ZyWall 110/310/1100
Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Процесс настройки состоит из получения конфигурации в личном кабинете Global Hotspot и настройки оборудования в соответствии с полученной конфигурацией.
Данная инструкция подходит для моделей Zyxel ZyWALL 110 / 310 / 1100. В зависимости от прошивки в интерфейсе может что-то отличаться, но в целом последовательность действий одинакова.
Шаг 1: Создание темы, профиля, места и конфигурации
настройка личного кабинета Global Hotspot
Создаем тему на базе шаблона
Создаем тему на базе шаблона и даем ей название
В созданном профиле выбираем тему, которую создали ранее
Создаем место и выбираем созданный ранее профиль
Шаг 2: Создание конфигурации для выбранного места
переходите в раздел «Заведения» подраздел «Места», затем выбираете место, для которого вы хотите настроить портал авторизации, и в верхнем правом углу нажимаете кнопку «Создать конфигурацию»
В открывшемся окне выбираете тип оборудования Juniper и нажимаете кнопку «Далее».
На последнем этапе следуйте подсказкам мастера конфигурации.
Шаг 3: Настройка CaptivePortal на оборудовании Zyxel ZyWall 110
В данной инструкции использовалась модель Zyxel Zywall 110 с версией прошивки V4.33(AAAA.0)
Подготовка к настройке
Перед настройкой Hotspot на ZyWall необходимо настроить сам контроллер, точки доступа, создать гостевую WiFi сеть и протестировать её работу без пароля и авторизации. Контроллер должен иметь выход в интернет.
Для настройки Hotspot необходимо создать следующие сущности:
- External Captive Portal
- Object Host & FQDN
- RADIUS
- Policy
Настройка политик портала
Переходим в раздел Веб-аутентификация/Основные настройки, включаем Активировать веб-аутентификацию
В разделе Аутентификация нажимаем кнопку Добавить и создаем новую конфигурацию.
Тип веб-аутентификации Веб-портал и добавляем ссылки из конфига в личном кабинете, в разделы URL авторизация (External Webauth URL) и URL приветствия (Redirect URL after login).
Создание объектов (групп) IPv4
Переходим в раздел Объект/Адрес/Geo IP/Ip-адрес
Настройка RADIUS
Из раздела Объект переходим в Сервер аутентификации/RADIUS. Добавляем RADIUS сервер.
Добавляем новый метод, с именем global-hotspot и нашим radius сервером.
Настройка политики для веб-аутентификации (перехват трафика/исключения)
Добавляем политики аутентификации:
В качестве входящего интерфейса выбираем интерфейс с гостевым трафиком, и IP-адрес источника. Указываем в Аутентификация параметр Required и ставим Обязательная аутентификация пользователей и выбираем созданный ранее профиль Global-Hotspot. В этом случае весь трафик приходящий на данный интерфейс будет принудительно отправлен на портал с авторизацией.
В графе IP-адрес назначения указываем ранее добавленный адрес raduis сервера, в Аутентификация выбираем Unnecessary, тем самым все что будет приходить на входящий интерфейс с ip адресом назначения 5.101.126.175 будет проходить без профиля с аутентификации.
После успешной авторизации, устройство появится в разделе Мониторинг/Пользователи.
На этом настройка Hotspot на контроллере ZyWall окончена. Подключитесь к гостевой сети и проверьте результат. Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).
Источник