Меню

Zywall 110 настройка wan



Настройка IPSec VPN туннеля ZyXEL ZyWALL USG

Настройка IPSec VPN туннеля ZyXEL ZyWALL USG

Доброго времени суток! Много уважаемые читатели и гости, одного из крупнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами разобрали, что делать если флешка защищена от записи и как снять эту защиту. Уверен, что у вас все получилось. Сегодня я хочу поговорить про настройку сетевого оборудования. У меня есть ZyXEL ZyWALL USG (в моем случае — USG 20). Требуется: Поднять IPSec VPN туннель между данной железкой и удаленным сервером. В моем частном случае ZyXEL выступал в роли маршрутизатора небольшого удаленного офиса, а в роли удаленного сервера — центральный шлюз.

Сетевые реквизиты, например, будут следующими:

  • Белый IP ZyXEL: 22.33.44.55
  • Белый IP-адрес удаленного шлюза: 11.22.33.44
  • Подсеть офиса за ZyXEL: 10.0.40.0/24
  • IP-адрес ZyXEL: 10.0.40.1
  • Корпоративная подсеть: 10.0.0.0/8
  • IP-адрес общего корп. шлюза: 10.0.0.1
  • Авторизация на базе PSK (Pre-Shared Key)

Это все, конечно, исключительно пример. В данной раскладке мы имеем общую корпоративную подсеть 10/8 (10.0.0.0-10.255.255.255), частичкой которой будет выступать удаленный (относительно корпоративной подсети) офис за роутером ZyXEL.

Реализация IPSec VPN туннеля ZyXEL ZyWALL USG

  1. Роутер ZyXEL должен быть настроен и уже выпускать людей в интернет через NAT и все дела. Т.е. IP адреса должны быть настроены.
  2. Открываем веб-консоль управления ZyXEL и логинимся.
  3. Идем в Object->Address и создаем новый объект. Назовем его «CORP_NETWORK» и укажем следующие характеристики:
  • Name: CORP_NETWORK
  • Address Type: SUBNET
  • Network: 10.0.0.0 (удаленная корпоративная подсеть)
  • Netmask: 255.0.0.0 (маска корпоративной подсети)

4. Идем в VPN->IPSec VPN и переходим на вкладку VPN Gateway. Здесь создаем новый объект. В открывшемся окне сразу в верхней части нажимаем на «Show Advanced Settings» — нам понадобится вид всех опций. Заполняем следующие параметры:

  • Enable: YES (ставим галочку)
  • VPN Gateway Name: CORP_GATEWAY
  • My Address: Interface = «wan1»
  • Peer Gateway Address: Static Address = «11.22.33.44» (это белый IP-адрес корпоративного шлюза)
  • Authentication: Pre-Shared Key = «mySuperKey» (это PSK ключ — он должен быть одинаковым на обоих концах)

  • Phase 1, SA Life Time: 28800 (время в секундах — оно должно быть одинаковым на обоих сторонах. внимательно — здесь время задается только в секундах)
  • Phase 1, Negotiation Mode: «Main»
  • Phase 1, Proposal: DES + SHA1 (здесь указываются типы шифрования — тоже одинаковые с обоих сторон; к сожалению, AES128 или 3DES данные железки не поддерживают — соответствует K8 у Cisco)
  • Key Group: DH2 (параметр, который еще называется DH Group — должен быть одинаковый с обоих сторон)
  • NAT Traversal: NO (выключаем IPSec через NAT — нам он не нужен, ибо в интернет мы глядим напрямую — т.е. на порту WAN сразу виден шлюз провайдера ISP)
  • Dead Peer Detection: YES
  • Enable Extended Authentication: NO

5. Переключаемся на вкладку VPN Connection (здесь же — в VPN->IPSec VPN) и создаем новый объект. Назовем его «CORP_VPN_CONNECTION», снова нажмем на кнопочку «Show Advanced Settings» и зададим следующие параметры:

  • Enable: YES
  • Connection Name: CORP_VPN_CONNECTION
  • Application Scenario: «Site-to-site»
  • VPN Gateway: «CORP_GATEWAY»

  • Local policy: «LAN1_SUBNET»
  • Remote policy: «CORP_NET»
  • Policy Enforcement: NO
  • SA Life Time: «28800»
  • Active Protocol: «ESP»
  • Encapsulation: «Tunnel»
  • Proposal: DES + SHA1
  • Perfect Foward Secrecy (PFS): DH2
  • Source NAT: NO (не включать ни для Outbound Traffic, ни для Inbound Traffic)
Читайте также:  Настройки показа карточки заказа в публичной части

6. Теперь идем в «Network->Zone» и редактируем уже существующую зону «IPSec_VPN». Мы увидим, что в левой части «Member List» появилось наше подключение CORP_VPN_CONNECTION. Нажимаем на кнопочку «Вправо» так, чтобы это подключение переместилось в правую часть (из Available в Member). Также убедитесь, что установлен флажок напротив опции «Block intra-net traffic».

7. Помимо всего выше перечисленного — нам нужно разрешить трафик между внутренней сетью и общей корпоративной, через IPsec. Для этого идем в Firewall и создаем два объекта.

Объект 1:

  • From: LAN1
  • To: IPSec_VPN
  • Access: allow

Объект 2:

  • From: IPSec_VPN
  • To: LAN1
  • Access: allow

8. Проверяем. Не забываем, что с самих шлюзов, в общем случае, ничего не запингуется — нужно проверять с машинок, находящихся за шлюзами IPSec — т.е. либо с машинки за ZyXEL, либо с машинки, находящейся за центральным шлюзом. В случае с Linux-шлюзом есть возможность проверить вот таким образом:

где 10.0.40.1 — это внутренний IP-адрес ZyXEL, а 10.0.0.1 — это внутренний IP-адрес центрального Linux-шлюза (только если центральный шлюз построен на базе Linux).

Источник

Управление полосой пропускания (Bandwidth Management) в межсетевых экранах ZyWALL

1 Управление полосой пропускания (Bandwidth Management) в межсетевых экранах ZyWALL Версия 1.0 от 04 месяца 2006 г. Основным назначением межсетевых экранов ZyWALL корпорации ZyXEL является обеспечение безопасного подключения к Интернету. Для этого в них реализована возможность установления vpn-туннелей, firewall, защита от dos-атак (IDP), антивирус и другие функции. Однако комфортной работе способствуют и другие возможности ZyWALL. Представим такую ситуацию: вы используете Интернет одновременно для загрузки файлов, просмотра веб-страниц и, например, для интернет-телефонии. При этом выделенная провайдером скорость ограничена. При загрузке файла (если сервер позволяет делать это с большой скоростью) может создаться такая ситуация, что не будет корректно работать интернет-телефония из-за занятой загрузкой файла полосы, а загрузка веб-страниц будет происходить с неприемлемо малой скоростью. При этом вам не столь важно, загрузите ли вы файл за 10 минут или за 15, главное, чтобы этот процесс не останавливал всю другую работу в Интернете. Если на одном компьютере работу еще можно как-то организовать, то при подключении к Интернету даже небольшой сети самое время задаться вопросом как разделить доступную скорость соединения между определенными пользователями/приложениями? Именно таким распределением занимается функция Bandwidth Management (BWM) ZyXEL Communications Corp. стр. 1 из 6

2 Рассмотрим применение BWM подробнее на следующем примере: ZyWall + 2 компьютера Выделенная скорость Интернета 512 Кбит/с на download и столько же на upload. Первый компьютер ( ) используется для выхода в Интернет и IP-телефонии (необходимы гарантированные 32 кбит/с). При этом, даже если идет загрузка файла, нужно оставить хотя бы 32 кбит/с для работы браузера. Второй компьютер ( ) использует мультимедийные приложения, работающие по протоколу H.323 (требует 320 кбит/с), и необходим выход в Интернет (также 32 кбит/с). Прежде всего нужно включить алгоритмы, позволяющие приложениям, использующим протоколы SIP и H.323, работать через ZyWALL. Для этого в меню Advanced/ALG поставьте соответствующие флаги ZyXEL Communications Corp. стр. 2 из 6

3 Для разделения доступной скорости нужно выполнить следующую последовательность действий: задать суммарную доступную скорость Интернета; классифицировать пользователей и типы трафика, принадлежащие определенным приложениям; задать каждому приложению пользователей требуемую скорость, не превышая в сумме выделенную провайдером. 1. Для ввода в ZyWALL доступной скорости Интернета (подключенного, например, через интерфейс WAN-2) заходим в меню Advanced => BW MGMT => Summary и выставляем по 512 кбит/с как для WAN-1, так и для LAN-интерфейса (учитывая, что приложения обмениваются данными в обе стороны), не забыв поставить флаги active. Значение Priority-based в поле Sheduler будет означать, что при заимствовании трафика родительского класса (функция будет описана далее) он будет делиться в соответствии с назначенными классам приоритетами, при установке Fairness-based поровну. 2. Для дальнейшего распределения этой полосы переходим в раздел Class Setup. В качестве Interface выбираем соответственно LAN. Высветится заданная в предыдущем меню доступная суммарная скорость в 512 Кбит/с. Выбираем радиокнопку Root Class, а затем заходим в меню Add Sub-Class для создания подклассов к каждому компьютеру и приложению ZyXEL Communications Corp. стр. 3 из 6

Читайте также:  Настройка частот вещаний телеканал

4 3. Назначаем полосу для первого компьютера (128 Кбит/с), затем возвращаемся в основное меню и повторяем ту же процедуру для второго компьютера (384 Кбит/с). Теперь разделяем полосу для приложений на каждом компьютере аналогично тому, как разделяли общую полосу. Для этого добавляем фильтры по адресу/порту/протоколу. 4. Для IP-телефонии выбираем соответствующий тип сервиса. 5. Интернет-браузеры используют порт 80 для своей работы, чем мы и воспользуемся для выделения трафика, им принадлежащего ZyXEL Communications Corp. стр. 4 из 6

5 6. После выделения таким образом полосы для телефонии и Интернета первому компьютеру, а также для мультимедиаприложений второму у нас остается еще часть полосы для прочих задач, таких, как загрузка файлов и др. Учтем то, что если для IP-телефонии необходимая скорость является в то же время и достаточной, то для работы веб-браузеров и загрузки файлов желательно максимизировать доступную скорость. Для этого поставим флаги Borrow bandwidth from parent class. Тогда при неиспользовании, например, SIP выделенная для него полоса добавится для загрузки файлов и работы браузера. При проставлении приоритетов руководствуемся тем, что комфортная работа в Интернете для нас более важна, чем быстрая загрузка файлов. Таким образом, ставим приоритет 5 для http и 3 для прочего трафика. Аналогичным образом добавляем подкласс для второго компьютера и делим его на H.323, http и трафик для других задач. 7. Рассмотрим теперь появившийся в результате наших действий filter list. Следует учитывать, что при проверке принадлежности трафика тому или иному классу фильтры рассматриваются устройством сверху вниз, и если пакет подпадает под классификацию одного из фильтров, то нижестоящие фильтры для него уже не рассматриваются. Из этого следует, что сверху должны располагаться фильтры с более жесткими условиями, а снизу с более общими. Так, например, фильтр other, в котором указан лишь адрес назначения, должен располагаться ниже фильтра http, в котором указан еще и номер порта ZyXEL Communications Corp. стр. 5 из 6

6 8. Для исходящего трафика имеет смысл произвести несколько иное деление на подклассы: т.к. большинство приложений используют в основном входящий трафик, то не имеет смысла выделять, например, трафик веббраузеров. В то же время трафик IP-телефонии практически симметричен, поэтому этот класс стоит выделить и для исходящего трафика. Работа BWM на практике выглядит примерно так: Здесь красный график разговор через IP-телефонию в течение 25 сек, для чего ZyWALL выделил 32 кбит/с, зеленый работа в Интернете, серый загрузка файла. Как ранее было отмечено, для работы в Интернете мы выделили больший приоритет, поэтому после освобождения части пропускной способности от IP-телефонии она в первую очередь добавилась для работы браузера и лишь затем для загрузки файлов ZyXEL Communications Corp. стр. 6 из 6

Читайте также:  Утилиты для настройки тачпад

Источник

Настройка Wi-Fi авторизации по звонку или SMS (hotspot captive portal) на Zyxel ZyWall 110/310/1100

Для настройки авторизации пользователей гостевой сети Wi-Fi с помощью сервиса Global Hotspot следуйте данной инструкции. Процесс настройки состоит из получения конфигурации в личном кабинете Global Hotspot и настройки оборудования в соответствии с полученной конфигурацией.

Данная инструкция подходит для моделей Zyxel ZyWALL 110 / 310 / 1100. В зависимости от прошивки в интерфейсе может что-то отличаться, но в целом последовательность действий одинакова.

Шаг 1: Создание темы, профиля, места и конфигурации

настройка личного кабинета Global Hotspot

Создаем тему на базе шаблона

Создаем тему на базе шаблона и даем ей название

В созданном профиле выбираем тему, которую создали ранее

Создаем место и выбираем созданный ранее профиль

Шаг 2: Создание конфигурации для выбранного места

переходите в раздел «Заведения» подраздел «Места», затем выбираете место, для которого вы хотите настроить портал авторизации, и в верхнем правом углу нажимаете кнопку «Создать конфигурацию»

В открывшемся окне выбираете тип оборудования Juniper и нажимаете кнопку «Далее».

На последнем этапе следуйте подсказкам мастера конфигурации.

Шаг 3: Настройка CaptivePortal на оборудовании Zyxel ZyWall 110

В данной инструкции использовалась модель Zyxel Zywall 110 с версией прошивки V4.33(AAAA.0)

Подготовка к настройке

Перед настройкой Hotspot на ZyWall необходимо настроить сам контроллер, точки доступа, создать гостевую WiFi сеть и протестировать её работу без пароля и авторизации. Контроллер должен иметь выход в интернет.

Для настройки Hotspot необходимо создать следующие сущности:

  1. External Captive Portal
  2. Object Host & FQDN
  3. RADIUS
  4. Policy

Настройка политик портала

Переходим в раздел Веб-аутентификация/Основные настройки, включаем Активировать веб-аутентификацию

В разделе Аутентификация нажимаем кнопку Добавить и создаем новую конфигурацию.

Тип веб-аутентификации Веб-портал и добавляем ссылки из конфига в личном кабинете, в разделы URL авторизация (External Webauth URL) и URL приветствия (Redirect URL after login).

Создание объектов (групп) IPv4

Переходим в раздел Объект/Адрес/Geo IP/Ip-адрес

Настройка RADIUS

Из раздела Объект переходим в Сервер аутентификации/RADIUS. Добавляем RADIUS сервер.

Добавляем новый метод, с именем global-hotspot и нашим radius сервером.

Настройка политики для веб-аутентификации (перехват трафика/исключения)

Добавляем политики аутентификации:

В качестве входящего интерфейса выбираем интерфейс с гостевым трафиком, и IP-адрес источника. Указываем в Аутентификация параметр Required и ставим Обязательная аутентификация пользователей и выбираем созданный ранее профиль Global-Hotspot. В этом случае весь трафик приходящий на данный интерфейс будет принудительно отправлен на портал с авторизацией.

В графе IP-адрес назначения указываем ранее добавленный адрес raduis сервера, в Аутентификация выбираем Unnecessary, тем самым все что будет приходить на входящий интерфейс с ip адресом назначения 5.101.126.175 будет проходить без профиля с аутентификации.

После успешной авторизации, устройство появится в разделе Мониторинг/Пользователи.

На этом настройка Hotspot на контроллере ZyWall окончена. Подключитесь к гостевой сети и проверьте результат. Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Источник

Adblock
detector