Меню

Zywall usg 100 настройка firewall



Настройка IPSec VPN туннеля ZyXEL ZyWALL USG

Настройка IPSec VPN туннеля ZyXEL ZyWALL USG

Доброго времени суток! Много уважаемые читатели и гости, одного из крупнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами разобрали, что делать если флешка защищена от записи и как снять эту защиту. Уверен, что у вас все получилось. Сегодня я хочу поговорить про настройку сетевого оборудования. У меня есть ZyXEL ZyWALL USG (в моем случае — USG 20). Требуется: Поднять IPSec VPN туннель между данной железкой и удаленным сервером. В моем частном случае ZyXEL выступал в роли маршрутизатора небольшого удаленного офиса, а в роли удаленного сервера — центральный шлюз.

Сетевые реквизиты, например, будут следующими:

  • Белый IP ZyXEL: 22.33.44.55
  • Белый IP-адрес удаленного шлюза: 11.22.33.44
  • Подсеть офиса за ZyXEL: 10.0.40.0/24
  • IP-адрес ZyXEL: 10.0.40.1
  • Корпоративная подсеть: 10.0.0.0/8
  • IP-адрес общего корп. шлюза: 10.0.0.1
  • Авторизация на базе PSK (Pre-Shared Key)

Это все, конечно, исключительно пример. В данной раскладке мы имеем общую корпоративную подсеть 10/8 (10.0.0.0-10.255.255.255), частичкой которой будет выступать удаленный (относительно корпоративной подсети) офис за роутером ZyXEL.

Реализация IPSec VPN туннеля ZyXEL ZyWALL USG

  1. Роутер ZyXEL должен быть настроен и уже выпускать людей в интернет через NAT и все дела. Т.е. IP адреса должны быть настроены.
  2. Открываем веб-консоль управления ZyXEL и логинимся.
  3. Идем в Object->Address и создаем новый объект. Назовем его «CORP_NETWORK» и укажем следующие характеристики:
  • Name: CORP_NETWORK
  • Address Type: SUBNET
  • Network: 10.0.0.0 (удаленная корпоративная подсеть)
  • Netmask: 255.0.0.0 (маска корпоративной подсети)

4. Идем в VPN->IPSec VPN и переходим на вкладку VPN Gateway. Здесь создаем новый объект. В открывшемся окне сразу в верхней части нажимаем на «Show Advanced Settings» — нам понадобится вид всех опций. Заполняем следующие параметры:

  • Enable: YES (ставим галочку)
  • VPN Gateway Name: CORP_GATEWAY
  • My Address: Interface = «wan1»
  • Peer Gateway Address: Static Address = «11.22.33.44» (это белый IP-адрес корпоративного шлюза)
  • Authentication: Pre-Shared Key = «mySuperKey» (это PSK ключ — он должен быть одинаковым на обоих концах)

  • Phase 1, SA Life Time: 28800 (время в секундах — оно должно быть одинаковым на обоих сторонах. внимательно — здесь время задается только в секундах)
  • Phase 1, Negotiation Mode: «Main»
  • Phase 1, Proposal: DES + SHA1 (здесь указываются типы шифрования — тоже одинаковые с обоих сторон; к сожалению, AES128 или 3DES данные железки не поддерживают — соответствует K8 у Cisco)
  • Key Group: DH2 (параметр, который еще называется DH Group — должен быть одинаковый с обоих сторон)
  • NAT Traversal: NO (выключаем IPSec через NAT — нам он не нужен, ибо в интернет мы глядим напрямую — т.е. на порту WAN сразу виден шлюз провайдера ISP)
  • Dead Peer Detection: YES
  • Enable Extended Authentication: NO

5. Переключаемся на вкладку VPN Connection (здесь же — в VPN->IPSec VPN) и создаем новый объект. Назовем его «CORP_VPN_CONNECTION», снова нажмем на кнопочку «Show Advanced Settings» и зададим следующие параметры:

  • Enable: YES
  • Connection Name: CORP_VPN_CONNECTION
  • Application Scenario: «Site-to-site»
  • VPN Gateway: «CORP_GATEWAY»
Читайте также:  Включить чпу в настройках сайта modx

  • Local policy: «LAN1_SUBNET»
  • Remote policy: «CORP_NET»
  • Policy Enforcement: NO
  • SA Life Time: «28800»
  • Active Protocol: «ESP»
  • Encapsulation: «Tunnel»
  • Proposal: DES + SHA1
  • Perfect Foward Secrecy (PFS): DH2
  • Source NAT: NO (не включать ни для Outbound Traffic, ни для Inbound Traffic)

6. Теперь идем в «Network->Zone» и редактируем уже существующую зону «IPSec_VPN». Мы увидим, что в левой части «Member List» появилось наше подключение CORP_VPN_CONNECTION. Нажимаем на кнопочку «Вправо» так, чтобы это подключение переместилось в правую часть (из Available в Member). Также убедитесь, что установлен флажок напротив опции «Block intra-net traffic».

7. Помимо всего выше перечисленного — нам нужно разрешить трафик между внутренней сетью и общей корпоративной, через IPsec. Для этого идем в Firewall и создаем два объекта.

Объект 1:

  • From: LAN1
  • To: IPSec_VPN
  • Access: allow

Объект 2:

  • From: IPSec_VPN
  • To: LAN1
  • Access: allow

8. Проверяем. Не забываем, что с самих шлюзов, в общем случае, ничего не запингуется — нужно проверять с машинок, находящихся за шлюзами IPSec — т.е. либо с машинки за ZyXEL, либо с машинки, находящейся за центральным шлюзом. В случае с Linux-шлюзом есть возможность проверить вот таким образом:

где 10.0.40.1 — это внутренний IP-адрес ZyXEL, а 10.0.0.1 — это внутренний IP-адрес центрального Linux-шлюза (только если центральный шлюз построен на базе Linux).

Источник

Zywall usg 100 настройка firewall

Профиль | Отправить PM | Цитировать

Изображения

Default Rule.jpg
(5.3 Kb, 33 просмотров)
NAT.jpg
(37.3 Kb, 37 просмотров)
RDP Rule.jpg
(88.7 Kb, 28 просмотров)

Сообщения: 8628
Благодарности: 2124

Original IP: 0.0.0.0 (т.е. допускается работа с любого внешнего адреса)
Mapped IP: 192.168.0.100 (условно; какой там у этого сервера внутренний IP?)

Или я что-то не понял в настройках USG 100?

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

Original IP: 0.0.0.0 (т.е. допускается работа с любого внешнего адреса)
»
Источник

Настройка межсетевого экрана Firewall в шлюзах безопасности серии ZyWALL / USG

Как настроить межсетевой экран Firewall в аппаратных шлюзах серии ZyWALL USG?

Межсетевой экран (Firewall) в аппаратном шлюзе ZyWALL USG используется для контроля и фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами. В частности, Firewall применяется для разрешения или запрещения работы служб, которые используют статические номера портов.
Обращаем ваше внимание, что при определении направления трафика в правилах Firewall используются зоны. Зоны (Zone) представляют собой объекты, в которых указаны определенные интерфейсы (в зоне может быть указан один или более интерфейсов). Таким образом, перед началом настройки правил Firewall нужно обязательно определить зоны, которые в дальнейшем будут использованы при настройке правил в ZyWALL USG. Определенный интерфейс может быть использован только в одной зоне.

1. Настройка зон (Zone)

Для настройки Firewall сначала необходимо убедиться, что используемые интерфейсы принадлежат к предустановленным или созданным зонам. Настройка зон выполняется в меню Configuration > Network > Zone веб-конфигуратора устройства.

Зоны используются в качестве определения направлений при настройке правил Firewall и сервисов Anti-X.

В устройстве существуют предустановленные зоны с интерфейсами (можно их использовать). Если необходимо создать свою зону и включить в нее определенные интерфейсы, необходимо сначала исключить этот интерфейс из предустановленной зоны.
Зайдите в меню Configuration > Network > Zone, выберите нужную зону из списка System Default и нажмите Edit для ее редактирования.
В окне Edit Zone в разделе Member List в списке Member найдите интерфейс, который необходимо исключить из предустановленной зоны (в нашем примере это интерфейс ge5), и переведите его в список Available.

Затем создайте новую зону. В меню Configuration > Network > Zone в разделе User Configuration нажмите Add. В окне Add Zone выберите из списка Available нужный интерфейс (в нашем примере это интерфейс ge5) и добавьте его в список Member.

Параметр Block Intra-zone Traffic нужен, если в зоне более одного интерфейса. Если установить галочку в поле Block Intra-zone Traffic, то трафик между интерфейсами, находящимися в одной зоне, будет блокироваться.

Внимание! Если вы создали новую зону, она автоматически не будет представлена в предустановленных правилах Firewall и, соответственно, прохождение трафика из этой зоны (или в эту зону) будет зависеть от настроенных правил по умолчанию, где в поле From или To будет значение any или any (Еxcluding ZyWALL), или по последнему правилу Default.

2. Настройка правил Firewall

Настройка правил Firewall выполняется в меню Configuration > Network > Firewall.

Правила Firewall настраиваются по направлениям – зонам, куда входят определенные интерфейсы.

Предустановленные правила включают в себя правило по умолчанию Default, которое находится внизу списка правил (в разделе Firewall Rule Summary) – его нельзя удалить или деактивировать. Для правила по умолчанию Default можно только установить значение в поле Access, то есть необходимое действие (allow/deny/reject), которое нужно применить к сетевым пакетам, попадающим под действие этого правила. Так как правила Firewall обрабатываются устройством по очереди, под это правило попадут те пакеты, которые не попали ни под одно другое правило, находящееся выше по списку.

В меню Configuration > Network > Firewall в разделе General Settings параметр Enable Firewall служит для включения/выключения Firewall (для включения установите галочку в поле Enable Firewall).
Параметр Allow Asymmetrical Route служит для разрешения/запрещения треугольных асимметричных маршрутов (для включения установите галочку в поле Allow Asymmetrical Route).

Для создания нового правила Firewall в меню Configuration > Network > Firewall нажмите Add.

Рассмотрим назначение полей в окне Add Firewall Rule, которые необходимо настроить при создании нового правила Firewall.

Установите галочку в поле Enable для активации правила.
В поле From (откуда) укажите исходящее направление (зона), по которому создается правило.
В поле To (куда) укажите входящее направление (зона), по которому создается правило.
В поле Description можете указать описание правила.
В поле Schedule можно указать Schedule-объект (созданный ранее в меню Configuration > Object > Schedule). Этот объект определяет расписание работы. В этом случае правило Firewall будет работать в соответствии с ним.
В поле User можно выбрать имя пользователя или группу пользователей. Правило будет применяться только к авторизованным пользователям или группам пользователей, если пользователь или группа указаны в этом поле.
В поле Source можно указать адрес источника пакетов, к которому должно применяться правило.
В поле Destination можно указать адрес назначения пакетов, к которому должно применяться правило.
В поле Service можно указать предустановленный или созданный Сервис (порт или протокол), к которому должно применяться правило.
В поле Access укажите действие, которое будет применяться к сетевому пакету, если он попал под условия правила (allow — разрешить прохождение пакета, deny – отбросить пакет, reject – отбросить пакет с уведомлением на адрес источника).
В поле Log можно указать, нужно ли в системные логи делать записи по работе этого правила.

Внимание! Порядковый номер правил Firewall определяет приоритетность (очередность) их выполнения.
Если нужно поменять приоритетность (порядковый номер) правила, используйте элемент Move для изменения порядкового номера.
Чтобы изменить нумерацию правила, выберите нужное правило, нажмите на элемент Move, укажите новый номер, который вы хотите установить для данного правила, и затем нажмите клавишу Enter.

В разделе Firewall Rule Summary можно выбирать направления From Zone и To Zone для просмотра правил, подходящих только по указанному направлению.

При создании правила и в списке To Zone существует направление ZyWALL – это направление к самому устройству ZyWALL USG, то есть это трафик, который направляется (адрес назначения) на интерфейс аппаратного шлюза ZyWALL USG. При этом, т.к. для входящего трафика (Интернет) Firewall действует после правила проброса портов, пакеты после трансляции адресов (DNAT) уже не будут попадать под это направление, т.к. адрес назначения будет уже транслирован в локальный адрес сервера. Трафик, который идет на адрес интерфейса ZyWALL USG и для которого нет правил DNAT, будет определяться как направление To ZyWALL.

Также существует направление any (Excluding ZyWALL). Оно определяет направление трафика на любую зону, кроме трафика на само устройство.
В поле From отсутствует направление для блокировки трафика ZyWALL, т.е. трафик от ZyWALL USG заблокировать правилами Firewall нельзя.

Источник

Adblock
detector