Меню

Zyxel usg 300 настройка dns



Настройка ZyWall серии USG в роли VPN сервера

Данная статья рассчитана на пользователей бюджетных шлюзов ZyWall серии USG.

Имеем следующую задачу:
— организовать подключение к корпоративной локальной сети по средствам VPN;
— авторизация пользователей VPN под доменной учетной записью;
— собрать все это на шлюзе ZyWall USG 110;
— пользователи должны подключаются как с ноутбуков так и с мобильных телефонов.

На первый взгляд задача не казалась сложной, но когда я приступил к реализации, наткнулся на пару неприятных моментов, которые приходилось решать через службу технической поддержки.

Чтобы оградить вас от подводных камней, траты драгоценного времени, решил написать данную статью.

Итак, приступим.

Первое, что нам необходимо сделать, это определится с кругом лиц которые могут подключатся к корпоративной сети из вне. На это у меня ушло примерно минут 30 на согласование с начальством. Этим лучше не пренебрегать, так как это вопрос корпоративной безопасности.

Исходные данные:
Шлюз Zyxwl Zywall USG 110
WAN1 – 12.12.12.12
LAN1 – 10.10.10.1/24
Домен example.com
Сервера AD
dc01.example.com 10.10.10.5/24
dc02.example.com 10.10.10.6/24
В вашем случае данные будут другие, я же буду использовать их для примера.

Первый подводный камень, это закрытые системы шифрования на шлюзе, обходим следующим путем:
Подключаемся к шлюзу через SSH и включаем скрытые режимы шифрования
Вводим логин и пароль

configure terminal
crypto algorithm-hide disable
write
reboot

Следующим шагом будет подключение шлюза к AD.
Создаем пользователя в AD от имени которого шлюз будет подключатся для поиска учетных записей
например:
Name zywall
Password ZyWaLlpass

Создаем группу для VPN пользователей;
Добавляем пользователей в группу VPN.
Как это делается в AD я описывать не буду так как такого материала более чем достаточно.

Подключаемся к шлюзу через Web интерфейс.
Переходим по меню: Configuration – Object – AAA server – Add.
вносим следующие настройки:

Name: dc_example (произвольное имя)
Description: example.com (имя домена)
Server Address: 10.10.10.5 (ip адрес первичного DC)
Backup Server Address: 10.10.10.6 (ip адрес резервного DC)
Port: 389
Base DN: DC=example,DC=com
Use SSL: False
Case-sensitive User Names: True
Search time limit: 5
Bind DN: CN=zywall,CN=Users,DC=example,DC=com (пользователь от имени которого происходит поиск записей в AD в формате DN)
Password: ZyWaLlpass (пароль пользователя)
Retype to Confirm: ZyWaLlpass
Login Name Attribute: sAMAccountName
Alternative Login Name Attribute: оставляем пустым (если кому необходимо можете прописать mail)
Group Membership Attribute: memberOf

На шлюзе задаем группу пользователей для подключения к VPN
Configuration – Object-User/Group:

user name: VPN_Users_example
User Type: ext-group-user
Group Identifier: CN=VPN,CN=Users,DC=example,DC=com
Associated AAA Server Object: dc_example
Description: VPN_Users_example
Authentication Timeout Settings: Use Default Settings (можно установить Use Manual Settings и установить свои лимиты времени)

Есть возможность сразу проверить правильность всех настроек, в нижнее поле User name вводим имя пользователя состоящего в группе VPN без домена, и нажимаем кнопку Test
Следующий подводный камень это то что пользователи должны иметь группу по умолчанию Domain Users иначе проверка пользователя не пройдет.

Создаем подсеть для удаленных пользователей:
Configuration – Object – Address – Add

Name – VPN_Subnet_example
Address Type – SUBNET
Network – 10.10.9.0
Netmask – 255.255.255.0

Name: InetWAN1
Address Type: Interface IP
Interface: wan1

General settings
Enable: true
VPN Gateway Name: L2TP_Gateway_example
My Address
My Address: Wan1
Authentication
Pre-Shared KEY: AnySharedKey (необходимо придумать свой ключ)
Phase 1 Settings
SA Life Time: 86400
Negotiation Mode: Main

нажимаем ОК и переходим дальше

Настраиваем входящие подключения VPN
Configuration – VPN – IPSec VPN – VPN Connection – Add
Сразу нажимаем Show Advanced Settings

General Settings
Enable: Tue
Connection Name: L2TP_VPN_example
Enable Replay Detection: False
Enable NetBIOS broadcast over IPSec: True
MSS Adjustment: Auto
VPN Gateway
Application Scenario: Remote Access (Server Role)
VPN Gateway: L2TP_Gateway_example
Policy
Local policy: InetWAN1
Enable GRE over IPSec: False
Phase 2 Settings
SA Life Time: 86400
Active Protocol: ESP
Encapsulation: Transport
Proposal:
3DES SHA1
3DES MD5
DES SHA1
Perfect Forvard Secrecy (PFS): None
Related Settings
Zone: IPSec_VPN

Теперь настроим подключение L2TP VPN

Configuration – VPN – L2TP VPN
Enable L2TP Over IPSec: True
VPN Connection: L2TP_VPN_example
IP Address pool: VPN_Subnet_example
Authentication Method: Default
Allowed User: VPN_Users_example
Keep Alive Timer: 60
First DNS Server :Custom Defined 10.10.10.1
Second DNS Server: Custom Defined 10.10.10.5

Жмем Apply
Настройка шлюза завершена

Читайте также:  Настройка нескольких рабочих групп

У пользователей создаем VPN подключение со следующими основными параметрами:

Тип VPN: L2TP IPsecVPN;
L2TP KEY: AnySharedKey (ключ который вы указали при настройке VPN шлюза);
Шифрование данных необязательное (подключатся даже без шифрования);
Разрешить следующие протоколы
— Незашифрованный пароль (PAP);
(остальные протоколы отключаем)

Спасибо за внимание.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник

Zywall USG и DNS DC

Все новые темы

Список форумов SYSAdmins.RU -> WINDOWS
Автор
gorkigroup
Новичок

Зарегистрирован: 15.12.2014
Пользователь #: 154,853
Сообщения: 3

Добавлено: Пн 22 Дек, 2014 17:03 Заголовок сообщения: Zywall USG и DNS DC
Ошибка.jpg
Описание:
Размер файла: 108.93 KB
Просмотрено: 2441 раз(а)

Вернуться к началу
Зарегистрируйтесь и реклама исчезнет!

Грем
Участник форума

Зарегистрирован: 09.08.2007
Пользователь #: 59,509
Сообщения: 232


Голоса: 5

Добавлено: Пн 22 Дек, 2014 17:53 Заголовок сообщения:
Вернуться к началу
gorkigroup
Новичок

Зарегистрирован: 15.12.2014
Пользователь #: 154,853
Сообщения: 3

Добавлено: Пн 22 Дек, 2014 18:15 Заголовок сообщения:
Вернуться к началу
Грем
Участник форума

Зарегистрирован: 09.08.2007
Пользователь #: 59,509
Сообщения: 232


Голоса: 5

Добавлено: Пн 22 Дек, 2014 23:29 Заголовок сообщения:
Вернуться к началу
gorkigroup
Новичок

Зарегистрирован: 15.12.2014
Пользователь #: 154,853
Сообщения: 3

Источник

Обзор межсетевого экрана Zyxel VPN50 — простое решение сложных проблем

Основные критерии для выбора межсетевого экрана — это безопасность, простота управления и его производительность. На рынке предоставлен очень широкий выбор решений — от самых простых, мало чем отличающихся от маршрутизаторов для домашнего использования, до профессиональных комплексных систем для обеспечения безопасности в корпоративном сегменте.

Сегодня я бы хотел рассказать, как простое с виду устройство, может обеспечить достаточно высокий уровень безопасности и покрыть большинство потребностей клиентов по функционалу и производительности.

Комплектация

Плотная картонная коробка, без изысков. Все провода и сам роутер в своей отдельной упаковке.

Стандартный набор комплектации:

  • инструкция
  • блок питания
  • патч-корд
  • консольный порт
  • резиновые «ножки» для установки

Корпус маршрутизатора сделан из толстого металла серего цвета (указано сталь). Выглядит очень крепким (и достаточно тяжелым).

Технические характеристики

Интерфейсы: 4 x Ethernet 10/100/1000 Мбит/сек, SFP 10/100/1000 Мбит/сек, USB 3.0

Администрирование: web-инетерфейс, telnet, консольный порт, SNMP

Маршрутизатор: NAT, SPI, DHCP, DMZ, Dynamic DNS, Firewall

VPN: IKEv2, IPSec, SSL, L2TP/IPSec (до 50 туннелей), поддержка pass through

У данного устройства имеется 2 WAN порта: один медный (Ethernet) и один оптический (SFP). Пропускная способность каждого до 1 Гб/с. А через интерфейс USB 3.0 есть возможность зарезервировать основной канал еще и 3G/4G модемом. На вкладке „маршрутизация“ есть встроенный алгоритм для проверки соединения и автоматического переключения на резервный канал в случае неудачи.

Помимо основных функций, характерных для всех межсетевых экранов, у Zyxell VPN50 есть ряд дополнительных преимуществ, который заметно выделяют его на фоне других:

Помимо основных функций, характерных для всех межсетевых экранов, у Zyxell VPN50 есть ряд дополнительных преимуществ, который заметно выделяют его на фоне других:

  1. Возможность работы как Wi-Fi контроллер для AP
  2. Geo IP
  3. Поддержка Amazon VPC
  4. Поддержка Facebook Wi-Fi
  5. Возможность работы в SD-WAN
  6. «Eazy mode» для web-интерфейса

Управление

ZyWALL VPN50 имеет два варианта администрирования через web: «опытный пользователь» — при котором доступен весь функционал для индивидуальной и тонкой калибровки параметров под задачи и «простой» — ориентированный на максимально быстрые конфигурирование и установку даже неподготовленными пользователями.

Отличительной чертой упрощенного интерфейса является наличие мастеров настроек для большинства основных сценариев использования: быстрое конфигурирование базовых параметров, конфигурирование vpn-клиента или сервера, настройка беспроводной сети и политик безопасности.

Контентная фильтрация

Основной функционал, который должен присутствовать в любом межсетевом экране. Функция позволяет блокировать запросы, по принципу того, к какой категории относится запрашиваемая страница. Все сайты разделены по категориям.

Алгоритм фильтрации:

Клиент отправляет GET запрос, который ZyWALL отправляет на сервер CYREN. Сервер CYREN отвечает на запрос, сообщая к какой категории относится данный web-сайт. ZyWALL добавляет запись в кэш и проверяет свои политики безопасности, чтобы принять решение — блокировать запрос или разрешить. В случае, если человек не имел права на просмотр веб-сайта из данного разделе, то он увидит сообщение-заглушку, содержание которой можно задать самостоятельно. А также можно задать дополнительную страницу редиректа, которая отобразится в случае блокировки.

Контентная фильтрация отдельно вынесена в мастер настройки службы безопасности, который позволяет выбрать нежелательные категории, заблокировать сайты по определенному адресу (черный список), а также добавить в исключения сайты, контент которых, ограничиваться не должен (белый список).

В упрощенном режиме контентную фильтрацию можно применять ко всем устройствам исключая из списка фильтрации определенные хосты. Например, если вам нужно настроить фильтрацию только на устройствах определенной группы пользователей не затрагивая при этом остальные девайсы.

В расширенном режиме есть возможность настраивать профили, для разграничения доступа для разных групп. Например, если нужны разные политики к внутренним ресурсам компании определенным отделам или конкретным сотрудникам.

VPN сервер и удаленное подключение

Zyxell VPN50 имеет несколько режимов конфигурирования:

  1. VPN-сервер. Вы устанавливаете его на границе в вашу корпоративную или домашнюю сеть и подключаетесь к нему с удаленных устройств.
  2. Как VPN-клиент. Вы используете маршрутизатор для подключения к уже имеющийся структуре как клиент.
  3. Site-to-Site. Схема, в которой безопасное соединение организуется между двумя сетями.
  4. Site-to-Site with Dynamic Peer. Схема похожа на Site-to-Site, отличие заключается только в том, что удаленная сторона имеет динамический ip-адрес.
  5. SSL VPN.SecuExtender программа-клиент для подключения.

В случае, если на обеих сторонах туннеля используются динамические ip-адреса, то для настройки туннеля zywall может использовать DynDNS.

Поддерживаемые протоколы: IPSec VPN и L2TP over IPSec VPN

Незаменимый функционал, при объединении в одну зону нескольких удаленных офисов или удаленных сотрудников.

Контроллер точек доступа

Данный маршрутизатор может выступать в качестве центра управления беспроводными точками. Функции контроллера позволяют централизованно мониторить AP, обновлять программное обеспечение, менять конфигурацию, осуществлять быстрый роуминг по протоколу 802.11r.

Вы можете задать любые параметры беспроводной сети сразу же после первичной настройки vpn-шлюза. Управляемые точки доступа Zyxel AP будут добавлены к настроенному профилю автоматически после включения. Доступные параметры:

  • Создание групп и профилей
  • Изменение SSID
  • Управление VLAN, тегирование трафика
  • Изменение настроек локальных портов
  • Балансировки нагрузки (BWM)

Из дополнительных функций:

  • Auto HealingВ автоматическом режиме проверяет состояние и работоспособность точек Wi-Fi. Если какая-то из AP вышла из строя, то ближайшие соседи получают команду увеличить мощность сигнала, чтобы перекрыть проблемную зону. После восстановления, соседи автоматически получают сигнал вернуться в обычный режим работы. По умолчанию выключена и рекомендуется включать только после того, как развертывание или изменение топологии завершено и все элементы в рабочем состоянии.

    Real-time Locating Systems (Ekahau)Система позиционирования в реальном времени. Собирает, хранит и обрабатывает информацию о точном местоположении объектов (с точностью до нескольких метров), а также о маршрутах их перемещений. По умолчанию так же, как и Auto Healing, выключена. Необходимо будет указать адрес и порт сервера, куда будут отправляться метрики.

Geo IP

Geo Enforcer по IP-адресу отправителя входящего трафика может определить страну из которой поступает этот трафик. Межсетевой экран будет блокировать любые запросы, поступающие с ip-адресов стран перечисленных в черном списке. GEO IP дает возможность не перечислять в списке файрвола все подсети. Можно просто указать регион целиком.

Те же правила доступны и для исходящего трафика. Для блокировки страны необходимо на вкладке ip-адреса создать группу адресов выбрав тип адреса GEOGRAPHY:

После этого, на вкладке политик файрвола появится ваша группа. Выбрать её можно указав как источник трафика или как назначение:

Таким же образом можно создавать правила не только группируя адреса по странам, но и блокировать подсети определенных провайдеров или целые автономные системы (AS) с которых происходят атаки.

На вкладке GEO IP есть возможность вручную создавать правила распределения адресов ip по странам.

Поддержка SD-WAN

ZyWALL VPN50 поддерживает управление по SD-WAN. Авторизация в едином центр управления и конфигурации позволяет проще и быстрее разворачивать и подключать к корпоративному сегменту удаленные сети. Если проводить аналогии, то эта технология очень похожа на контроллер для беспроводных точек. Схема работы один в один. Вы добавляете все имеющиеся vpn-шлюзы на централизованную площадку и управляете ими всеми от туда.

Вот как это выглядит (добавление нового профиля):

Конфигурирование нового девайса:

Когда у вас один шлюз, то нет разницы, как его настраивать. Но когда их больше трех — требуется автоматизация.

Итоги

За время работы с маршрутизатором проблем или трудностей выявлено не было. Данный девайс, производитель постарался сделать максимально простым в использовании не теряя при этом в производительности и функциональности и, мне кажется у них получилось. Отличное решение для малого бизнеса и домашнего использования.

Среди предоставленных решений на рынке, от Cisco, D-link для себя я не нашел более подходящего устройства по соотношению цена/функционал для решения своих задач.

Если искать межсетевой экран с тем же уровнем производительности, то Cisco на порядок дороже. А если брать из того же ценового сегмента, например, Cisco RV320, который позиционирует себя как VPN роутер, то он сильно уступает по характеристикам:

  • Количество поддерживаемых туннелей почти в два раза меньше (25 против 50).
  • Невозможность подключить по оптике.
  • Отсутствует USB интерфейс, нельзя подключить 3G модем

От D-Link’a межсетевой экран DSR-1000 по производительности vpn соединений не сильно уступает, но при этом он дороже и не имеет остального необходимого функционала:

  • Нельзя использовать в качестве контроллера
  • Его так же, как и cisco, не подключить по оптике
  • Очень ограниченный список поддерживаемых 3g/4g модемов (только d-link и huawei)

Источник

Adblock
detector