VPN-pass-through door ZyXEL routers


referentie Z093C


Dit document geeft aan op welke ZyXEL routers VPN-pass-through mogelijk is en geeft aanwijzingen hoe dit kan worden ingesteld.

Wat is VPN-pass-through?
Welke VPN-pass-through-scenario's en beperkingen zijn er?
Is VPN-pass-through mogelijk met mijn ZyXEL router?
Hoe moet ik VPN-pass-through instellen?

Welke VPN-pass-through-scenario's en beperkingen zijn er?

  1. Achter de ZyXEL router is een VPN-client aangesloten. Hiervoor zijn geen extra instellingen in de ZyXEL noodzakelijk. Meerdere clients vanachter dezelfde ZyXEL naar dezelfde VPN-server werkt niet. De ZyXEL heeft dan onvoldoende informatie om het verkeer correct terug te kunnen routeren. De laatste client die de verbinding opbouwt, die krijgt elke informatie. Bij verschillende IPsec of PPTP VPN-clients achter dezelfde ZyXEL naar verschillende VPN-servers geeft geen problemen.
  2. Achter de router is een VPN-server (of VPN-gateway) aangesloten. Afhankelijk van de gebruikte firmware moet u voor IPsec tunnels de IKE poort 500, voor PPTP poort 1723, voor L2TP poort 1701 (de routers maken geen onderscheid tussen UDP en TCP), danwel alles (default/server) doorzetten naar het (interne) IP-adres van de VPN-server. Bij de ZyXEL routers met firewall moet u - indien dat nog niet is gebeurd - ook nog de firewall openzetten voor IKE (UDP Poort 500 en automatisch ESP Protocol 50) en/of PPTP en GRE (zowel TCP poort 1723 PPTP(TCP:1723) en het GRE protocol 47 PPTP_TUNNEL(GRE:0)), voor L2TP (UDP protocol 1701, deze moet mogelijk nog aangemaakt worden) verkeer.
  3. De router staat in bridging mode of er wordt een publiek subnet gebruikt. In dit geval is er geen sprake van VPN-pass-through, al het verkeer wordt zonder translatie ongehinderd doorgelaten. Eventueel is het mogelijk om met filters of firewall instellingen verkeer te blokkeren

Let op: Als de router zelf als VPN-IPsec-client of VPN-IPsec-server wordt gebruikt dan zal de router al het inkomende IPsec VPN verkeer afvangen. Dan is VPN-pass-through van IPsec dus onmogelijk, ongeacht de mogelijke ondersteuning van de router. L2TP en/of PPTP VPN verkeer kan eventueel nog wel door.

Let op: Niet alle routers laten in NAT-mode VPN-verkeer op door.

Is VPN-pass-through mogelijk met mijn ZyXEL router?

De mogelijkheid van VPN-pass-through van ZyXEL routers kan worden afgelezen in de volgende tabel. Eventuele poort instellingen gelden voor inkomend VPN verkeer. Het uitgaand verkeer behoort goed te gaan zonder poort instellingen, mits dit niet door de router wordt geblokkeerd. Het ESP of GRE protocol (voor PPTP) wordt bij het instellen automatisch meegeconfigureerd.
Model In Uit Multi? Firmware Poort
Prestige 100 serie Nee Nee Nee n.v.t. n.v.t.
Prestige 128 serie Nee Nee Nee n.v.t. n.v.t.
Prestige 153 serie Nee Nee Nee n.v.t. n.v.t.
Prestige 201 serie Nee Nee Nee n.v.t. n.v.t.
Prestige 202 Ja Ja Ja 2.50(N.04)) 500
Prestige 310 Ja Nee Ja 3.50(M.02)) Default
Prestige 314 Ja Ja Ja 3.50(CA.1)) Default
Prestige 314+ Ja Ja Ja 3.50(CX.0)) Default
Prestige 316E Ja Nee Ja 3.26(CB.2) Default
Prestige 480 Nee Nee Nee n.v.t. n.v.t.
Prestige 641 serie Nee Nee Nee n.v.t. n.v.t.
Prestige 642R Ja Ja Ja 2.50(AJ.3) Default
Prestige 650R-11,-13 Ja Ja ?? ??? ???
Prestige 650R-31,-33 Ja Ja ?? ??? ???
Prestige 650H-11,-13 Ja Ja ?? ??? ???
Prestige 650H-31,-33 Ja Ja ?? ??? ???
Prestige 650HW-11,13 Nee Nee Nee n.v.t. n.v.t.
Prestige 652R Ja Ja Ja 3.40(FN.0) Default
Prestige 652H Ja Ja ?? ??? ???
Prestige 681 serie Nee Nee Nee n.v.t. n.v.t.
ZyWALL 1 Ja Ja Nee 3.50(WD.4) Default
ZyWALL 2 Ja Ja Nee ?? Default
ZyWALL 10 Ja Ja Nee 3.50(WA.2) Default
ZyWALL 10W Ja Ja Ja 3.50(WH.0)B7 Default
ZyWALL 50 Ja Ja Nee 3.50(WC.0) Default
ZyWALL 100 Ja Ja Nee 3.50(WB.4) Default
ZyAIR B-2000 Ja Ja Ja 3.50(hb.0) Default



Hoe moet ik VPN-pass-through instellen?

In het onderstaande voorbeeld worden de instellingen van VPN-pass-through weergegeven in een ZyXEL Prestige 202 ISDN router. Andere routers zijn op een soortgelijke manier te configureren, maar gebruiken soms een andere poortinstelling.

IPsec AH of transportmode, IPsec over L2TP wordt uiteraard niet ondersteund, deze protocollen kunnen niet tegen adrestranslatie.

De instelling gaat er van uit dat uw router correct is ingesteld voor het bereiken van het internet. De juiste procedure verschilt per router en vaak ook per provider, maar wordt hier bekend verondersteld.

Maak een verbinding naar de router met Telnet, of via een Seriele aansluiting..


Password: 1234

Het wachtwoord van de router is 1234 tenzij u dit anders heeft ingesteld. 

              Copyright (c) 1994 - 2000 ZyXEL Communications Corp.

                     Prestige 202 DSS1 Main Menu

     Getting Started                      Advanced Management
       1. General Setup                     21. Filter Set Configuration
       2. ISDN Setup                        22. SNMP Configuration
       3. Ethernet Setup                    23. System Security
       4. Internet Access Setup             24. System Maintenance

     Advanced Applications                  26. Schedule Setup
       11. Remote Node Setup
       12. Static Routing Setup
       13. Default Dial-in Setup
       14. Dial-in User Setup
       15. NAT Setup                        99. Exit




                          Enter Menu Selection Number: 15

ga nu naar menu 15.

                Menu 15 - NAT Setup

             1. Address Mapping Sets
             2. NAT Server Sets


         Enter Menu Selection Number: 2

Kies voor optie nr 2
                 Menu 15.2 - NAT Server Sets

           1. Server Set 1 (Used for SUA Only)
           2. Server Set 2
           3. Server Set 3
           4. Server Set 4
           5. Server Set 5
           6. Server Set 6
           7. Server Set 7
           8. Server Set 8
           9. Server Set 9
          10. Server Set 10

       Enter Set Number to Edit: 1

In dit voorbeeld gebruiken we regel 1. Tik 1 in en [Enter] 

         Menu 15.2.1 - NAT Server Setup (Used for SUA Only)


         Port #         IP  Address
         ------       ---------------
       1. Default       192.168.2.2
                        WAN IP-adres wat de VPN router gaat krijgen
                        (dit is mogelijk niet langer noodzakelijk)
       2. 500           192.168.2.2
                        WAN IP-adres wat de VPN router gaat krijgen
                        (dit moet ook voor clients?)
       3. 0             0.0.0.0
       4. 0             0.0.0.0
       5. 0             0.0.0.0
       6. 0             0.0.0.0
       7. 0             0.0.0.0
       8. 0             0.0.0.0
       9. 0             0.0.0.0
      10. 0             0.0.0.0
      11. 0             0.0.0.0
      12. 0             0.0.0.0

          Press ENTER to Confirm or ESC to Cancel:

U komt weer terug in het hoofdmenu
ga nu naar menu 3.
                    Menu 3 - Ethernet Setup

              1. General Setup
              2. TCP/IP and DHCP Setup

             Enter Menu Selection Number: 1

Kies voor optie 1
               Menu 3.2 - TCP/IP and DHCP Ethernet Setup

               DHCP Setup
                DHCP= None
                Client IP Pool Starting Address= N/A
                Size of Client IP Pool= N/A
                Primary DNS Server= N/A
                Secondary DNS Server= N/A
                Remote DHCP Server= N/A

              TCP/IP Setup:
               IP Address= 192.168.2.1
               IP Subnet Mask= 255.255.255.0
               RIP Direction= Both
               Version= RIP-1

               Edit IP Alias= No

             Press ENTER to Confirm or ESC to Cancel:

De verbinding gaat nu verloren. Sluit de VPN router aan op de LAN poort van de Prestge 202 en controleer dat het LAN lampje brand. Daarna kunt u de VPN router gaan instellen.