Configuratie ZyWALL router en ZyWALL RSC (Remote Security Cliënt)


referentie Z134B


Dit document is bedoeld om gebruikers van een ZyWALL Remote Security Cliënt een VPN verbinding op te laten bouwen met een ZyWALL router.
We doen twee aannames:
  1. Mensen moeten vanaf verschillende Iocaties met niet van te voren bekende publieke IP-adressen verbinding kunnen maken
  2. We willen zo min mogelijk verschillende dingen in de VPN cliënt instellen.
Stappen:
Router configureren
RSC software installeren
RSC configureren
Opmerkingen
Relevante links

Router configureren

Zie hiervoor de instructies onder:
Greenbow router instellen.
De basisinstellingen van de router zijn voor Greenbow en ZyWALL RSC identiek.

ZyWALL VPN cliënt installeren

Doe de CD-ROM van de ZyWALL Remote Security Client in de CD romspeler. De CD-ROM is zelfstartend en opent na enige seconden vanzelf met het installatie scherm. Indien dit niet gebeurt ga dan met behulp van de verkenner naar de inhoud van de CD-ROM en dubbelklik op het bestand


Na enge momenten opent alsnog het hoofdscherm:



Klik op Install



Klik op Next



U kunt hier de bepalingen van de gebruikerslicentie van het programma doorlezen. Klik hierna op Yes om de installatie voort te zetten



Kies voor de optie Typical en klik daarna op Next



Klik ook in het volgende venster op Next. Nu kan de computer enige tijd bezig zijn met het installeren van de verschillende componenten van het programma.



Na enige tijd verschijnt vanzelf de onderstaande afbeelding:



Klik op Finish (volgende) om de installatie te voltooien.


Configuratie ZyWALL VPN cliënt

Na de herstart van de compuyter verschijnt in de balk een nieuw icoontje in de vorm van een witte S op een geen/blauwe achtergrond.
Dubbelklik op dit icoon om de cliënt te starten:



Dit start de security policy editor op. In het volgende voorbeeld is gekozen voor een configuratie welke een zo gering mogelijk aantal instellingen vereist.



Klik op "Edit", dan op "Add" en dan op Connection zoals hierboven.



Klik op "New Connection" en configureer deze volgens het bovenstaande voorbeeld.
Het laatste getal "100.100.100.100" is een voorbeeld. Gebruik hiervoor
het publieke ip adres van de andere kant

Klik op de "+" voor New connection en klik op "My Identity"



Kies vervolgens bij "Select Certificatie" voor "None" en klik op
de knop "Pre-shared key" daar vlak boven.



Klik op de knop "Enter Key" en vul in de regel de sleutel van de verbinding in.
Deze moet uit minstens 8 tekens. Klik op "OK" om de code in te voeren.

Vul de overige gegevens onder "My Identity" in n.a.v. het onderstaande plaatje.




Kies onder Internet interface de optie welke overeenkomt met de instellingen van de computer. Meestal zal hier maar een optie mogelijk zijn. Hierna verschijnen op twee plaaten onde IP adress het IP adres van deze computer. In dit voorbeeld was dit 192.168.1.35.

Klik op "Security Policy"



Neem de instellingen uit bovenstaand voorbeeld over.

Klik op de "+" bij "Security Policy".
Klik op de "+" onder Authentication (Phase 1).

Kik vervolgeens op "Proposal 1".



Neem de instellingen uit het bovenstaande scherm over.
Neem bij ### de instellingen over welke overeenkomen met de andere kant (Diffie-Helman 1, 2 of none)
Klik op de "+" onder Key Exchange (Phase 2)
en configureer Proposal 1.



Neem bovenstaande instellingen over.
Klik vervolgens op "File" (linksboven in de taakbalk) en vervolgens op "Save".
Herstart de VPN cliënt computer.


Opmerkingen

  1. Het opbouwen van de verbinding is geheel transparant. Wanneer de cliënt werkt (dus het pictogram in de taakbalk staat) en je een verbinding probeert te maken met een IP-adres in het VPN-LAN wordt de verbinding automatisch opgezet.
  2. Tijdens het verbonden zijn met de VPN is het gewone netwerk en/of Internet verkeer niet geblokkeerd. Dit is veiliger (maar ook langzamer) te maken door al het verkeer via de VPN verbinding te forceren door een 0.0.0.0 masker te gebruiken.
  3. Tenzij er WINS, een bedrijfs DNS (waar alle interne namen bekend zijn), of LMHOSTS bestanden op de lokale computer worden gebruikt, kunnen computers aan de andere kant van de VPN alleen op IP-adres en niet op naam worden bereikt.
  4. Het inloggen op Windows servers en Samba servers (op IP-adres) kan als (door de ZyXEL Netbios over IP door de VPN wordt doorgelaten).
  5. Gebruik geen overlappende bereiken. Dus als bijvoorbeeld de ZyWall achter een Speedtouch met IP-adres 10.0.0.138 zit, dan niet ook aan de kant van de VPN-cliënt een 10.0.0.x adres gebruiken. Dan raakt de ZyWall de weg kwijt.
  6. Waneer er wel een verbinding tot stand komt, maar er geen data door komt (gebruikmakend van IP-adressen), dan kan het liggen aan het niet correct doorlaten of doorsturen van IPsec door een tussenliggende router.
  7. ZyWALL VPN cliënt blijft (onder Windows XP) werken ook als je de Firewall voor Internet-verbindingen inschakelt (via Eigenschappen netwerkkaart - Tabblad Geavanceerd). Dit inschakelen is zeer nadrukkelijk aan te raden! Het inschakelen van de TCP/IP-filtering heeft ook geen nadelige effecten, tenmiste tot je instelt dat de computer niets accepteerd. Want dan accepteert de computer ook echt niets meer.
  8. ZyWALL VPN cliënt werkt alleen door routers welke IPsec pass-through ondersteunen.
  9. Indien ZyWALL VPN cliënt automatisch een VPN verbinding opstart, maar niet "door" de router komt blijft het aangegeven IP-adres wel onbereikbaar voor andere vormen van VPN. De-activeer daarom ZyWALL VPN cliënt indien u gebruik wenst te maken van een andere VPN verbinding.
  10. De ZyWALL Remote Security Client herkent vanaf versie 10.3.3 build 4 (minstens tot de huidige versie 10.7.1 build 10) automatisch NAT-traversal
Mocht het niet lukken, dan staan in vpndebug.html veel tips en de gegevens die nodig zijn om u te kunnen helpen.

Relevante links:

Telnet
Serieële toegang
Vpn verbindingen debuggen
sales@valadis.nl