Dit document biedt richtlijnen om met een ZyWALL USG of ZyWALL 1050, hierna "USG" te noemen, een VPN verbinding in te stellen.
Er wordt van de default-configuratie uitgegaan (poort- ,interface- en zone-toewijzingen niet gewijzigd). Het document bestaat uit de volgende onderdelen:

1: Voorbereidingen
2: Instellen van de USG
3: Als het niet lukt

1: Voorbereidingen

1. Zorg ervoor dat u vanuit beide kanten het internet kunt benaderen.
2. Het modem vóór de USG moet in "bridge mode" staan of VPN Passthrough ondersteunen. Dit geldt ook voor de andere kant. Site-to-Site IPSec VPN's achter NAT worden, tenzij het écht niet anders kan, afgeraden.
3. U bent bekend met de exacte netwerkarchitectuur aan beide kanten van de verbinding. Teken deze uit in een overzicht (netwerktopologie), zodat u de verschillende adressen niet door elkaar kunt halen. Het gaan met name om:
   • Het publieke (WAN) IP adres van de USG waarop u de verbinding instelt.
   • Het publieke (WAN) IP adres van de VPN-router aan de andere kant.
   • Het netwerk aan de andere kant. IP-range en subnet, en evt. het IP-adres van de computer waarmee een verbinding wordt gezocht. De IP-adressen aan weerszijden van de verbinding dienen elkaar niet te overlappen.
   • De VPN instellingen welke aan weerskanten worden gebruikt, met name
     • De gebruikte naam en versleuteling.
     • type VPN encryptie, autorisatie en key exchange.

2: Instellen van de USG

2.1 Toegang tot de router

Zoek toegang tot de router door middel van de web configurator. Het uitvoeren van de instellingen kan zowel via de Wizard als met de hand, voor uw gemak verdient het aanbeveling om de Wizard te gebruiken (3 hoofd-stappen). 

Ga naar het Configuration menu en klik op "Quick Setup" zoals aangegeven:

U krijgt het volgende scherm te zien:

Klik op VPN Setup en in het daaropvolgende scherm op "Next" (schermafdruk niet getoond).

U krijgt vervolgens het volgende scherm te zien:

 

Geef de verbinding een duidelijke/logische naam en klik op "Next".

Vul in bij:

Het WAN IP adres van de "andere kant".

Deze instelling moet overeenkomen met de versleuteling aan de andere kant. Kies ( in oplopende graad van beveiliging) voor DES, 3DES, AES128, AES192 of AES256.

Net als bij de vorige instelling moet de keuze voor SHA1 of MD5 overeenkomen met de andere kant.

Een instelling voor de eerste fase van de onderhandelingen over het opkomen van een VPN verbinding. Net als bij Encryption en Authentication Algorithm moet deze keuze overeenkomen met de instellingen aan de andere kant.

Dit geeft een aantal seconden weer tussen de 180 en 3000000. Na het verstrijken van dit aantal seconden verbreekt de USG even kortstondig de verbinding en her-onderhandelt de parameters. Een lage SA Lifetime is veiliger, maar zorgt voor een vaker onderbroken verbinding(hick-up). 28800 is een vaak gebruikt compromis.

Indien de VPN moet worden opgezet door een andere router heen is deze optie vereist, aangezien een router de adressen van een VPN IP pakketje zodanig verandert dat het anders niet aankomt. Hiervoor moet aan drie voorwaarden worden voldaan:
   1: De verbinding moet gebruik maken van ESP security mode
   2: De verbinding moet gebruik maken van IKE Keying mode
   3: Op beide routers moet NAT traversal aan staan. De laatste versies van TheGreenBow VPN Client en de ZyWALL IPSec VPN client herkennen NAT traversal automatisch.

Deze optie zorgt d.m.v. een speciaal mechanisme ervoor dat deUSG via een vast schema kijkt of de andere kant nog antwoord geeft om zo een eventuele “spooktunnel” te voorkomen.

Vul hier de sleutel in welke met de andere kant wordt gedeeld. Iedere VPN verbinding moet een unieke Pre-Shared Key hebben.
Een Pre-Shared Key is minimaal 8 en maximaal 31 tekens lang.

Klik op Next. De volgende stap verschijnt:

Standaard ESP , AH komt minder vaak voor. Moet overeen komen met de instellingen aan de andere kant van de VPN tunnel.

Tunnel mode komt het vaakst voor en is nodig voor "complete" verbindingen tussen de twee netwerken. Het hele IP pakket wordt versleuteld en door de VPN tunnel heen en weer gezonden.Transport mode is wat beperkter aangezien het begin en het einde van de pakketjes niet mee worden versleuteld en wordt veelal alleen bij L2TP-over-IPSec verbindingen gebruikt.

Instellingen moeten overeen komen met de andere kant van de tunnel

Hetzelfde verhaals als bij de eerste Fase. Dit geeft een aantal seconden weer tussen de 180 en 3000000. Na het verstrijken van dit aantal seconden verbreekt de USG even tijdelijk de verbinding en her-onderhandelt de parameters. Een lagere SA lifetime is veiliger, maar zorgt voor een vaker onderbroken verbinding. 28800 is ook hier een vaak gebruikt compromis.

Dit staat standaard op "None". U kunt kiezen voor DH1, DH2 of DH5. Een hogere waarde kost snelheid, maar is veiliger. Instellingen moeten overeen komen met de andere kant van de verbinding.

Vul hier het lokale subnet van de USG in. (In dit voorbeeld van het LAN1)

Vul hier het subnet van de andere kant in.

Klik op Next. De laatste stap verschijnt:

Heeft u aan de andere kant ook een USG staan, dan kunt u de gegevens onder “Configuration for Secure Gateway” overnemen om de configuratie voor die kant in 1 keer in te lezen via de CLI (Command Line Interface).

Let op! dit werkt alleen bij een ZyWALL USG of ZyWALL 1050. Heeft u aan de andere kant een ander type VPN-apparaat dan moet deze met de hand geconfigureerd worden.

Klik op “Save”. Een overzicht als hieronder verschijnt:

Klik op “Close” om de wizard af te sluiten. Mits de andere kant ook is geconfigureerd zou u nu een werkende IPSec VPN moeten hebben.

3: Als het niet lukt....

Indien het u niet lukt om de VPN verbinding tot stand te brengen kan dit meerdere oorzaken hebben: problemen met de hardware, de instellingen of de internet verbinding zelf. Voor een overzicht van de meest voorkomende oorzaken zie: VPN Problemen

Voor gedetailleerde informatie om IPSec VPN-problemen op te lossen zie: VPN Debug-pagina. Dit laatste document bevat ook aanwijzingen voor het per email raadplegen van de supportafdeling (alleen voor wederverkopers van Valadis).