ZyXEL ZyWALL: Via een VPN naar een andere IP segment.
referentie Z208B
Dit document beschrijft de stappen die nodig zijn om een extra segment bereikbaar te maken.
In het voorbeeld zijn er drie netwerken.
Het centrale netwerk LAN-1.
Een bijkantoor LAN-2.
En een netwerk LAN-3 waarmee via router-1b die NAT doet wordt verbonden.
De volgende zaken moeten geregeld worden:
Statische routering toevoegen: (Let op, dit heeft betrekking op het routeren op het LAN en niet de VPN!) Router-1a is de default gateway van LAN-1. Dus LAN-3 is alleen te bereiken door, of in elk van de computers in LAN-1 een statische routering aan te brengen naar LAN-3 via router-1b, of in router-1a een statische routering aan te brengen naar LAN-3 via router-1b. Dat laatste is het minste werk en is dus aan te raden. Daarnaast is het laatste noodzakelijk als we LAN-2 met LAN-3 willen laten communiceren via LAN-1.
VPN tunnels aanmaken in router-1a en 2:
Afhankelijk van de gebruikte apparatuur zijn er voor het "routeren" van het verkeer van de verschillende netwerken door de VPN 3 methoden voor:
Met Prestige routers (of ZyWALL routers met firmware versies 3.63 of lager) moet er voor elk te routeren netwek (combinatie) een aparte VPN worden aangemaakt. In router-1a en router-2 moet dus een tunnel worden aangemaakt met als bereiken LAN3 en LAN2. Voor router-2 is LAN-3 het remote bereik, LAN-2 (uiteraard) het lokale bereik en voor router-1a is het net andersom. Let er op dat de PSK (Pre-Shared Key) en andere fase 1 en 2 instellingen voor deze VPN gelijk moet zijn aan eventuele andere VPN's tussen router-1a en router-2. (Alle tunnels tussen deze routers zullen normaliter dezelfde Secure Gateway en My IP-address gegevens hebben. Effectief verschillen alleen de remote (LAN) IP gegevens bij router-2 en de local (LAN) IP gegevens in de VPN profielen!)
Deze firmwares ondersteunen (alleen) "rule based" VPN's. Dat betekent dat de routeringen impliciet door de ingestelde VPN rules afgedwongen. Het is daardoor niet mogelijk om een statische route door een VPN te laten lopen. Dat kan dus alleen worden gedaan door een VPN tunnel aan te maken.
Met ZyWALL routers (met firmware versies 3.64 of hoger) moet er - omdat deze ook (zie vorige punt) alleen "rule based" VPN's ondersteunen - voor elk te routeren netwerk (combinatie) aan de gateway policy een network policy worden toegevoegd. Zie VPN tussen twee ZyWALLs.
Met de ZyWALL 1050 routers moet er - omdat deze alleen "route based" VPN's ondersteunen - na het aanmaken van de tunnel er routeringen worden toegevoegd om netwerken daadwerkelijk over de tunnel te routeren. Bij het gebruik van de wizard worden de noodzakelijke routeringen automatisch toegevoegd. Bij deze modellen moeten de routeringen dus expliciet worden ingsteld.
Mocht de verbinding tussen router 1b en 3 zonder NAT plaatsvinden, dan moet in router 3 een statische routering worden gemaakt naar LAN-2 via router-1b als het een transparante verbinding is (bijvoorbeeld een LAN-LAN verbinding tussen twee ISDN-routers), of als het ook weer een VPN is tussen twee ZyWall's dan moet er een VPN tunnel profiel worden aangemaakt met de gegevens van LAN-2 en LAN-3.
