Dit document is bedoeld om gebruikers van een GreenBow VPN Client een VPN verbinding op te laten bouwen met een op ZLD-firmware gebaseerde ZyWALL firewall. Dit zijn de ZyWALL 1050 en de ZyWALL USG-serie.
Er wordt van uit gegaan dat de GreenBow VPN Client reeds geïnstalleerd is. Voor de installatie-instructies kunt u ook kijken op de vergelijkbare GreenBow VPN Client-supportpagina voor de overige ZyXEL produkten (ZyNOS-firmware gebaseerd).

We doen drie aannames en een bepaling:

1. Mensen moeten vanaf verschillende locaties, met niet van tevoren bekende publieke IP-adressen, verbinding kunnen maken.
2. We willen zo min mogelijk verschillende zaken in de VPN Client instellen.
3. In dit voorbeeld heeft de ZyWALL als WAN-IP adres 192.0.2.1, normaliter is dit het publieke IP-adres waarop de ZyWALL te bereiken is.
4. Verder staat de ZyWALL in dit voorbeeld op fabriekswaarden, dus het LAN(1)-bereik staat ingesteld op het 192.168.1.0/24 subnet.

1: ZyWALL 1050/USG configureren

De instellingen hieronder werken met de ZyWALL 1050 en de gehele USG-serie en gaan uit van de V2.20-firmware of hoger.

Ze zijn te bereiken via de ingebouwde Web configurator van de ZyWALL.

1.1 Controleer eerst het WAN-IP-adres van de ZyWALL via de Dashboard-pagina en noteer deze:




1.2 Gebruik de Wizard om een nieuwe VPN aan te maken. Klik via het Configuration-menu op "Quick Setup":

1.3 Klik op "VPN Setup" (zie boven) en vervolgens op "Next" (zie hieronder):



1.4 Selecteer "Advanced" en klik op "Next":

1.5 Geef de VPN tunnel een naam en kies voor de optie "Remote Access (Server Role)". Klik vervolgens op "Next":



1.6 Neem de instellingen over zoals hieronder aangegeven en geef de Pre-Shared Key in (12345678 in dit voorbeeld).
Klik vervolgens op "Next":



1 Schakel NAT-Traversal alleen in wanneer één van beide zijden achter een NAT-router zit (die geen ESP-pakketten doorlaat).
Zie ook opmerking 7 onderaan deze pagina.

1.7 Neem de instellingen over zoals hieronder aangegeven en klik op "Next":



1.8 Klik in het volgende scherm op "Save" om de VPN-configuratie op te slaan:



1.9 Controleer in het volgende scherm de ingegeven instellingen en klik op "Close". De VPN Wizard wordt gesloten:


Log vervolgens netjes uit, de configuratie van de ZyWALL is nu klaar;
De benodigde VPN-regels, Adres-objecten en Route-informatie zijn automatisch aangemaakt.

2: Configuratie TheGreenBow Client

We zijn gegaan voor een instelling (in de ZyWALL) die zo min mogelijk wijzigingen bij de VPN Client vereist.
De screenshot's zijn gebaseerd op de meest actuele versie op het moment van schrijven (V5.10)

1. Dubbelklik op het pictogram van TheGreenBow VPN Client in de taakbalk van Windows.
   
   
2. Klik met rechts op VPN Configuratie en kies voor Nieuwe Fase 1:
   
   
   
   
3. Configureer de eerste fase:
   
   
   
   
   • Geef een naam voor de verbinding in (optioneel, deze mag standaard gelaten worden of kies, door met de rechtermuis-toets op de naam te klikken, een voor u logische naam).
   • Interface instellen op "Elke" zodat mensen die steeds andere LAN of inbel-IP-adressen krijgen dit niet steeds hoeven te wijzigen. (*Elke* gebruiken kan problemen geven als er meerdere actieve netwerkinterfaces beschikbaar zijn, dan moet het juiste IP-adres wel worden ingesteld.)
   • Externe Gateway invullen, dat mag een IP-adres, vast of dyndns URL zijn (192.0.2.1 is het WAN-adres van de ZyWALL in dit voorbeeld, dat we eerder hebben genoteerd).
   • Pre-Shared Key invullen (12345678 in dit voorbeeld)
   • Klik als laatste op "Opslaan".
   
   
4. Klik met rechts op de aangemaakte verbinding en kies Nieuwe Fase 2:
   
   
   
   
5. Configureer de tweede fase:
   
   
   
   
• Zet het "VPN Client adres" op 1.2.3.4, of een ander ongebruikt (niet geldig) lokaal ip adres, zodat het IP-adres van de computer waarop de VPN-Client draait wordt gebruikt
  (dat is geen probleem bij inbelverbindingen of netwerken met unieke bereiken), of stel zelf een virtueel IP-adres in. In de "SA monitor" van de ZyWALL ziet u het door de Client gebruikte IP-adres verschijnen.
  Let op: bij het (gelijktijdig) gebruik van meerdere VPN-Clients die verbinding maken naar dezelfde ZyWALL moeten deze adressen uniek zijn en mogen deze elkaar niet overlappen teneinde het verbreken van de als eerste verbonden tunnel te voorkomen. (Gebruik voor de 2e Cliënt bijv. 1.2.3.5, de daarop volgende 1.2.3.6 etc.)
• Kies voor subnet en stel het Subnet masker correct in (255.255.255.0 in dit voorbeeld).
• Stel het "Netwerk Address" in van het VPN LAN bij Extern LAN adres (192.168.1.0 in dit voorbeeld).
• Klik als laatste op "Opslaan" & "Toepassen".
  


6. U kunt hierna de VPN-verbinding tot stand te brengen door "Ctrl+O" te toetsen, middels de rechtermuisknop op de tweede fase te klikken, of een machine op het VPN LAN aan te roepen om de verbinding automatisch op te bouwen.
   (zie opmerking 1)

Opmerkingen

1. Het opbouwen van de verbinding is geheel transparant. Wanneer de Client werkt (dus het pictogram in de taakbalk staat) en je een verbinding probeert te maken met een IP-adres in het VPN-LAN wordt de verbinding automatisch opgezet.
2. Tijdens het verbonden zijn met de VPN is het gewone netwerk en/of Internet verkeer niet geblokkeerd. Dit is veiliger (maar ook langzamer) te maken door al het verkeer via de VPN verbinding te forceren door een 0.0.0.0 masker te gebruiken.
3. Tenzij er WINS, een bedrijfs DNS (waar alle interne namen bekend zijn), of LMHOSTS bestand op de lokale computer wordt gebruikt, kunnen computers aan de andere kant van de VPN alleen op IP-adres en niet op naam worden bereikt.
4. Het inloggen op Windows servers en Samba servers (op IP-adres) kan, als door de ZyWALL Netbios over IP door de VPN wordt doorgelaten.
5. Gebruik geen overlappende bereiken. Dus als bijvoorbeeld de ZyWALL achter een Speedtouch met IP-adres 10.0.0.138 zit, dan niet ook aan de kant van de Greenbow VPN-Client een 10.0.0.x adres gebruiken. Dan raakt de ZyWALL en/of de VPN Client de weg kwijt.
6. Wanneer er wel een verbinding tot stand komt, maar er geen data door komt (gebruikmakend van IP-adressen), dan kan het liggen aan het niet correct doorlaten of doorsturen van IPsec door een tussenliggende router. (Controleer of de tussenliggende routers wel ESP-pakketjes doorlaten, lees: of deze wel IPSec pass-through zijn)
7. De GreenBow VPN Client ondersteunt standaard automatisch "NAT Traversal" maar dit is te forceren of juist expliciet te blokkeren in de geavanceerde instellingen voor Fase 1.
   Wanneer zowel de ZyWALL als TheGreenBow VPN Client niet achter een NAT-router zitten en NAT Traversal wel aan staat aan beide zijden, kunt u de volgende foutmelding verwachten in
   de logs van de ZyWALL: "error IPSec SPI:0x0 SEQ:0x0 No rule found". Deze melding heeft verder geen invloed op de correcte werking van de tunnell en kunt u dus negeren.
8. TheGreenBow VPN Client blijft werken, ook als je de Firewall voor Internet-verbindingen inschakelt (onder bijv. Windows XP via Eigenschappen netwerkkaart - Tabblad Geavanceerd). Dit inschakelen is zeer nadrukkelijk aan te raden! Het inschakelen van de TCP/IP-filtering heeft ook geen nadelige effecten, tenmiste tot je instelt dat de computer niets accepteert. Want dan accepteert de computer ook echt niets meer. Onder Windows Vista dient u mogelijk "tgbike.exe" toe te staan de netwerkverbinding te gebruiken.
9. TheGreenBow VPN Client werkt alleen door routers welke IPsec pass-through zijn of in het andere geval NAT Traversal toestaan. In de meeste gevallen zult u dan wel succesvol een VPN tunnel kunnen opbouwen.
10. Indien TheGreenBow VPN Client automatisch een VPN verbinding opstart, maar niet "door" de router komt blijft het aangegeven IP-adres wel onbereikbaar voor andere vormen van VPN.
    Deactiveer daarom TheGreenBow VPN Client indien u gebruik wenst te maken van een andere VPN verbinding.
11. Mocht het niet lukken, dan staan in onze vpndebug.html veel tips en de gegevens die nodig zijn om u te kunnen helpen.
12. TheGreenBow VPN Cliënt is werkend getest in combinatie met Windows 2000, Windows XP (SP3), Windows Vista en Windows 7.
13. De instelling DH1024 in Greenbow komt overeen met DH2 bij het instellen van de ZyWALL. (DH768 komt overeen met DH1.) In de nieuwste versies van de TheGreenBow VPN Client staat zowel DH2 als "(1024)" aangegeven.
14. Veel gebruikers van TheGreenBow VPN Client maken zowel thuis als op het werk gebruik van dezelfde laptop. Dan kan het voorkomen dat de laptop op het werk het eigen netwerk niet ziet. In de thuissituatie zal automatisch een VPN verbinding worden opgezet op het moment dat er verkeer naar het remote LAN wordt gegenereerd. Is men echter op de zaak: dan wil men juist niet dat er een VPN tunnel wordt opgezet. De VPN connectie wordt echter automatisch opgestart omdat er verkeer wordt gegenereerd, dit is onbedoeld en ongewenst. Dit verkeer zal het LAN immers nooit bereiken.
    Men kan er voor kiezen TheGreenBow VPN CLient niet automatisch, maar handmatig op te laten starten (bijvoorbeeld via een icoon op de desktop). Dit is in te stellen onder "Extra" > "Opties", tabblad "Algemeen".
15. Tegenwoordig zijn de standaard SA lifetimes voor zowel Fase1 als Fase2 default op 3600. Pas deze bij voorkeur aan naar 1800 en 1200 voor resp. Fase1 en Fase2 uit veiligheidsoverwegingen.

Relevante links: