In dit voorbeeld wordt de SSL10 in de DMZ zone van de Prestige
geplaatst. De WAN-poort van de SSL10 moet daarvoor aangesloten
worden op de DMZ-poort van de Prestige.
Registreer de SSL10 bij MyZyXEL.com.
De WAN-poort van de SSL10 moet geconfigureerd zodat deze in hetzelfde subnet zit als de DMZ-zone van de Prestige.
Stap
1.1
De instellingen van de WAN van een SSL10 staan in System
> WAN. Stel IP Adress Assignment
in op "Static".
Stap 1.2
Vul bij My WAN IP Address en My WAN IP
Subnet Mask het WAN IP-adres van de SSL10 en bijhorende
subnetmasker in. In dit voorbeeld wordt het IP-adres en
subnetmasker van de SSL10: 192.168.2.2/255.255.255.0
Stap 1.3
Vul bij Gateway IP Address het DMZ IP-adres in
van de Prestige. In dit voorbeeld is het DMZ IP-adres van de
router 192.168.2.1
Stap 1.4
Vul bij First DNS Server een DNS-server in die
bereikbaar is voor de SSL10. Bijvoorbeeld een DNS-server van de
ISP. In dit voorbeeld wordt als DNS server opgegeven: 82.37.212.59
Stap 1.5
Klik op Apply om de wijzigingen op te slaan.
Wanneer een SSL10 in de DMZ-poort gezet wordt worden de LAN-poorten van de SSL10 niet gebruikt. De LAN-poort moet wel voorzien zijn van een IP-adres dat niet mag conflicteren met de rest van het netwerk. Het beste is om de LAN-poort een niet bestaand IP-adres te geven. De LAN-poort moet in deze opstelling niet aangesloten te worden.
Stap
2.1
De instellingen van de LAN van een SSL10 zijn te vinden in System
> LAN . Vul bij IP Address
en Subnet Mask het IP-adres en bijhorende subnetmasker in voor de
LAN van de SSL10.
Stap 2.2
Stel het DHCP-pool bij, zodat deze binnen het subnet van de LAN
van de SSL10 bevindt.
Stap 2.3
Klik op OK om de wijzigingen op te slaan.
De DMZ-zone van de Prestige moet eerst ingesteld worden.
Stap
3.1
De DMZ van een Prestige kan ingesteld worden via Network
> DMZ. Select bij "LAN1/BMZ"
Port Function de optie DMZ om de LAN-poort
1 te veranderen naar een DMZ-poort.
Stap 3.2
Configureer het DMZ IP-adres en netwerkmasker voor de DMZ van de
router. In dit voorbeeld wordt het IP-adres 192.168.2.1 genomen
met subnetmasker 255.255.255.0.
Stap 3.3
Aangeraden wordt om RIP Direction in te stellen
op "None".
Stap 3.4
Indien er door de SSL VPN tunnel gebruik gemaakt gaat worden van
Windows Networking, moet de optie Windows Networking (NetBIOS
over TCP/IP) de optie Allow between DMZ and LAN
(You also need to create a firewall rule!) aangevinkt
worden.
Stap 3.5
Kies op Apply om de wijzigingen op te slaan.
Wanneer de WAN-poort van de SSL10 aangesloten wordt op de DMZ-poort van de SSL10 moet de SSL10 Internet hebben. Dit kan gecontroleerd worden door een computer aan te sluiten op een LAN-poort van de SSL10. De computer krijgt een IP-adres van de SSL10 en moet het Internet kunnen bereiken.
De SSL10 moet via poort 443 beschikbaar gesteld worden aan het Internet. Een andere poort gebruiken is niet mogelijk.
Stap
4.1
Ga naar Network > NAT en kies vervolgens het
tabblad Port Forwarding.
Stap 4.2
Selecteer bij Service Name de optie HTTPS
aan.
Stap 4.3
Geef bij Server IP Address. En klik op Add
om de poortforwarding aan te maken.
Stap 4.4
Kies op Apply om de wijzigingen op te slaan.
Een Prestige gebruikt voor remote management via
HTTPS standaard poort 443.
Om conflicten te voorkomen moet
deze veranderd worden.
Stap
4.5
Ga naar Advanced > Remote MGMT. Onder
HTTPS, verander "443" naar naar een
andere poort nummer die niet ingebruik is. In dit voorbeeld wordt
deze veranderd naar 4443.
Stap 4.6
Kies Apply om de wijzigingen op te slaan.
Via een externe verbinding moet de SSL10 bereikbaar zijn op het WAN IP-adres van de Prestige op poort 443.
Allereerst moet er een gebruiker aangemaakt worden.
Stap 5.1
Log in op de SSL 10.
Ga in de SSL10 naar User/Group. Klik op het Add-icoon
om een nieuwe gebruiker toe te voegen.
Stap
5.2
Vul bij User Name, Password en Re-Type
Password het gebruikersnaam en wachtwoord van de nieuwe
gebruiker in. In dit voorbeeld wordt de gebruiker "gebruiker01"
aangemaakt.
Stap 5.3
Klik op Ok. De gebruiker zal vervolgens
aangemaakt worden.
Nu er een gebruiker is aangemaakt, moeten de instellingen van de SSL VPN ook geconfigureerd worden. We beginnen met de Remote User IP-pool. De Remote User IP-pool wordt gebruikt om een IP-adres toe te kennen aan de client computers. Deze moet een uniek subnet zijn en mag niet voorkomen bij de kant van de Prestige en bij de kant van de client computer.
Stap 5.4
Remote User IP-pools worden ingesteld in Object
> Remote User IP in de SSl10. Klik op de Add-icoon
om een nieuwe Remote User IP-pool aan te maken.
Stap 5.5
Vul bij Name de naam die toegekend moet worden
aan de Remote User IP-pool. In dit voorbeeld is gekozen voor
"tunnel".
Stap 5.6
Selecteer het type Remote User IP-pool. In dit voorbeeld wordt
een complete subnet gebruikt.
Stap 5.7
Omdat er voor "Subnet" is gekozen, moet het
netwerkadres en subnetmasker ingevuld worden. In dit voorbeeld
wordt het subnet 10.0.0.x gebruikt met 254 hosts. Het
netwerkadres en subnetmasker wordt dus: 10.0.0.0/255.255.255.0.
Stap 5.8
Indien er gebruik gemaakt gaat worden van interne domeinnamen,
vul bij Primary DNS het IP-adres van de DNS
server die de interne domeinnamen kan omzetten. In dit voorbeeld
wordt er geen gebruik gemaakt van een dergelijk DNS server en is
daarom leeg gelaten.
Stap 5.9
Indien er een WINS-server gebruikt wordt om NetBIOS hostnamen
omzet, vul bij WINS Server het IP-adres van de
server in. In dit voorbeeld wordt er geen gebruik gemaakt van een
WINS-server en is daarom leeg gelaten.
Stap 5.10
Klik op Ok om de wijzigingen door te voeren.
Vervolgens moet het eindbestemming van de SSL VPN geconfigureerd worden. In dit voorbeeld is de LAN-subnet de eindbestemming. Het VPN-netwerk moet dus overlappen met het LAN-subnet van de Prestige.
Stap 5.11
Klik op het Add-icoon om een nieuwe VPN-netwerk aan te maken. Een
VPN-netwerk wordt in de SSl10 ingesteld in Object
> VPN Network.
Stap 5.12
Vul bij Name een naam in voor het VPN-netwerk.
Stap 5.13
Vul bij Private Network en Private
Netmask het netwerk-adres van de bestemming van de SSL
VPN. In dit voorbeeld is het LAN van de router de bestemming van
de SSL VPN. Het LAN IP-adres van de router is in dit voorbeeld
192.168.1.1 met 254 hosts. Het netwerkadres en netwerkmasker is
daarom 192.168.1.0/255.255.255.0.
Stap 5.14
Klik op Ok om het VPN-netwerk aan te maken.
De gebruiker(s), Remote User IP en VPN netwerk moeten vervolgens met elkaar gekoppeld worden door een SSL policy aan te maken.
Stap 5.15
SSL Policies worden aangemaakt in de SSL10 in SSL
in het hoofdmenu. Kies daar op het Add-icoon om een nieuwe policy
aan te maken.
Stap 5.16
Vul bij Policy Name een naam voor de SSL policy
in. In dit voorbeeld wordt full_network gebruikt.
Stap 5.17
Kies in de User List de gebruiker die net aangemaakt is.
Stap 5.18
Vink Allow Full Network Access aan en kies het
VPN-netwerk en Remote User IP-pool die zojuist aangemaakt zijn.
Stap 5.19
Klik op OK om de SSL policy aan te maken.
Standaard wordt alle verkeer tussen de DMZ en het LAN geblokkeerd. In de Prestige moet een firewall regel aangemaakt worden die hiervoor een uitzondering maakt.
Stap
6.1
Ga naar in de Prestige naar Security > Firewall
en ga naar de tabblad Rules. Kies bij Packet
Direction voor DMZ to LAN. Klik vervolgens op Insert.
Stap 6.2
Controleer of de optie Action for Matched Packets
ingesteld staat op Permit.
Stap 6.3
Voeg bij Source Address het subnet in die in de
SSL10 gedefinieerd is als Remote User IP-subnet. In dit voorbeeld
is dat 10.0.0.0 met subnetmasker 255.255.255.0
Stap 6.4
Voeg bij Destination Address de IP-adressen die
in de LAN bereikbaar moeten zijn voor de Full Network Access. In
dit voorbeeld mogen alle IP-adressen in de LAN van de Prestige
benaderd worden.
Stap 6.5
Geef bij Edit Services aan van welke services de
gebruikers van Full Network Access gebruik mogen maken. In dit
voorbeeld worden alle services toegelaten.
Stap 6.6
Sla de wijzigingen op door op Apply te kiezen.
Om de terugweg van het verkeer op de SSL10 te laten komen, moet er in de Prestige een statische route aangemaakt worden die het verkeer van de Remote User IP-pool naar de SSL10 routeert.
Stap 6.7
Ga naar Advanced > Static route.
Kies bij een beschikbare regel op het Edit-icoon.
Vul bij Route Name een naam voor de statische
route. In dit voorbeeld wordt de naam ssl10
gebruikt.
Stap 6.8
Vul bij Destination IP Address en IP
Subnet Mask het netwerkadres en subnetmasker van het
Remote User IP-subnet in.
Stap 6.9
Vul bij Gateway IP Address het WAN IP-adres van
de SSL10 in.
Stap 6.10
Kies Apply om de statische route op te slaan.