Om de SSL10 te kunnen gebruiken moet de SSL10 reeds
geregistreerd zijn bij MyZyXEL.com.
De Zywall dient te beschikken over Zynos versie 4 of hoger. Dit beperkt de toepassing tot een
Zywall 2 plus, 2 WG, 5, 35 of 70 met de juiste firmwareversie
In dit voorbeeld wordt de SSL10 in de DMZ zone van de ZyWALL
geplaatst.
Enkel de WAN-poort van de SSL10 moet aangesloten
worden op de DMZ-poort van de ZyWALL.
De WAN-poort van de SSL10 moet geconfigureerd zodat deze in hetzelfde subnet zit als de DMZ-zone van de ZyWALL.
Stap
1.1
De instellingen van de WAN van een SSL10 staan in System
> WAN. Stel IP Adress Assignment
in op "Static".
Stap 1.2
Vul bij My WAN IP Address en My WAN IP
Subnet Mask het WAN IP-adres van de SSL10 en bijhorende
subnetmasker in. In dit voorbeeld wordt het IP-adres en
subnetmasker van de SSL10: 192.168.2.2/255.255.255.0
Stap 1.3
Vul bij Gateway IP Address het DMZ IP-adres in
van de ZyWALL. In dit voorbeeld is het DMZ IP-adres van de router
192.168.2.1
Stap 1.4
Vul bij First DNS Server een DNS-server in die
bereikbaar is voor de SSL10. Bijvoorbeeld een DNS-server van de
ISP. In dit voorbeeld wordt als DNS server opgegeven: 82.37.212.59
Stap 1. 5
Klik op Apply om de wijzigingen op te slaan.
Wanneer een SSL10 in de DMZ-poort gezet wordt, worden de LAN-poorten van de SSL10 niet gebruikt. De LAN-poort moet wel voorzien zijn van een IP-adres, deze mag niet conflicteren met de rest van het netwerk. Het beste is om de LAN-poort een niet bestaand IP-adres te geven.
De LAN-poort moet in deze opstelling niet aangesloten te worden.
Stap
2:1
De instellingen van de LAN van een SSL10 zijn te vinden in System
> LAN . Vul bij IP Address
en Subnet Mask het IP-adres en bijhorende subnetmasker in voor de
LAN van de SSL10.
Stap 2:2
Stel het DHCP-pool bij, zodat deze binnen het subnet van de LAN
van de SSL10 bevindt.
Stap 2:3
Klik op OK om de wijzigingen op te slaan.
De DMZ-zone van de ZyWALL moet eerst ingesteld worden.
Stap 3.1
De DMZ van een ZyWALL kan ingesteld worden via Network
> DMZ. Configureer het DMZ IP-adres en
netwerkmasker voor de DMZ van de router. In dit voorbeeld wordt
het IP-adres 192.168.2.1 genomen met subnetmasker 255.255.255.0.
Stap 3.2
Aangeraden wordt om RIP Direction in te stellen
op "None".
Stap 3.3
Indien er door de SSL VPN tunnel gebruik gemaakt gaat worden van
Windows Networking, moet bij Windows Networking (NetBIOS
over TCP/IP) de optie Allow between DMZ and LAN
aangevinkt worden.
Stap 3.4
Kies op Apply om de wijzigingen op te slaan.
Stap 3.5
Kies vervolgens tabblad Port Roles. In dit
voorbeeld wordt poort 4 op de ZyWALL geconfigureerd als DMZ-poort.
Stap 3.6
Kies op Apply om de wijzigingen op te slaan.
Wanneer de WAN-poort van de SSL10 aangesloten wordt op de DMZ-poort van de SSL10 moet de SSL10 Internet hebben. Dit kan gecontroleerd worden door een computer aan te sluiten op een LAN-poort van de SSL10. De computer krijgt een IP-adres van de SSL10 en moet het Internet kunnen bereiken.
De SSL10 moet via poort 443 beschikbaar gesteld worden aan het Internet. Een andere poort gebruiken is niet mogelijk.
Stap
4.1
Ga naar Advanced > NAT en
kies vervolgens het tabblad Port Forwarding.
Vink Active aan.
Stap 4.2
Geef de poortforwarding een naam in het veld Name.
In dit voorbeeld wordt de naam "ssl10" gebruikt.
Stap 4.3
Geef bij Incomming Port(s) twee keer "443"
in.
Stap 4.4
Vul bij Port Translation in "0" (cijfer
nul).
Stap 4.5
Vul bij Server IP Adres het WAN IP-adres van de
ZyWALL SSL10 in. In dit voorbeeld is dat 192.168.2.2.
Stap 4.6
Sla de wijzigingen op door op Apply te klikken.
Een ZyWALL heeft voor remote management via HTTPS standaard het poort 443. Om conflicten te voorkomen moet deze veranderd worden.
Stap
4.7
Ga naar Advanced > Remote MGMT. Onder
HTTPS, verander "443" naar naar een
andere poort nummer die niet ingebruik is. In dit voorbeeld wordt
deze veranderd naar 4443.
Stap 4.8
Kies Apply om de wijzigingen op te slaan.
Via een externe verbinding moet de SSL10 bereikbaar zijn op het WAN IP-adres van de ZyWALL op poort 443.
Allereerst moet er een gebruiker aangemaakt worden.
Stap 5.1
Ga in de SSL10 naar User/Group. Klik op het Add-icoon
om een nieuwe gebruiker toe te voegen.
Stap
5.2
Vul bij User Name, Password en Re-Type
Password het gebruikersnaam en wachtwoord van de nieuwe
gebruiker in. In dit voorbeeld wordt de gebruiker "gebruiker01"
aangemaakt.
Stap 5.3
Klik op Ok. De gebruiker zal vervolgens
aangemaakt worden.
Nu er een gebruiker is aangemaakt, moeten de instellingen van de SSL VPN ook geconfigureerd worden. We beginnen met de Remote User IP-pool. De Remote User IP-pool wordt gebruikt om een IP-adres toe te kennen aan de client computers. Deze moet een uniek subnet zijn en mag niet voorkomen bij de kant van de ZyWALL en bij de kant van de client computer.
Stap 5.4
Remote User IP-pools worden ingesteld in Object
> Remote User IP in de SSl10. Klik op de Add-icoon
om een nieuwe Remote User IP-pool aan te maken.
Stap 5.5
Vul bij Name de naam die toegekend moet worden
aan de Remote User IP-pool. In dit voorbeeld is gekozen voor
"tunnel".
Stap 5.6
Selecteer het type Remote User IP-pool. In dit voorbeeld wordt
een complete subnet gebruikt.
Stap 5.7
Omdat er voor "Subnet" is gekozen, moet het
netwerkadres en subnetmasker ingevuld worden. In dit voorbeeld
wordt het subnet 10.0.0.x gebruikt met 254 hosts. Het
netwerkadres en subnetmasker wordt dus: 10.0.0.0/255.255.255.0.
Stap 5.8
Indien er gebruik gemaakt gaat worden van interne domeinnamen,
vul bij Primary DNS het IP-adres van de DNS
server die de interne domeinnamen kan omzetten. In dit voorbeeld
wordt er geen gebruik gemaakt van een dergelijk DNS server en is
daarom leeg gelaten.
Stap 5.9
Indien er een WINS-server gebruikt wordt om NetBIOS hostnamen
omzet, vul bij WINS Server het IP-adres van de
server in. In dit voorbeeld wordt er geen gebruik gemaakt van een
WINS-server en is daarom leeg gelaten.
Stap 5.10
Klik op Ok om de wijzigingen door te voeren.
Vervolgens moet het eindbestemming van de SSL VPN geconfigureerd worden. In dit voorbeeld is de LAN-subnet de eindbestemming. Het VPN-netwerk moet dus overlappen met het LAN-subnet van de ZyWALL.
Stap 5.11
Klik op het Add-icoon om een nieuwe VPN-netwerk aan te maken. Een
VPN-netwerk wordt in de SSl10 ingesteld in Object
> VPN Network.
Stap 5.12
Vul bij Name een naam in voor het VPN-netwerk.
Stap 5.13
Vul bij Private Network en Private
Netmask het netwerk-adres van de bestemming van de SSL
VPN. In dit voorbeeld is het LAN van de router de bestemming van
de SSL VPN. Het LAN IP-adres van de router is in dit voorbeeld
192.168.1.1 met 254 hosts. Het netwerkadres en netwerkmasker is
daarom 192.168.1.0/255.255.255.0.
Stap 5.14
Klik op Ok om het VPN-netwerk aan te maken.
De gebruiker(s), Remote User IP en VPN netwerk moeten vervolgens met elkaar gekoppeld worden door een SSL policy aan te maken.
Stap 5.15
SSL Policies worden aangemaakt in de SSL10 in SSL
in het hoofdmenu. Kies daar op het Add-icoon om een nieuwe policy
aan te maken.
Stap 5.16
Vul bij Policy Name een naam voor de SSL policy
in. In dit voorbeeld wordt full_network gebruikt.
Stap 5.17
Kies in de User List de gebruiker die net aangemaakt is.
Stap 5.18
Vink Allow Full Network Access aan en kies het
VPN-netwerk en Remote User IP-pool die zojuist aangemaakt zijn.
Stap 5.19
Klik op OK om de SSL policy aan te maken.
Standaard wordt alle verkeer tussen de DMZ en het LAN geblokkeerd. In de ZyWALL moet een firewall regel aangemaakt worden die hiervoor een uitzondering maakt.
Stap 6.1
Ga naar in de ZyWALL naar Security > Firewall
en ga naar de tabblad Rule Summary. Kies bij Packet
Direction voor DMZ to LAN. Klik vervolgens op Insert.
Geef voor de nieuwe firewall-regel een naam op. In dit voorbeeld
wordt de naam ssl10_fullnetwork gebruikt.
Stap 6.2
Voeg bij Edit Source Address het subnet in die
in de ZyWALL SSL10 gedefinieerd is als Remote User IP-subnet. In
dit voorbeeld is dat 10.0.0.0 met subnetmasker 255.255.255.0
Stap 6.3
Voeg bij Edit Destination Address de IP-adressen
die in de LAN bereikbaar moeten zijn voor de Full Network Access.
In dit voorbeeld mogen alle IP-adressen in de LAN van de ZyWALL
benaderd worden.
Stap 6.4
Geef bij Edit Services aan van welke services de
gebruikers van Full Network Access gebruik mogen maken. In dit
voorbeeld worden alle services toegelaten.
Stap 6.5
Controleer of de optie Action for Matched Packets
ingesteld staat op Permit.
Stap 6.6
Sla de wijzigingen op door op Apply te kiezen.
Om de terugweg van het verkeer op de SSL10 te laten komen, moet er in de ZyWALL een statische route aangemaakt worden die het verkeer van de Remote User IP-pool naar de SSL10 routeert.
Stap 6.7
Ga naar Advanced > Static route.
Kies bij een beschikbare regel op het Edit-icoon.
Vul bij Route Name een naam voor de statische
route. In dit voorbeeld wordt de naam ssl10
gebruikt.
Stap 6.8
Vul bij Destination IP Address en IP
Subnet Mask het netwerkadres en subnetmasker van het
Remote User IP-subnet in.
Stap 6.9
Vul bij Gateway IP Address het WAN IP-adres van
de ZyWALL SSL10 in.
Stap 6.10
Kies Apply om de statische route op te slaan.