ZyXEL ZYWALL: een VPN verbinding maken tussen twee ZyWALLs
referentie Z070E
Deze beschrijving gaat over het maken van een verbinding tussen twee ZyWall(10)s, maar is ook bruikbaar voor verbindingen van of naar de Prestige 652R.
Let op, lees dit aandachtig door voor u begint!
Behalve het configureren van de routers moet u ook nog met de volgende dingen rekening houden:
Verbindingen tussen routers met firmware 3.50 (of 3.40 voor de Prestige 652R) werken zoals in de onderstaande voorbeelden.
VPN-verbindingen naar routers met firmware 3.52/3.60 leveren soms problemen op. Het is ons nog onduidelijk waardoor dit wordt veroorzaakt. Er is wel met succes een VPN-verbinding getest tussen twee ZyWall 10W's met firmware 3.60. Dit bleek pas te werken na een reset naar fabriekstoestand en daarna configureren van de verbinding. Zie ook FQDN Interoperability issue between V3.50 and V3.52(3.60)
Bij de 3.52/3.60 firmware is in de VPN setup Local/Peer ID Type en Local/Peer Content als optie toegevoegd. Voor wat ik er van begrijp was vroeger onzichtbaar ingesteld op ID Type IP en Content het IP-adres. Maar bij testen blijkt het niet helemaal het geval te zijn. De toegevoegde keuzes zijn rood in de onderstaande schermen.
Voor MS Filesharing moeten eventuele filters die Netbios verkeer blokkeren worden uitgeschakeld.
De gateway instellingen (dan wel statische routes) moeten naar de juiste lokale router verwijzen. Test met het trace route commando (tracert) of de pakketjes de juiste routering volgen.
De routers moeten elk succesvol met Internet kunnen verbinden.
Er mogen geen apparaten tussen zitten die de voor een IPsec VPN Tunnel noodzakelijke poorten en protocollen opzettelijk uit filteren of gewoon niet doorlaten. Dus ook niet bij de ISP's. Test met de firewall van de router uit of het dan wel werkt.
De sleutels (Preshared Keys) moeten gelijk staan ingesteld.
De LAN bereiken van de verschillende routers mogen niet overeenkomstig staan!
Verschillende routers/modems die NAT doen ondersteunen geen IPsec ESP Pass-through. De Thomson SpeedTouch 500 serie routers staan in standaard (NAT) mode. Om deze werkend te krijgen heeft u twee keuzes:
Door het Thomson modem in PPTP mode in te stellen. Daarna moet de ZyWall worden ingesteld zoals voorheen met het Alcatel SpeedTouch Home modem (PPTP). Hierbij krijgt de ZyWall zelf het publieke IP-adres en is het instellen van eventuele firewall en NAT regels mogelijk wat eenvoudiger. Of,
Verbinding maken met de webpagina van de SpeedTouch 5x0, klikken op Advanced dan NAT gevolgd door New en dan protocoludp, bij inside IP het WAN IP-adres van de ZyWall (bijvoorbeeld 10.0.0.140), bij zowel inside port als outside port500. Dan klikken op Apply gevolgd door Save All. Nu wordt zowel het IKE alsook het ESP verkeer doorgeleid naar het opgegeven interne IP-adres. Deze optie is mogelijk noodzakelijk bij ZyWall/ZyNOS 3.60 firmware en hoger.
De optie NAT-Transversal (als deze ondersteund wordt door uw router) staat standaard uit en moet dat ook blijven. Als niet alle routers het kunnen moet het uit blijven. Daarnaast moet het alleen worden aangezet - en dan ook op alle routers - wanneer een van de (ZyWall) VPN-routers zich achter een andere router bevindt die geen ESP IPsec pass-through ondersteund.
De optie Keep-Alive heeft alleen zin als alle betrokken VPN-routers het ondersteunen. Het doel van deze optie is om Zombietunnels vast te stellen en die af te sluiten zodat er weer een gewone goede tunnel kan worden opgebouwd. Zombietunnels ontstaan wanneer de router nog een VPN-verbinding denkt te kebben, maar de andere router een verbinding is kwijt geraakt (bijvoorbeeld door een herstart).
Als u al het verkeer, dus ook het Internet verkeer, via een centrale (ZyWall) router wil laten lopen, dan in de tabel bij "LAN Netwerkmasker" in de kolom van de centrale router "0.0.0.0 ofwel Internet via hier" selecteren. Dit heeft waarschijnlijk wel gevolgen voor de snelheid van de Intrenet verbinding en de performance van de VPN.
Mocht het toch niet lukken, er is een lijst van foutmeldingen die u kunt krijgen in de (webpagina) log en wat ze betekenen die in in de log van de router kunt vinden. Daarnaast staat op ZyXEL VPN debuggen (ook) welke informatie er noodzakelijk is om u het snelst verder te kunnen helpen.
Kruiskabel: Als u twee routers ter beschikking heeft, dan kunt u het ook met een kruiskabel (cross-cable) tussen de WAN-poorten testen. U dient dan de routers zelf een statisch WAN IP-adres te geven, met een bijbehorende netwerkmasker en het statisch ingestelde publieke IP-adres van de andere router als gateway. Het spreekt voor zich dat deze statische IP-adressen in hetzelfde bereik liggen, maar wel weer in een ander bereik dan de twee LAN-bereiken die de routers zelf intern gebruiken.
IP-alias: Als u naast de bovenstaande routers een router heeft die IP-aliasing ondersteunt (zoals een ZyWall 10, 10W, 30, 50, 100, of Prestige 652HW) dan kunt ook de uiteindelijke WAN IP-adressen instellen in de ZyWalls en in de extra router de twee te gebruiken WAN gateway IP-adressen en netwerkmaskers als LAN IP Alias 1 en 2 instellen. De WAN-aansluitingen van de twee VPN-routers worden vervolgens aangesloten op de LAN-interface van de alias-router (al dan niet via een switch). Als u als derder router een ZyWall gebruikt, dan moet u niet vergeten om triangle routing toe te staan.
U kunt in de volgende tabel gegevens wijzigen en deze laten invullen in het onderstaande voorbeeld configuraties (vergeet niet onder de tabel op de tekst te klikken om de instellingen door te voeren):
Log in op de router (het standaard wachtwoord is 1234.
Stip een verbinding aan die u wil aanmaken of wijzigen en druk op de knop Edit. Bij de ZyWall-1 ziet u dit scherm niet en gaat u meteen door naar de ene in te stellen verbinding.
Instellingen router 1
Als u de tabel heeft ingevuld en heeft geklikt om de gegevens in tevullen, dan kunt u de nevenstaande gegevens zo overnemen in uw router.
U kunt op de knop Advanced drukken om extra dingen in te stellen. In de pratijk is dit zelden nodig. Vergeet niet om op de knop Apply te drukken na het invullen of aanpassen.
Vergeet niet om op de knop OK te drukken na het wijzigen.
Instellingen router 2
Alleen als het geen ZyWall 1/2/2WE betreft!
Als u de tabel heeft ingevuld en heeft geklikt om de gegevens in te vullen, dan kunt u de nevenstaande gegevens zo overnemen in uw router.
U kunt op de knop Advanced drukken om extra dingen in te stellen. In de pratijk is dit zelden nodig.
Vergeet niet om op de knop Apply te drukken na het invullen of aanpassen.
Alleen als het geen ZyWall 1/2/2WE betreft!
Vergeet niet om op de knop OK te drukken na het wijzigen.
Door op Options >> te drukken wordt het scherm uit geklapt met extra instellingen die u bij verbindingen tussen ZyWall's waarschijnlijk niet nodig heeft.
Door op Options << te drukken wordt het scherm ingeklapt zonder extra instellingen die u bij verbindingen tussen ZyWall's waarschijnlijk niet nodig heeft.