A ZyWALL tűzfalak és a VPN

A bérelt vonalak olcsó alternatívájaként egyre nagyobb teret hódítanak azok az eszközök, amelyek képesek az interneten megbízató, titkosított és nem utolsó sorban olcsó, ún. VPN csatornát kiépíteni két, vagy több telephely között.

A ZyWALL család minden tagja támogatja ezt a funkcionalitást, kezdve a kis személyi tűzfallal (ZyWALL P1), a SOHO felhasználásra szánt ZyWALL 2-n át, a nagyobb, 10, 35, 100 VPN-t támogató ZyWALL UTM tűzfalakkal bezárólag.

Jellemzőjük, hogy nem csak egyetlen gépet tudnak bevonni a titkosított csatornába, hanem kezelik az ún. site-to-site VPN-t is, ami azt jelenti, hogy két különböző telephelyen lévő komplett alhálózat minden tagja láthatja a másik oldalon lévő gépparkot.
Van azonban még egy előnyös tulajdonsága ezeknek a tűzfalaknak, mégpedig, hogy a VPN-hez kötelező fix, publikus IP-cím kiváltható egy ingyenesen regisztrálható ún. dinamikus gépnévvel.
Mindehhez az szükségeltetik, hogy meglátogassuk pl. a www.DyNDNS.org oldalt, létrehozzunk egy felhasználónevet/jelszót és regisztráljunk egy hostnevet, aminek a domain utótagja egy hosszú listából tetszőlegesen kiválasztható.



Ezzel még nem vagyunk készen, hiszen ezt a gépnevet (példánkban a zywall35.dyndns.org) be kell állítani a tűzfalban is, mivel innentől kezdve a tűzfal frissíteni fogja az éppen aktuális IP-címmel a regisztrált hostnevet.

Az Advanced menü DNS pontja alatt válasszuk ki a DDNS fület és az ábrán látható módon töltsük ki:



Ezzel túljutottunk a kezdeti lépéseken, nincs más hátra mint a VPN szabályok beállítása.

A végcél az ábrán látható háló zat, amelynek mindkét oldalon lévő tagjai látni fogják egymást, ha jól dolgozunk.



Mint azt az ábrán is látjuk a két hálózat különböző azonosítóval rendelkezik, a bal oldali a 192.168.1.0/24, míg a jobboldali a 192.168.0.0/24 IP-tartományra van beállítva. Ez azért van, mert egyébként nem lenne routolás a két hálózat között, tehát a beállításnál erre figyelni kell.
Állítsuk be a tűzfalak pontos időszinkronizációját is, amit a Maintenance menü Time and Date fülén érünk el az alábbi módon:



Ha ezzel megvagyunk, nincs más hátra mint a VPN szabályok létrehozása, ehhez a Security menü alól válasszuk ki a VPN pontot.



Kattintsunk a "+" ikonra és töltsük ki a átjárókra vonatkozó szabályt (gateway policy).




Ha mindent jól csináltunk, akkor a főoldalon megjelenik a létrehozott szabály. Ezzel azonban nem vagyunk készen, hiszen meg kell szerkesztenünk a hálózati házirendet is.
Ehhez kattintsunk a létrehozott szabály sorában lévő, kis "felhő" ikonra.



Töltsük ki a szabályt az alábbi módon:





Ha minden jól ment, ez a kép fogad:



Jól látható, hogy a VPN összes fontos azonosítója anélkül is látszik, hogy szerkesztenénk a szabályokat, persze erre is lehetőség van amennyiben bármelyik szabály sorában a ikonra kattintunk.

Ezzel végeztünk az egyik oldal beállításával, a másikat is ugyanígy kell beállítani, ügyelve arra, hogy az IP-címek pont fordított módon szerepeljenek a szabályban.
Így ha az is elkészül, a következőt kell látnunk a jobb oldali tűzfal webes felületén a VPN szabályoknál:



Figyeljük meg, hogy a szabályoknál egyik oldalon DNS nevet használunk, míg a másikon IP-címet az átjáró címzésénél. Ez olyan esetekben lehet hasznos, ahol a fix IP-cím nem áll rendelkezésre, vagy nem gazdaságos annak a havidíját fizetni. Természetesen mindkét oldalon alkalmazható ily módon a dinamikus DNS szolgáltatás.
A másik ami felkeltheti figyelmünket a "Nailed up" funkció, ezzel azt érhetjük el, hogy a VPN-csatorna azonnal újraépül ha a lejárati ideje véget ér, így kvázi egy folyamatos titkosított alagutat kapunk.

Az "Allow Netbios Broadcast Traffic" kijelölésével a VPN másik gyerekbetegségét küszöbölhetjük ki, az ellenkező oldalon lévő gépeket ezzel a módszerrel Windows név alapján is elérjük, nem kell a bonyolult, nehezen fejben tartható IP-címeket megjegyeznünk.

Most készen állunk arra, hogy kipróbáljuk a csatornánkat, erre hasznos eszköz lehet az "SA Monitor" fül, ahol az élő VPN-kapcsolatokat felügyelhetjük.
Fontos megemlíteni, hogy mivel a ZyWALL eszközök elsődleges szerepe a tűzfal, ezért ha pingelni próbálunk egy host-ot a másik oldalon és nem érkezik válasz, holott a VPN él, az azért van, mert az ICMP csomagokat a tűzfal megszűri, így ezeket külön engedélyeznünk kell a Firewall menü WAN2WAN/ZyWALL szabályrendszerében.

Aki állított már be valaha VPN eszközöket, az tudja, hogy a sok paraméter miatt ez a művelet nem mindig sikerül elsőre. Ajánlott erre a célra egy papírra felírni a címeket, titkosítási/autentikációs paramétereket, és megosztott kulcsot.

Persze mint mindig vannak eszközök a hibák kiszűrésére, jelen esetben a Log bejegyzéseket ajánljuk, hiszen itt jó eséllyel kapunk választ arra, hogy melyik paraméter az, amelyik beállítása nem tökéletes.

Néhány példa:

NOTFY:ERR_PAYLOAD_TYPE
Valamelyik oldalon be van kapcsolva a NAT Transversal
NOTFY:PYLD_MALFORMED
A megosztott kulcs (preshared key (PSK)) nem azonos a két tűzfalszabályban
NOTFY:ERR_ID_INFO !! ID Type Mismatch
A Local ID Type nem azonos a Remote ID Type-pal, ami az ellenkező oldalon van beállítva
NOTFY:ERR_ID_INFO !! ID Content Mismatch
A Local ID Content nem azonos a Remote ID Content tartalmával
NOTFY:NO_PROP_CHOSEN
Az első fázis titkosítási és/vagy autentikációs paramétere nem egyezik meg a másik oldaléval
Ez lehet:

  • titkosítási algoritmus (DES/3DES/AES)
  • azonosítási algoritmus (MD5/SHA1)
  • kulcs csoport (DH1/DH2) NOTFY:NO_PROP_CHOSEN
    Amennyiben az IKE Packet retransmit szerepel a logban, akkor annak oka az lehet, hogy az egyik oldalon MAIN MODE míg a másik oldalon AGRESSIVE MODE szerepel a konfigurációban

ZyXEL Hungary
Budapest, 1025 Zöldlomb u. 48.
T.: +36-1-336-1646
F.: +36-1-325-9100
info@zyxel.hu
www.zyxel.hu