A ZyWALL Remote Security Client VPN kliens beállítása

Gyakran belefut a felhasználó abba, hogy cége megvásárol egy ZyWALL tűzfalat, és a hordozható számítógépét fel kell készítenie arra, hogy a céges belső hálózatot elérje a lehető legbiztonságosabb módon.
Ez ugye néha egyszerű, főleg amikor VPN átjárón keresztül kell a forgalmat lebonyolítani, de képzeljük csak el, mi történik akkor amikor egy ismeretlen helyen tartózkodunk (pl.: szállodában, repülőtéren, parkban) ilyenkor nem is tudjuk milyen router mögött vagyunk, hogyan tudunk letölteni egy fontos fájlt a céges szerverről.



1.ábra

Két fontos követelménye van ennek: Legyen egy VPN kliens szoftverünk, és a router ami mögött internetezünk támogassa a VPN-passthrough szolgáltatást.
Ha ez a két dolog megvan, akkor feltelepíthetjük a szoftvert, ügyelve arra, hogy nehogy hálózatról telepítsük, mivel a hálózat meg fog szakadni néhányszor, és ez a telepítést elronthatja.
Ha minden jól ment, akkor egy ikont látunk a tálcán a jobboldalon.
Ekkor elkezdhetjük a beállítást, de ezt csakis a központi VPN oldal beállításainak ismeretében tegyük!

Kattintsunk a Security Policy Editor menüpontra!

Az ábrán látható módon hozzunk létre egy új bejegyzést, ez lesz az üres szabályrendszerünk, amit be fogunk állítani.
Adjunk egy nevet neki, hogy később, ha esetleg több szabályunk is lesz, azonosítani tudjuk majd!

Fontos, hogy a megfelelő rubrikákba mindig az odaillő információt írjuk, és pl. ne töltsük ki a Remote Party Identity and Addressing részt a külső IP-címmel!
Az ábrák általános példákat mutatnak, de célszerű követni ezeket az útmutatásokat, persze behelyettesítve a saját adatokkal.
Az alábbi ábrán látható, hogy a beállítások között szerepel egy "Only Connect Manually" - kapcsolódás kézi üzemmódban beállítás is, ezt kipipálva a VPN csak akkor épül fel, ha a tálcán lévő ikonra jobb egérgombbal kattintunk, majd a connect menüből kiválasztjuk a szabály nevét. Ha ezt üresen hagyjuk, akkor - amint a szoftver érzékeli, hogy olyan forgalmat kérünk, ami a másik belső hálózaton van - automatikusan felépíti a VPN-t.

Figyeljük meg, hogy az ellenoldal címének megadásakor használhatunk domain-nevet is, olyankor amikor dinamikus IP-címünk van, vagy egyszerűen csak jobban szeretjük a domain-nevet az IP-címnél. Ennek előfeltétele, hogy a fogadó gateway regisztrálva legyen valamelyik dinamikus DNS szolgáltatónál, és rendszeresen frissítse a nevet a változó IP-címmel.

Adjuk meg a gateway-ben is definiált kulcsot (preshared key), majd haladjunk tovább!
Abban az esetben, ha PKCS#12 vagy egyéb tanúsítvánnyal kívánunk authentikálni, akkor ezeket be kell importálni a Certificate Manager-ben, de ennek mikéntjére itt most nem térünk ki.

A beállítások többi része a gateway-ben megadott adatok tükörképe lesz. Itt vigyázzunk arra, hogy a megfelelő tikosítási, és egyéb algoritmusok ugyanazok legyenek mint a másik oldalon!
A szerződés (SA) lejárati ideje itt a ZyWALL-ban megadott alapértéket mutatják, ha ettől eltérő van ott beállítva, akkor értelemszerűen azt is módosítani kell.

Műszaki specifikációk:

  • Titkosítás
    • DES, 3DES, AES
  • Hash algoritmus
    • HMAC-MD5, HMAC-SHA1, DES-MAC
  • Tömörítés
    • IPCOMP- kitömörítés és plug-in LZS-hez
  • Diffie-Hellman csoportok
    • DH1 - MODP 768
    • DH2 - MODP 1024
    • DH5 - MODP 1536
  • Azonosítási mechanizmusok
    • Preshared key, tanúsítványok
  • Kulcskezelés
    • IKE (Internet Key Exchange)
  • IPSec módok
    • Tunnel, transport
  • IKE módok
    • Main, agressive, quick



ZyXEL Hungary
Budapest, 1025 Zöldlomb u. 48.
T.: +36-1-336-1646
F.: +36-1-325-9100
info@zyxel.hu
www.zyxel.hu