SSLVPN in Site-to-site VPN USG FLEX H

Options
dricu88
dricu88 Posts: 4 image  Freshman Member
First Comment
edited February 27 in Security

Salve come posso vedere i vari siti collegati in site-to-site tramite accesso in sslvpn con openVPN ad 1 solo di questi siti?

All Replies

  • Zyxel_Tina
    Zyxel_Tina Posts: 701 image  Zyxel Employee
    Zyxel Certified Network Administrator - Security Zyxel Certified Network Administrator - Switch 100 Answers 500 Comments

    Hi @dricu88,

    Benvenuto nella Zyxel Community!

    Per consentire ai client SSL VPN (che utilizzano OpenVPN) di accedere a più siti collegati tramite una VPN Site-to-Site, è necessario configurare correttamente il routing e le policy di sicurezza sul firewall Zyxel.

    Ecco i passaggi principali da seguire:

    1. Configurazione della SSL VPN sul dispositivo Zyxel

    • Assicurati che la SSL VPN sia configurata per l'uso con i client OpenVPN. I firewall Zyxel serie USG FLEX H supportano la SSL VPN tramite il client OpenVPN Connect.
    • Definisci l'interfaccia di ingresso e scegli tra Full Tunnel o Split Tunnel. Per l'accesso a siti specifici, lo Split Tunnel è spesso preferibile poiché consente di specificare esattamente a quali reti possono accedere i client VPN.
    • Definisci il Pool di indirizzi (Address Pool) per i client SSL VPN.
    • Crea gli utenti locali per l'autenticazione dell'accesso remoto.

    2. Configurazione della VPN Site-to-Site

    • Assicurati che la VPN Site-to-Site tra il sito principale (dove termina la SSL VPN) e gli altri siti sia correttamente stabilita e funzionante (solitamente si tratta di una VPN IPsec).

    3. Configurazione del Routing per l'accesso ai siti remoti

    • Policy Route: Sul dispositivo Zyxel dove termina la SSL VPN, crea una "Policy Route". La sorgente (Source) deve essere la subnet della SSL VPN, la destinazione (Destination) deve essere la subnet del sito remoto a cui vuoi accedere, e il "next-hop" deve essere il tunnel VPN Site-to-Site.
    • Security Policy: Implementa le policy di sicurezza per consentire il traffico dalla zona SSL VPN alla zona VPN IPsec (o alla zona associata alla LAN del sito remoto).
    • SSL VPN Access Privilege: Nelle impostazioni della SSL VPN, assicurati che gli indirizzi di rete dei siti remoti siano aggiunti alla "Network List" o alle impostazioni di "Access Privilege" per i tuoi utenti VPN.

    4. Considerazioni per i siti remoti

    • Sul dispositivo Zyxel del sito remoto (se applicabile), potrebbe essere necessario configurare una Policy Route che consenta il traffico di ritorno dalla subnet SSL VPN (proveniente dal sito principale) verso la propria LAN locale.

    Se hai bisogno di una guida più specifica, ti preghiamo di fornirci i seguenti dettagli:

    • Modello del dispositivo e versione del firmware.
    • Topologia di rete: un semplice diagramma che mostri il sito principale, i siti remoti e come sono collegati (includendo le subnet di ogni sito e il pool di client SSL VPN).
    • Screenshot della configurazione attuale della SSL VPN e della VPN Site-to-Site.
    • Se il dispositivo è gestito tramite Nebula, abilita lo "Zyxel Support Access" e forniscici il nome dell'Organizzazione e del Sito.

    Welcome to the Zyxel Community!

    To allow SSLVPN clients (using OpenVPN) to access multiple sites connected via a Site-to-Site VPN, you will typically need to configure routing and security policies on your Zyxel firewall.

    Here's a general approach:

    Configure SSL VPN on your Zyxel Device

    • Ensure your SSL VPN is set up to use OpenVPN clients. Zyxel USG FLEX H series firewalls support SSL VPN with OpenVPN Connect clients.
    • You'll need to define the incoming interface and choose between Full Tunnel or Split Tunnel. For accessing specific sites, Split Tunnel is often preferred as it allows you to specify the networks the VPN clients can access.
    • Define the Address Pool for your SSL VPN clients.
    • Create local users for remote access authentication.

    Configure Site-to-Site VPN

    • Ensure your Site-to-Site VPN between your main site (where the SSL VPN terminates) and the other sites is correctly established and working. This can be an IPSec VPN.

    Configure Routing for SSL VPN Clients to Access Remote Sites

    • Policy Route: On the Zyxel device where the SSL VPN terminates, create a policy route. The source should be your SSL VPN subnet, the destination should be the subnet of the remote site you want to access, and the next-hop should be the Site-to-Site VPN tunnel.
    • Security Policy: Implement security policies to allow traffic from your SSL VPN zone to the IPSec VPN zone (or the zone associated with the remote site's LAN). The source should be the SSL VPN subnet, and the destination should be the remote site's subnet.
    • SSL VPN Access Privilege: Within your SSL VPN settings, ensure that the network addresses of the remote sites are added to the "Network List" or "Access Privilege" settings for your SSL VPN users.

    Considerations for Remote Sites

    • On the remote site's Zyxel device (if applicable), you may also need to configure a policy route allowing traffic from the SSL VPN subnet (originating from the main site) to its local LAN.

    If you need more specific guidance, please provide the following details:

    • Device Model
    • Firmware Version
    • Network Topology: A simple diagram showing your main site, the remote sites, and how they are connected (including subnets for each site and the SSL VPN client pool).
    • Screenshots of your current SSL VPN configuration
    • Screenshots of your Site-to-Site VPN configuration
    • If your Zyxel device is managed by Nebula, please enable Zyxel Support Access and provide your Organization and Site name. This will allow our support team to review directly.

    Zyxel Tina

Categories

Security Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)