GRE over IPsec
Freshman Member
Добрый день.
Вводные данные:
Мы имеем около 70 магазинов, в некоторых из них мы планируем создать Wifi hotspot используя NWA1123-AC Pro и в качестве шлюза usg-20 vpn в каждом магазине, шлюзы уже используются во всех магазинах.
Я уже имею опыт использования NWA1123-AC Pro, в настоящее время мы используем в центральном офисе схему:
12 AP с открытой сетью и в качестве hotspot выступает zywall usg310 он же шлюз, мы изменили web страницу аутентификации под наши нужны. Используем 802.11k/v, еще раз подчеркну что мы не используем hotspot на точках доступа, а используем на шлюзе. Аутентификация пользователя происходит через radius сервер и отправку пароля по смс, мы не предъявляем для этого решения требования к безопасности.
Мой вопрос касается создания vpn сети, в которой мы сможем передать vlan назначенный для ssid, и так вопрос:
Как я говорил выше:
есть 70 магазинов с usg20vpn
usg310 (в итоге мы будем использовать другой шлюз, но в примере будем обсуждать этот)
NWA1123-AC Pro
SSID Free-Wifi
Нужно чтобы весть трафик с Free-Wifi шел через usg310 и сам hotspot был на usg310.Фактически топология будет такой: Client - AP - Usg20vpn - GRE over IPsec - Usg310.
Может ли GRE over IPsec организовать такую связь, когда клиент будет видеть Usg310 будто они в одной Lan и Usg310 был бы у него шлюзом.
Комментарии
-
Добрый день.
Подскажите ваши контакты для связи или свяжитесь со мной:
С уважением,
Нюман Андрей
Представитель по работе с ключевыми партнерами
Zyxel
т. +79218998582
0 -
День добрый
Можно использовать стандартный IPsec и направить весь трафик в туннель при помощи Policy Route.
GRE over IPSec, в принципе, тоже подойдёт, но на всех устройствах можно создать максимум 4 GRE.
В качестве замены есть также виртуальные туннельные интерфейсы VTI (построенные на IPSec).
0 -
Благодарю Вас за ответ.
Есть ещё 1 вопрос, как я выше описывал схему в ЦО, мы используем usg310, пользователи прошедшие аутентификацию попадают в User list где отображены все пользователи вошедшие в hotspot и в админку zywall, т.к. по факту происходит logon в само устройство, при отключении питания от usg310, все сессии отключаются и мы получаем пустой User list, что в целом логично, с точки зрения ИБ, но с точки зрения бесплатного wifi нелогично. Если предположить что мы будем использовать usg310 в схеме с wifi для клиентов, то при перезагрузке устройства мы в результате отключим всех наших клиентов и им придётся заново производить аутентификацию, что неприемлемо.
Можем ли мы включить сохранение кеша пользователей (mac адресов с привязкой к имени пользователя) при отключении питания?
0 -
Нет, кеш сохранить нельзя, но можно приобрести ещё один USG310 и поставить их в кластер. Все авторизованные пользователи, сессии и VPN будут синхронизироваться между двумя шлюзами.
0 -
Еще один usg310 у нас есть, спасибо, тему можно закрывать.
0
Zyxel Employee
