Zywall 110 и VPN IPSec

2»

All Replies

  • Vinchy
    Vinchy Публикаций: 10
    Friend Collector
    Добрый день!
    Не понимаю, что делаю неправильно.
    Исходя из настроек VPN, делаю Connection Check на Zywall на адрес 1.1.1.1 - проходит. На ubuntu tcpdump-ом видны пакеты. Прописываю в Static route адрес 1.1.1.1 маска 255.255.255.255 и интерфейс lan1 ..проверяю c zywal-a пингом..тоже видны пакеты tcpdump-ом.
    Вместо адреса 1.1.1.1 прописываю 8.8.8.8 (пробовал разные), и так же пробую пинговать с zywal-a, ответ
    ping 8.8.8.8 -n -c 3
    PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
    From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
    From 192.168.1.1 icmp_seq=2 Destination Host Unreachable

    Что-то с маршрутизацией? но не понимаю, где и как исправить.

    Также пытаюсь для локальной сети прописать маршрут, т.е. уже в Policy Route ставлю
    Source Address    LAN1_SUBNET
    Destination Address    1.1.1.1
    Next Hope   VPN Tunnel
                              Ubuntu
    (остальное все по умолчанию) из локальной сети пингов нет. Ошибка - Request Time out.

    На убунте файрвол открыт и из настроек сделал только
    ip route add 192.168.1.1/32 dev vti01
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    ip a
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
           valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc fq_codel state UP group default qlen 1000
        link/ether 12:24:cc:2b:d0:ed brd ff:ff:ff:ff:ff:ff
        inet 10.10.1.227/20 metric 100 brd 10.10.15.255 scope global dynamic eth0
           valid_lft 2369sec preferred_lft 2369sec
        inet6 fe80::1024:ccff:fe2b:d0ed/64 scope link
           valid_lft forever preferred_lft forever
    3: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
        link/ipip 0.0.0.0 brd 0.0.0.0
    4: vti01@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 8981 qdisc noqueue state UNKNOWN group default qlen 1000
        link/ipip 10.10.1.227 peer 51.32.56.38
        inet6 fe80::5efe:a0a:1e3/64 scope link
           valid_lft forever preferred_lft forever

    По сути, кроме 1.1.1.1 больше ничего в туннель не заворачивается.
    Помогите, пожалуйста!
    Спасибо!
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте!

    Проверьте настройки шлюза и Ubintu по нашей статье Базы Знаний: https://support.zyxel.eu/hc/ru/articles/5201771406098
    (инструкция в приложенном к статье pdf-файле)
  • Vinchy
    Vinchy Публикаций: 10
    Friend Collector
    Добрый день!

    Именно по этой инструкции я и настраивал VPN. Маршрутизацию на Ubuntu сделал как в инструкции (многократно перепроверил). Поэтому и странно почему не работает. Может есть смысл его сбросить в дефолт и перенастроить? уже просто не знаю, что можно еще сделать...
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Добрый день!
    В политиках IPsec ( leftsubnet/rightsubnet для linux и local policy/remote policy для Zywall) укажите локальную сеть Zywall и требуемую подсеть google.
    Будет так работать?

  • Vinchy
    Vinchy Публикаций: 10
    Friend Collector
    Добрый день!
    Если я Вас правильно понял, заменить в настройках 1.1.1.1 на 8.8.8.8? Да, тогда начинает пинговаться 8.8.8.8, но перестает работать 1.1.1.1. Заворачивается в тоннель и пингуется только тот адрес, который есть в настройках ipsec. При пинге 1.1.1.1
    PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
    From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
    From 192.168.1.1 icmp_seq=2 Destination Host Unreachable


  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Добрый день!

    Все верно. Видимо я не совсем верно понимаю вашу задачу. Опишите какой результат вы хотите получить в итоге.
  • Vinchy
    Vinchy Публикаций: 10
    Friend Collector
    Добрый день!

    Идея в следующем. Zywall стоит в офисе в качестве шлюза и на нем поднят VPN для подключения удаленных сотрудников(это работает). Так же на Zywall поднят второй VPN для соединения с сервером, который расположен в облаке Amazon.
    Так как работаю в иностранной компании, нужен доступ к западным ресурсам, чтобы не был виден российский IP. Т.е. я хотел прописать статический маршрут на доступ например к google.com, чтобы запрос отправлялся сразу в туннель. Таких сайтов достаточно много. И, соответственно, на каждый сайт прописать маршрут в туннель. Маршрутизацию добавить и для тех пользователей, которые работают в офисе и для тех, кто подключается к офисе по VPN. Такое можно реализовать? Если можно, что мне нужно изменить в конфигурации VPN?

    Большое спасибо за помощь!
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте!

    Вы можете настроить доступ к любым (всем) Интернет ресурсам через VPN туннель типа site-to-site используя политики маршрутизации (Policy Route) для Zywall. 
    Пример правила на стороне локального шлюза:
    Criteria.
    Incoming (interface) = с какого локального интерфейса требуется доступ через VPN
    Source Address = с каких адресов требуется доступ через VPN
    Destination Address = к каким адресам требуется доступ через VPN (any если ко всем, FQDN объект если к какому-то конкретному).
    Next-Hop.
    Type = VPN Tunnel
    VPN-Tunnel: имя туннеля

    Так же требуется маршрутизация и SNAT на удаленном VPN шлюзе/сервере для трафика из туннеля.

    В качестве удаленной политики IPsec подключения (VPN connection) для Zywall, а так же локальной политике удаленного VPN-сервера укажите сеть 0.0.0.0/0.


Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)