如何利用AP Tunnel Mode從家中存取辦公室網路

Zyxel小編 Peter
Zyxel小編 Peter 文章數: 254  Zyxel Employee
25 Answers First Comment Friend Collector Third Anniversary
已編輯 十二月 2022 WFH-異地辦公專區

背景

本文針對那些在家工作者與企業,提供有關Security Gateway(在企業辦公室)和Access Point(在每個在家工作者的家中)的初始設置,以提供與辦公室相同的工作環境。無需額外的訓練,並且不需要大量IT人員做支援。


 

拓撲架構

支持的firewall

· USG110 / 210/310/1100/1900/2200

· VPN50 / 100/300

· ATP100 / 200/500/800 

支持的AP

· 11ac:WAC6103D-I,WAC6500系列

· 11ac wave2:NWA5123-AC HD,WAC6303D-S

· 11ax:WAX510D,WAX650S 

連上線電腦的設定

1.將筆記本電腦設置為具有靜態IP“ 192.168.1.X”(192.168.1.2除外)和子網遮罩“ 255.255.255.0”

(路徑: Network Connections > Local Area Connection > Properties > IPv4 > Properties)


2.將筆記本電腦連接到接AP的uplink port

3.在瀏覽器的URL列上鍵入“ 192.168.1.2”。


(如果看到此頁面,請點選“Standalone Mode”)


(在登錄頁面上輸入管理帳密,預設密碼為1234


(點選“取消”以跳過嚮導)

 4.將主要靜態AC IP分配給Security Gateway的WAN IP地址

(路徑: Configuration > Network > AC Discovery > Manual)


(在選單下檢查USG的WAN IP地址:Configuration > Network > Interface > Ethernet > Configuration)

5.(選擇性)如果Security Gateway的WAN port使用浮動IP,則將主靜態AC IP設定為FQDN格式,並確保可以訪問DDNS服務器。


6.將AP的uplink port連接到可存取Internet的家庭網絡。

 Firewall上的設定

1.在USG上將服務 "CAPWAP-Data" 、 "CAPWAP-Control" 、 "GRE" 加入 "Default_Allow_WAN_To_ZyWALL" 服務群組

預設值防火牆規則 "WAN_to_Device" 即可讓 AP Tunnel Mode 所需服務通過。

(路徑: 設定 > 服務 > 物件群組 )


檢查防火牆規則 "Default_Allow_WAN_To_ZyWALL" 服務是否將服務加入完成




2.(選擇性)如果Security Gateway的WAN port使用浮動IP,則設置DDNS服務器以確保FQDN可以被遠程訪問點解析。
(目錄: Configuration > Network > DDNS > Add)


3.確認AP在USG上的註冊

(路徑:Monitor > Wireless > AP Information > AP List))

(選擇AP,然後單擊“Add to Mgnt”按鈕)

 

4檢查AP的狀態是否變為“Online AP”或“Compatible AP

(目錄:Monitor > Wireless > AP Information > AP List)


5.使用相應的VLAN接口設定Tunnel Mode SSID

(注意:建議設定與辦公室相同的SSID名稱。如果您使用Zyxel Security  gateway管理AP,只需將轉發模式更改為“Tunnel Mode”即可)



(注意:將接口類型設置為“Internal”可讓Security Gateway自動建立路由規則。)

可能遇到的問題?

1.在初始設定之前,請確保AP處於原廠設定,否則請按重置按鈕重置AP。

2.將AP的uplink port連接到另一個以太網路port時,請確保AP可以獲取IP地址並訪問Internet。(通常,連接的網路應包括ISP數據機或其他支援“ DHCP伺服器”功能的設備)


3.
在Security Gateway上設定防火牆規則時,在“To”列中設定“ ZyWALL”;應建立允許“ CAPWAP-DATA”和“ CAPWAP-CONTROLL”服務的兩個規則


4.
使用浮動IP作為Security Gateway的WAN地址時,請確保IP地址已在DDNS服務器上成功同步,以避免由於IP更改而導致建立失敗。