如何利用AP Tunnel Mode從家中存取辦公室網路
Zyxel Employee
背景
本文針對那些在家工作者與企業,提供有關Security Gateway(在企業辦公室)和Access Point(在每個在家工作者的家中)的初始設置,以提供與辦公室相同的工作環境。無需額外的訓練,並且不需要大量IT人員做支援。
拓撲架構
支持的firewall
· USG110 / 210/310/1100/1900/2200
· VPN50 / 100/300
· ATP100 / 200/500/800
支持的AP
· 11ac:WAC6103D-I,WAC6500系列
· 11ac wave2:NWA5123-AC HD,WAC6303D-S
· 11ax:WAX510D,WAX650S
連上線電腦的設定
1.將筆記本電腦設置為具有靜態IP“ 192.168.1.X”(192.168.1.2除外)和子網遮罩“ 255.255.255.0”
(路徑: Network Connections > Local Area Connection > Properties > IPv4 > Properties)
2.將筆記本電腦連接到接AP的uplink port
3.在瀏覽器的URL列上鍵入“ 192.168.1.2”。
(如果看到此頁面,請點選“Standalone Mode”)
(在登錄頁面上輸入管理帳密,預設密碼為1234)
(點選“取消”以跳過嚮導)
4.將主要靜態AC IP分配給Security Gateway的WAN IP地址
(路徑:
Configuration > Network > AC Discovery > Manual)
(在選單下檢查USG的WAN IP地址:Configuration > Network > Interface > Ethernet > Configuration)
5.(選擇性)如果Security Gateway的WAN port使用浮動IP,則將主靜態AC IP設定為FQDN格式,並確保可以訪問DDNS服務器。
6.將AP的uplink port連接到可存取Internet的家庭網絡。
Firewall上的設定
1.在USG上將服務 "CAPWAP-Data" 、 "CAPWAP-Control" 、 "GRE" 加入 "Default_Allow_WAN_To_ZyWALL" 服務群組
預設值防火牆規則 "WAN_to_Device" 即可讓 AP Tunnel Mode 所需服務通過。
(路徑: 設定 > 服務 > 物件群組 )
檢查防火牆規則 "Default_Allow_WAN_To_ZyWALL" 服務是否將服務加入完成
2.(選擇性)如果Security
Gateway的WAN port使用浮動IP,則設置DDNS服務器以確保FQDN可以被遠程訪問點解析。
(目錄: Configuration
> Network > DDNS > Add)
3.確認AP在USG上的註冊
(路徑:Monitor > Wireless > AP Information > AP List))
(選擇AP,然後單擊“Add to Mgnt”按鈕)
4檢查AP的狀態是否變為“Online AP”或“Compatible AP
(目錄:Monitor > Wireless > AP Information > AP List)
5.使用相應的VLAN接口設定Tunnel Mode SSID
(注意:建議設定與辦公室相同的SSID名稱。如果您使用Zyxel Security gateway管理AP,只需將轉發模式更改為“Tunnel Mode”即可)
(注意:將接口類型設置為“Internal”可讓Security Gateway自動建立路由規則。)
可能遇到的問題?
1.在初始設定之前,請確保AP處於原廠設定,否則請按重置按鈕重置AP。
2.將AP的uplink port連接到另一個以太網路port時,請確保AP可以獲取IP地址並訪問Internet。(通常,連接的網路應包括ISP數據機或其他支援“ DHCP伺服器”功能的設備)
3.在Security Gateway上設定防火牆規則時,在“To”列中設定“ ZyWALL”;應建立允許“ CAPWAP-DATA”和“ CAPWAP-CONTROLL”服務的兩個規則
4.使用浮動IP作為Security Gateway的WAN地址時,請確保IP地址已在DDNS服務器上成功同步,以避免由於IP更改而導致建立失敗。
