如何與本地管理的 ZYXEL 防火牆建立 Site to Site VPN






前言
在許多企業的網路環境中,可能會同時存在由 Nebula 雲端平台統一管理的新據點,以及仍在本地端獨立運作的舊有 Zyxel 防火牆。
當您需要在這兩種不同管理模式的據點之間建立站對站 VPN (Site-to-Site VPN) 時,Nebula 提供了「自動連結 VPN」功能,讓您能輕鬆地完成設定。
本篇教學將引導您完成此設定流程。
設定前須知
適用型號:本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。
適用版本:文章中的截圖與操作步驟,基於 Nebula Control Center 19.00 版本。
設定教學範例
本篇教學範例旨在建立一個站對站 VPN (Site-to-Site VPN),讓位於「台北辦公室」的所有使用者,都能安全地存取「台中辦公室」內部的伺服器與資料 (例如:NAS)。
網路環境假設
在此範例中,我們的網路環境如下:
- 台中辦公室 (總部)
- 角色:資料中心,存放共用 NAS。
- 防火牆管理模式:採用 Nebula 雲端管理。
- 台北辦公室 (分點)
- 角色:遠端據點,需要存取總部資源。
- 防火牆管理模式:採用本地端獨立管理。
需使用的功能
由於兩個據點的防火牆管理模式不同,我們需要使用 Nebula 的「自動連結 VPN」功能來建立此 VPN 通道。
設定前的重要原則:避免網段衝突
在設定站對站 VPN 時,一個最關鍵的原則是:本地網路 (Local Network) 與 遠端網路 (Remote Network) 的 IP 網段絕對不能重疊或衝突。
如果兩邊的網段相同,防火牆將無法判斷該將封包送往內部網路,還是透過 VPN 通道送往遠端,這會導致連線失敗。
範例說明
假設台中辦公室 (Nebula 端) 的 LAN 網段為 192.168.20.0/24
。
- ❌ 錯誤設定:台北辦公室 (本地端) 的 LAN 網段也設為
192.168.20.0/24
。- 結果:網段衝突,VPN 無法正常運作。
- ✅ 正確設定:台北辦公室 (本地端) 的 LAN 網段應規劃為一個完全不同的網段,例如
192.168.10.0/24
。- 結果:網段無衝突,VPN 可以成功建立與路由。
設定前的考量:處理上游設備的流量阻擋
如果您的防火牆並非直接連接到網際網路,而是在其上層還串接了其他路由器或資安設備(例如:電信業者的數據機、另一台總部防火牆),您必須確保這些上游設備不會阻擋 VPN 建立連線所需的流量。
VPN 通道(特別是 IPSec VPN)的建立,需要允許特定的通訊埠 (Ports) 與協定 (Protocols) 通過。
💡 簡化作法:
若上游設備支援,您也可以直接將防火牆的 WAN IP 加入白名單,或將您的防火牆 WAN IP 設為 DMZ 主機,但請注意後者可能帶來的安全風險。
Nebula VPN 設定教學
步驟1 : 啟用 Nebula VPN
前往【設定 > 安全閘道器 > 站點-到-站點 VPN】,啟用要建立 VPN 的網段。
步驟2 : 新增 VPN 規則
於相同頁面最底下,找到「自動連結 VPN」區塊,點選「+新增」,並填寫以下資訊:
- 注意: 此欄位不支援中文字元。
- 公共 IP : 請輸入對端防火牆的 WAN IP 位址。
- 私有子網路 : 請輸入對端防火牆後方的 LAN IP 網段。
- 預先共用金鑰 : 請自訂一組高強度的密鑰。此密鑰必須與對端防火牆上設定的密鑰完全相同。
設定完成務必點選「儲存」。
步驟3 : IPSEC 策略參數確認
Non Nebula Firewall 設定
步驟1 : 啟用 VPN 設定精靈
啟用防火牆設定精靈,選擇「VPN Setup」 。
步驟2 : 選擇「Advanced」
進階模式才能調整與 Nebula 相同 VPN 參數,Express 模式用於同為本地管理模式下的防火牆互相建立 VPN 使用。
步驟3 : IKE 版本選擇
接下來,我們將設定本地端 Zyxel 防火牆的 VPN 參數。
請注意: 此處的所有設定,都必須與您在 Nebula 平台上設定的參數完全匹配。
- 在「VPN 類型 (VPN Type)」中,選擇「站對站 (Site-to-site)」。
- 為此 VPN 連線自訂一個易於識別的名稱。
- 在「IKE 版本 (IKE Version)」中,請選擇 IKEv1,以對應我們在 Nebula 上的設定。
步驟4 : VPN Phase1 參數設定
模式選擇 Aggressive,比對 Nebula VPN 設定參數,輸入相同參數。
步驟5 : VPN Phase2 參數設定
依照本身環境設定本地/對方網段,其餘參數請依照 Nebula VPN
步驟6 : 檢查設定總結
精靈模式設定完成,查看設定總結,檢查是否有錯誤。
功能驗證:確認 VPN 連線狀態
步驟一:前往 VPN 狀態頁面
設定儲存後,您可以前往以下路徑,查看站對站 VPN 的即時連線狀態:
【監控 > VPN 連接】
步驟二:確認連線狀態
在狀態頁面中,找到您剛剛建立的 VPN 連線規則。若文字狀態為「已連線」,即代表 VPN 通道已成功建立。
💡 請注意:首次建立連線或修改設定後,狀態更新可能需要 3-5 分鐘的時間,請耐心等候並刷新頁面。
疑難排解:連線失敗?
如果狀態長時間無法顯示為已連線,代表設定可能存在問題。最常見的原因包含:
- 兩邊的「預先共用金鑰」不一致。
- 「公共 IP」或「私有子網路」位址填寫錯誤。
- 上游設備阻擋了 VPN 所需的流量 (UDP 500, 4500 等)。
請回到前面的設定步驟,仔細核對所有參數是否皆正確無誤。