如何與本地管理的 ZYXEL 防火牆建立 Site to Site VPN

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 209  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
已編輯 Jun 12 日 Nebula 常見問題

前言

在許多企業的網路環境中,可能會同時存在由 Nebula 雲端平台統一管理的新據點,以及仍在本地端獨立運作的舊有 Zyxel 防火牆。

當您需要在這兩種不同管理模式的據點之間建立站對站 VPN (Site-to-Site VPN) 時,Nebula 提供了「自動連結 VPN」功能,讓您能輕鬆地完成設定。

本篇教學將引導您完成此設定流程。

設定前須知

適用型號:本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。

適用版本:文章中的截圖與操作步驟,基於 Nebula Control Center 19.00 版本。

設定教學範例

本篇教學範例旨在建立一個站對站 VPN (Site-to-Site VPN),讓位於「台北辦公室」的所有使用者,都能安全地存取「台中辦公室」內部的伺服器與資料 (例如:NAS)。

網路環境假設

在此範例中,我們的網路環境如下:

  • 台中辦公室 (總部)
    • 角色:資料中心,存放共用 NAS。
    • 防火牆管理模式:採用 Nebula 雲端管理
  • 台北辦公室 (分點)
    • 角色:遠端據點,需要存取總部資源。
    • 防火牆管理模式:採用本地端獨立管理。

需使用的功能

由於兩個據點的防火牆管理模式不同,我們需要使用 Nebula 的「自動連結 VPN」功能來建立此 VPN 通道。

image.png

設定前的重要原則:避免網段衝突

在設定站對站 VPN 時,一個最關鍵的原則是:本地網路 (Local Network)遠端網路 (Remote Network) 的 IP 網段絕對不能重疊或衝突

如果兩邊的網段相同,防火牆將無法判斷該將封包送往內部網路,還是透過 VPN 通道送往遠端,這會導致連線失敗。

範例說明

假設台中辦公室 (Nebula 端) 的 LAN 網段為 192.168.20.0/24

  • ❌ 錯誤設定:台北辦公室 (本地端) 的 LAN 網段也設為 192.168.20.0/24
    • 結果:網段衝突,VPN 無法正常運作。
  • ✅ 正確設定:台北辦公室 (本地端) 的 LAN 網段應規劃為一個完全不同的網段,例如 192.168.10.0/24
    • 結果:網段無衝突,VPN 可以成功建立與路由。
image.png

設定前的考量:處理上游設備的流量阻擋

如果您的防火牆並非直接連接到網際網路,而是在其上層還串接了其他路由器或資安設備(例如:電信業者的數據機、另一台總部防火牆),您必須確保這些上游設備不會阻擋 VPN 建立連線所需的流量。

VPN 通道(特別是 IPSec VPN)的建立,需要允許特定的通訊埠 (Ports) 與協定 (Protocols) 通過。

💡 簡化作法

若上游設備支援,您也可以直接將防火牆的 WAN IP 加入白名單,或將您的防火牆 WAN IP 設為 DMZ 主機,但請注意後者可能帶來的安全風險。

image.png

Nebula VPN 設定教學

步驟1 : 啟用 Nebula VPN

前往【設定 > 安全閘道器 > 站點-到-站點 VPN】,啟用要建立 VPN 的網段。

image.png

步驟2 : 新增 VPN 規則

於相同頁面最底下,找到「自動連結 VPN」區塊,點選「+新增」,並填寫以下資訊:

  • 注意: 此欄位不支援中文字元。
  • 公共 IP : 請輸入對端防火牆的 WAN IP 位址。
  • 私有子網路 : 請輸入對端防火牆後方的 LAN IP 網段。
  • 預先共用金鑰 : 請自訂一組高強度的密鑰。此密鑰必須與對端防火牆上設定的密鑰完全相同

設定完成務必點選「儲存」

image.png

步驟3 : IPSEC 策略參數確認

image.png

Non Nebula Firewall 設定

步驟1 : 啟用 VPN 設定精靈

啟用防火牆設定精靈,選擇「VPN Setup」

image.png

步驟2 : 選擇「Advanced」

進階模式才能調整與 Nebula 相同 VPN 參數,Express 模式用於同為本地管理模式下的防火牆互相建立 VPN 使用。

image.png

步驟3 : IKE 版本選擇

接下來,我們將設定本地端 Zyxel 防火牆的 VPN 參數。

請注意: 此處的所有設定,都必須與您在 Nebula 平台上設定的參數完全匹配

  1. 在「VPN 類型 (VPN Type)」中,選擇「站對站 (Site-to-site)」。
  2. 為此 VPN 連線自訂一個易於識別的名稱
  3. 在「IKE 版本 (IKE Version)」中,請選擇 IKEv1,以對應我們在 Nebula 上的設定。
image.png

步驟4 : VPN Phase1 參數設定

模式選擇 Aggressive,比對 Nebula VPN 設定參數,輸入相同參數。

image.png

步驟5 : VPN Phase2 參數設定

依照本身環境設定本地/對方網段,其餘參數請依照 Nebula VPN

image.png

步驟6 : 檢查設定總結

精靈模式設定完成,查看設定總結,檢查是否有錯誤。

image.png

功能驗證:確認 VPN 連線狀態

步驟一:前往 VPN 狀態頁面

設定儲存後,您可以前往以下路徑,查看站對站 VPN 的即時連線狀態:

【監控 > VPN 連接】

步驟二:確認連線狀態

在狀態頁面中,找到您剛剛建立的 VPN 連線規則。若文字狀態為「已連線」,即代表 VPN 通道已成功建立。

💡 請注意:首次建立連線或修改設定後,狀態更新可能需要 3-5 分鐘的時間,請耐心等候並刷新頁面。

疑難排解:連線失敗?

如果狀態長時間無法顯示為已連線,代表設定可能存在問題。最常見的原因包含:

  • 兩邊的「預先共用金鑰」不一致。
  • 公共 IP」或「私有子網路」位址填寫錯誤。
  • 上游設備阻擋了 VPN 所需的流量 (UDP 500, 4500 等)。

請回到前面的設定步驟,仔細核對所有參數是否皆正確無誤。

image.png