Nebula 如何設定站點對點站 VPN (Site-to-Site VPN) 串連兩個辦公室

Zyxel小編 MinChi
Zyxel小編 MinChi 文章數: 45  Zyxel Employee
First Comment First Answer Friend Collector Second Anniversary
已編輯 Jun 20 日 Nebula 常見問題

Site-to-Site VPN (站對站 VPN)

站對站 VPN (Site-to-Site VPN) 提供了一種安全、高經濟效益的方式,讓您能在兩個不同的辦公室或據點之間,建立一條加密的通訊隧道,彷彿它們在同一個區域網路內,而無需負擔昂貴的專線費用。

⚠️ 重要限制:不支援雙方站點皆位於 NAT 之後

請特別注意,若要建立 Site-to-Site VPN,至少必須有一端的防火牆擁有公開 (Public) IP 位址

Nebula 不支援兩端的防火牆,同時都位於另一台 NAT 路由器之後的「雙重 NAT 」架構。

根本原因:在這種架構下,兩端的防火牆都無法得知對方的真實公開 IP 位址,因此無法主動發起連線,導致 VPN 隧道建立失敗。

版本資訊

本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本

不支援的架構範例 (Unsupported Architecture Example)

下圖便是一個不被支援的範例。防火牆 F1F2 都各自位於一台 NAT 路由器 (R1, R2) 之後,此時它們之間的 Site-to-Site VPN 將無法建立。

下圖為「兩端 VPN 站點皆位於 NAT 之後」的示意圖 :

image.png

VPN 拓撲概覽 (Topology Overview)

在建立 Site-to-Site VPN 時,您可以根據您的網路需求,選擇以下兩種拓撲架構之一。

特性 (Feature)

網狀拓撲 (Fully Meshed)

星狀拓撲 (Hub-and-Spoke)

定義

所有站點之間,兩兩都建立直接的 VPN 通道。

所有「分支 (Spoke)」站點都只與「中心 (Hub)」站點建立 VPN 通道。

優點

• 站點間可直接通訊,延遲最低。

• 單一站點故障不影響其他站點間的連線。

• 設定與管理較為單純。

• 資源消耗較少。

缺點

• 設定複雜度高,每新增一個站點,就需要與所有現有站點建立連線。

• 資源消耗大。

• 分支之間通訊需繞經中心,延遲較高。

• 中心站點是單點故障來源,一旦故障,所有 VPN 連線都會中斷。

適用情境

需要站點間頻繁、低延遲通訊的環境。

總部-分公司架構,所有分支主要與總部通訊。

如下圖所示,1 為網狀拓撲,2 為星狀拓撲 :

image.png

——————————————————————————————————————————————————————————

Nebula Auto VPN 設定指南:建立跨站點的 IPSec VPN 通道

Nebula 的「SD-VPN」功能,能讓您在同一個組織下的不同站點之間,快速地建立起加密的 Site-to-Site IPSec VPN 通道。

本篇教學將以一個組織下的「台北站點」「台中站點」為例,示範完整的設定流程。

設定前的重要前提

必須在同一個組織內 : Nebula 的 SD-VPN 功能,僅適用於隸屬在同一個組織下的站點。若您的兩個站點位於不同組織,則必須改用「自動連結 VPN」的方式來建立連線。

關於「自動連結 VPN」教學您可以參考此文章 : 如何與本地管理的 ZYXEL 防火牆建立 Site to Site VPN

設定流程

您需要在兩個站點上,分別進行一次相同的設定。我們先以「台北站點」為例:

第一站點設定 (以台北為例)

  1. 選擇站點:登入 Nebula 後,從頂端選單中,先選擇「台北站點」
  2. 前往 VPN 設定頁面:導覽至 【整個站點 > 設定 > 防火牆 > 站點-到-站點 VPN】
  3. WAN 介面選擇 : 選擇主要建立 VPN 的 WAN 介面,若您有多個 WAN 介面,亦可指定第二介面。
  4. 設定本地網路:在「本地網路」區塊,勾選要納入 VPN 通道範圍的 LAN 網段。
  5. 啟用 Nebula VPN:啟用「SD-VPN」功能。
  6. 選擇拓撲:在「VPN 拓撲」選項中,選擇「站點-對-站點」
  7. 儲存設定:點擊頁面底部的「儲存」按鈕。

第二站點設定 (以台中為例)

  1. 切換站點:從頂端選單中,切換到「台中站點」
  2. 重複操作:完整地重複一次上述的步驟 2 到步驟 7
image.png

驗證連線狀態

兩邊站點都儲存設定後,系統會自動建立 VPN 通道。

💡 請注意:首次建立通道可能需要 5-10 分鐘的作業時間,請耐心等候。

您可以透過以下任一方式來驗證連線狀態:

  • 方法一:查看 VPN 連線狀態
    • 路徑【整個站點 > 監控 > 安全閘道器 > VPN 狀態】
    • 成功指標:當遠端站點的「狀態」顯示為「已連線」時,即代表通道已成功建立。 image.png
  • 方法二:檢查事件日誌
    • 路徑【整個站點 > 監控 > 防火牆 > 事件日誌】
    • 成功指標:篩選「VPN」類別,您應該能看到關於 VPN 通道成功建立的日誌紀錄。 image.png

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)