Zyxel usg 50 настройка usb модема
Данная статья рассчитана на пользователей бюджетных шлюзов ZyWall серии USG.
Имеем следующую задачу:
— организовать подключение к корпоративной локальной сети по средствам VPN;
— авторизация пользователей VPN под доменной учетной записью;
— собрать все это на шлюзе ZyWall USG 110;
— пользователи должны подключаются как с ноутбуков так и с мобильных телефонов.
На первый взгляд задача не казалась сложной, но когда я приступил к реализации, наткнулся на пару неприятных моментов, которые приходилось решать через службу технической поддержки.
Чтобы оградить вас от подводных камней, траты драгоценного времени, решил написать данную статью.
Итак, приступим.
Первое, что нам необходимо сделать, это определится с кругом лиц которые могут подключатся к корпоративной сети из вне. На это у меня ушло примерно минут 30 на согласование с начальством. Этим лучше не пренебрегать, так как это вопрос корпоративной безопасности.
Первый подводный камень, это закрытые системы шифрования на шлюзе, обходим следующим путем:
Подключаемся к шлюзу через SSH и включаем скрытые режимы шифрования
Вводим логин и пароль
Следующим шагом будет подключение шлюза к AD.
Создаем пользователя в AD от имени которого шлюз будет подключатся для поиска учетных записей
например:
Name zywall
Password ZyWaLlpass
Создаем группу для VPN пользователей;
Добавляем пользователей в группу VPN.
Как это делается в AD я описывать не буду так как такого материала более чем достаточно.
Подключаемся к шлюзу через Web интерфейс.
Переходим по меню: Configuration – Object – AAA server – Add.
вносим следующие настройки:
На шлюзе задаем группу пользователей для подключения к VPN
Configuration – Object-User/Group:
user name: VPN_Users_example
User Type: ext-group-user
Group Identifier: CN=VPN,CN=Users,DC=example,DC=com
Associated AAA Server Object: dc_example
Description: VPN_Users_example
Authentication Timeout Settings: Use Default Settings (можно установить Use Manual Settings и установить свои лимиты времени)
Есть возможность сразу проверить правильность всех настроек, в нижнее поле User name вводим имя пользователя состоящего в группе VPN без домена, и нажимаем кнопку Test
Следующий подводный камень это то что пользователи должны иметь группу по умолчанию Domain Users иначе проверка пользователя не пройдет.
Создаем подсеть для удаленных пользователей:
Configuration – Object – Address – Add
Далее создаем VPN шлюз
configuration – VPN – IPSec VPN – VPN Gateway – Add
Сразу нажимаем Show Advanced Settings
General settings
Enable: true
VPN Gateway Name: L2TP_Gateway_example
My Address
My Address: Wan1
Authentication
Pre-Shared KEY: AnySharedKey (необходимо придумать свой ключ)
Phase 1 Settings
SA Life Time: 86400
Negotiation Mode: Main
нажимаем ОК и переходим дальше
Настраиваем входящие подключения VPN
Configuration – VPN – IPSec VPN – VPN Connection – Add
Сразу нажимаем Show Advanced Settings
General Settings
Enable: Tue
Connection Name: L2TP_VPN_example
Enable Replay Detection: False
Enable NetBIOS broadcast over IPSec: True
MSS Adjustment: Auto
VPN Gateway
Application Scenario: Remote Access (Server Role)
VPN Gateway: L2TP_Gateway_example
Policy
Local policy: InetWAN1
Enable GRE over IPSec: False
Phase 2 Settings
SA Life Time: 86400
Active Protocol: ESP
Encapsulation: Transport
Proposal:
3DES SHA1
3DES MD5
DES SHA1
Perfect Forvard Secrecy (PFS): None
Related Settings
Zone: IPSec_VPN
Теперь настроим подключение L2TP VPN
Configuration – VPN – L2TP VPN
Enable L2TP Over IPSec: True
VPN Connection: L2TP_VPN_example
IP Address pool: VPN_Subnet_example
Authentication Method: Default
Allowed User: VPN_Users_example
Keep Alive Timer: 60
First DNS Server :Custom Defined 10.10.10.1
Second DNS Server: Custom Defined 10.10.10.5
Жмем Apply
Настройка шлюза завершена
У пользователей создаем VPN подключение со следующими основными параметрами:
Тип VPN: L2TP IPsecVPN;
L2TP KEY: AnySharedKey (ключ который вы указали при настройке VPN шлюза);
Шифрование данных необязательное (подключатся даже без шифрования);
Разрешить следующие протоколы
— Незашифрованный пароль (PAP);
(остальные протоколы отключаем)
Подскажите, как правильно настроить подключенный к usb 3g модем?
Настройка VPN IPsec подключения
Пропускная способность UTM (AV+IDP/ADP+Firewall)
USG 20
Количество гигабитных Ethernet-портов
Максимальное количество пользовательских сессий
Выбор подходящего VPN
Шлюзы позволяют создать три сценария подключения:
- L2TP over IPSec VPN
- SSL VPN
- IPSec VPN
Рассмотрим настройку каждого из них.
Количество гигабитных Ethernet-портов
USG 300
Максимальное количество одновременных туннелей VPN IPSec
ZyWALL 310
Модели ZyXEL ZyWALL
Все шлюзы ZyXEL ZyWALL USG используют гигабитные Ethernet-порты количеством от 5 до 7, в зависимости от модели. Самое главное внешнее отличие – размер и вес. USG 20 для малого офиса весит всего 380 г и располагается на стене или полке, USG 2000, предназначенный для крупных корпоративных сетей, весит уже 10 кг и монтируется в 19-дюймовую стойку.
Пропускная способность VPN IPSec (AES)
ХАРАКТЕРИСТИКИ
USG 1000
Система обнаружения и предотвращения вторжений (IDP)
Технология нейтрализует сетевых червей, трояны, бэкдоры, атаки DoS и DDoS и эксплойты, использующие известные уязвимости операционных систем и прикладных программ. Использование автоматически обновляемой базы сигнатур позволяет эффективно бороться с новыми угрозами. Данный функционал ZyWALL базируется на подписном сервисе. Для включения функции и обновление сигнатур IDP требуется приобретение и активация лицензии
Модели ZyWALL USG 50, ZyWALL USG 100
ZyWALLUSG 50, USG 100 – модели для сегмента малого и среднего бизнеса, с количеством до 100 рабочих мест. Более старшая модель серии отличается более высокой производительностью, соответственно, имеет более производительный Firewall, обеспечивает подключение для большего количества удаленных сотрудников. Шасси USG 50/ USG 100 имеют 5 и 7 портов соответственно. Любые 2 порта в каждой из моделей могут быть сконфигурированы как WAN-порты. Шлюз обеспечивает возможность распределения трафика между портами WAN, обеспечение резервирования Internet соединения.
Масса, кг
* с ускорителем SEM-DUAL
Компания ZyXEL постоянно следит за активным обновлением оборудования, и стремительно растущими потребностями компаний, вследствие чего направляет усилия на обновление модельного ряда согласно самым последним тенденциям, улучшает характеристики и возможности новых моделей в сравнении с предшественниками. Поэтому ниже приведена линейка абсолютно нового оборудования, по возможностям значительно опережающего предшественников.
Настройка SSL подключения
Контентная фильтрация (Content Filter 2.0)
Основанная на технологиях компаний Blue Coat и Commtouch позволяет закрыть доступ к потенциально опасным ресурсам, ограничить доступ к сайтам, не имеющим отношения к решению рабочих вопросов. Использование контентной фильтрации повышает уровень сетевой безопасности, сокращает бесполезный интернет-трафик и увеличивает продуктивность работы сотрудников. Для подключения сервиса Content Filter требуется приобретение и активация лицензии
Настройка VPN IPsec на клиентах
Настройка VPN IPsec на клиентах Windows
Программа для подключения IPSec VPN на Windows располагается по ссылке.
Подключение создается через «мастер создания туннеля IKE V1» (так как на шлюзе был выбран именно он).
На этой вкладке вводится IP адрес шлюза, ключ и подсеть шлюза- далее- готово.
В первой фазе проверяется соответствие параметров шифрования.
Так же и во второй фазе
Если всё сделано правильно, то подключение поднимется, о чем будет сигнализировать зеленый индикатор.
Пропускная способность VPN IPSec (AES)
USG 100
USG 20W
Объем системной памяти Mb
Zyxel серии ZyWall ATP
Рекомендованная область использования — усиленная защита от вредоносных программ и оптимизация приложений
Основной изюминкой этого семейства защищённых шлюзов можно назвать привлечение облачных ресурсов для поднятия уровня защиты.
Ресурсов одного, даже самого мощного шлюза бывает мало для анализа и диагностики множества поступающих угроз.
Поэтому привлечение дополнительных облачных ресурсов в рамках защищённого шифрованного доступа выглядит весьма оправданным шагом.
Внимание! Zyxel Cloud не участвует в обмене информации между защищаемым шлюзом и доступом извне. То есть трафик через него не проходит. Облачный ресурс используется в первую очередь для оперативного обмена информацией об уязвимостях, а также результатов дополнительной проверки подозрительных объектов, например, в рамках песочницы (Sandboxing).
В целом набор функций семейства Zyxel ZyWall ATP похож на ранее рассмотренный вариант Zyxel USG, но поддержка облачных механизмов значительно усиливает такие сервисы, как антивирусная защита, которым всегда не хватает ресурсов.
Рисунок 4. Шлюз с облачной поддержкой для защиты сети ATP200.
Ниже приводятся некоторые отличительные особенности, которые характерны только для шлюзов этой серии — Zyxel ZyWall ATP.
Машинное обучение облака Zyxel Cloud
Zyxel Cloud идентифицирует неизвестные файлы на всех межсетевых экранах ATP, собирает результаты в базе данных и ежедневно пересылает обновления на все шлюзы семейства ATP. Это позволяет собирать знания о новых угрозах и развивать систему методом машинного обучения. Таким образом облачная среда «учится» противостоять новым атакам.
Песочница — Sandboxing
Это облачная изолированная среда, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, в том числе методом запуска. То, что не может выявить потоковый антивирус, проявляется в Sandbox.
Объем системной памяти Mb
Предварительная настройка
Даже при столь обильном функционале шлюзов, создание подключений не составит труда для не сильно подготовленного человека, главное иметь в виду некоторые нюансы:
Для корректной работы L2TP VPN по средствам встроенного клиента на Windows требуется проверить включение службы «IKEEXT» (Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности)
Остальные советы из интернета о правке реестра стоит воспринимать с осторожностью, так как они могут только навредить.
В связи с таможенными ограничениями по отношению ввоза сетевого оборудования на территорию РФ, реализующее шифровально-криптографические функции, на шлюзах Zyxel «из коробки» доступно только шифрование DES.
На актуальной прошивке версии 4.35 есть возможность работы с CLI прямо из Web интерфейса и не требует отдельного подключения к шлюзу через консольный кабель, что сильно упрощает работу с командной строкой.
Для активации остальных режимов (3DES) — нужно через консоль ввести команды:
После ввода команды reboot шлюз перезапустится и позволит выбрать нужные режимы шифрования.
С нюансами разобрались, приступим непосредственно к настройке соединений.
Все примеры будут описаны с применением шлюза VPN50, VPN2S, ПК под управлением Windows, Android смартфона и иногда iPhone смартфона.
VPN50 выступает в роли «головного шлюза» находящегося в офисе/серверной.
Максимальное количество одновременных туннелей VPN IPSec
Система обнаружения аномалий (Anomaly Detection and Prevention)
Сравнительная таблица шлюзов ZyXEL ZyWALL
Zyxel серии ZyWALL VPN
Рекомендуемая область использования — безопасное и надежное соединение VPN
Основное предназначение — туннелирование трафика с использованием стойкого алгоритма шифрования Secure Hash Algorithm 2 (SHA-2).
С помощью ZyWALL VPN 50/100/300 можно внедрить высокоскоростной защищенный обмен данными между локальными серверами, удаленными устройствами и развернутыми в облаке приложениями.
Рисунок 3. Шлюз для установления надёжный VPN соединений ZyWALL VPN300.
Отдельно стоит отметить поддержку функции dual-WAN failover and fallback. Благодаря наличию двух соединений WAN, из которых одно используется как основное, а второе резервное, в случае сбоя основного соединения Zyxel VPN Firewall автоматически переключается на резервное.
Также в ZyWALL VPN Series используется функция multi-WAN load balancing/failover и реализована полная поддержка USB-модемов сотовых сетей из списка совместимого оборудования, которые можно использовать для резервирования соединения WAN.
Для построения каналов с высокими требования надёжности в ZyWALL VPN Series предусмотрен режим работы в составе отказоустойчивого кластера (High-Availability, HA) в режиме Аctive-Passive.
ZyWALL VPN Series поддерживает функцию IPSec load balancing and failover, обеспечивающую дополнительную отказоустойчивость для переключения бизнес-критичных VPN при внедрении VTI Interface.
Поддерживаемые функции VPN и не только:
- Соединение VPN с функцией IPSec VPN load balancing and failover между локациями.
- Удаленный доступ с использованием SSL, IPSec и L2TP over IPSec VPN.
- Размещенный в главном офисе VPN шлюз также может организовать соединение IPSec VPN с облаком Amazon VPC для безопасного доступа к различным облачным приложениям и расширения корпоративной сети за счет подключения к ней ресурсов облака. Это можно использовать как через графический интерфейс, так и через интерфейс командной строки (CLI)
- Управление Hotspot Management (начиная с VPN100) — обеспечение доступа к Интернет, например, для посетителей кафе, ресторанов, постояльцев гостиниц и так далее. Можно предоставлять разные уровни сервиса, вести журнал событий в соответствии с требованиями законодательства.
- Благодаря интеграции в ZyWALL VPN сервиса Facebook Wi-Fi маленькие магазины и рестораны могут не только предоставить своим посетителям выход в Интернет, но и улучшить свою популярность с помощью Facebook.
- Интегрированный контроллер точек доступа обеспечивает централизованное управление для гибкого развертывания беспроводной сети. Функция AP Controller в ZyWALL VPN series позволяет централизованно управлять несколькими точками доступа с помощью одного интерфейса пользователя. Эта функция максимально упрощает развертывание и обслуживание сети WiFi компании.
- Возможность организации соединений site-to-site IPSec VPN.
- Отказоустойчивый кластер IPSec VPN HA (балансировка нагрузки и переключение при отказах) для обеспечения высокой доступности соединения VPN.
- Организация безопасного доступа к внутренним ресурсам с помощью SSL, IPSec и L2TP over IPSec VPN.
- Соединение USG/ZyWALL через канал IPSec VPN с Microsoft Azure для безопасного доступа к различным облачным приложениям.
Стоит отметить, что данное устройство работает по принципу «всё своё ношу с собой». Тут и VPN, и неплохой уровень защиты, и ограничение полосы пропускания.
Но если нужно сосредоточиться именно на функциях безопасности, то лучше использовать шлюзы Zyxel серии ZyWALL ATP с поддержкой в лице облачного сервиса Zyxel Cloud.
Настройка VPN IPsec на VPN50 с предоставлением конфигурации
Шлюз позволяет упростить настройку у пользователей посредством запроса конфигурации прямо со шлюза. Для этого на вкладке VPN -> IPSec VPN -> Configuration Provisioning
включается функция предоставления конфигурации
Добавляется новая конфигурация, где выбирается созданное VPN подключение и группа пользователей. Активировать и сохранить.
После этого в ZyWALL IPSec VPN Client будет доступна возможность загрузки конфигурации прямо со шлюза.
В меню Конфигурация выбрать пункт «Получить с сервера»
Где нужно ввести только IP адрес шлюза, логин и пароль пользователя.
После успешного соединения будут получены все нужные настройки и создано новое подключение.
Заключение
Были рассмотрены самые популярные варианты подключения VPN с различными клиентскими устройствами. Но самих вариантов еще очень много.
Благодаря обширному функционалу шлюзов Zyxel, есть возможность расширить рабочую сеть далеко за пределами офиса с минимальными затратами на настройку и поддержку.
Больше информации вы можете найти на странице технической поддержки Zyxel
Обсудить статью и получить поддержку вы можете в нашем телеграм-чате.
Давным-давно прошли времена, когда единственным средством защиты периметра сети мог быть роутер из старого компьютера с какой-нибудь бесплатной UNIX-like операционной системой, например, FreeBSD и штатным файерволом.
Сегодня системным администраторам доступны как многочисленные специализированные дистрибутивы для установки на сервер, так и готовые программно-аппаратные комплексы.
Развитие спроса и предложения привело к усилению специализации.
Если раньше организация доступа в Сеть и обеспечение безопасности было делом избранных гуру, то сейчас количество точек с выходом в Интернет растёт день ото дня, и любой школьник может подключить шлюз, роутер, точку доступа и начать раздавать трафик внутри сети.
Изменились и угрозы в сети. Сейчас основную опасность представляют не хакеры «старой школы», а массовые заражения новыми типами вирусов и троянских программ. В подготовке атак злоумышленники могут использовать сторонние ресурсы, например, заранее созданные ботнеты (зомби-сети) для рассылки спама, организации DDOS-атак и так далее.
Но это ещё не всё. С развитием сети всё большую роль играет не только уровень безопасности на отправителе и получателе, но как передаётся информация: в каком виде, по какому маршруту и т. д.
Если оставить эти вопросы без ответа, придётся отвечать на другие вопросы, например: «Куда делись деньги со счёта?», «Как ОНИ про это узнали?» и «Когда в конце концов хоть что-то заработает?!».
Сейчас нужно точно знать, что и от чего мы защищаем и какой инструмент лучше выбрать.
Поддержка VLAN 802.1Q
ZyWALL USG поддерживает технологию виртуализации локальной сети на уровне протокола VLAN 802.1q. Интерфейсы VLAN, созданные на основе физических интерфейсов, позволяют разделить корпоративную сеть на нужное количество сегментов, назначать гранулированные политики контроля каждой виртуальной VLAN, вести наблюдение за активностью в сетях различного уровня сложности.
Система фильтрации спама (Antispam)
Многокритериальные политики доступа
Интеллектуальная система обработки правил, реализованная в ZyWALL USG, принимает решение о направлении пакетов в соответствии с политиками доступа, основанными на множественных критериях объектного набора, в том числе, таких как пользователь/группа пользователей, IP-адрес источника/получателя, время активации/деактивации правила. Подобные политики действуют для правил межсетевого экрана, маршрутизации, контентной фильтрации и управления полосой пропускания
Пропускная способность UTM (AV+IDP/ADP+Firewall)
All Replies
Zyxel_Andrew Публикаций: 406 Zyxel Employee
Пожалуйста, прочитайте статью в нашей Базе Знаний:
Резервирование основного канала с использованием 3G/4G/LTE модема в шлюзах безопасности серии ATP/VPN/Zywall/USG
Подскажите, есть документация по настройке доступа клиента vpn ipsec в сеть dmz
Заранее Большое спасибо!
Zyxel_Andrew Публикаций: 406 Zyxel Employee
Спасибо за понимание!
Здравствуйте!
Пожалуйста, прочитайте статью в нашей Базе Знаний:
Резервирование основного канала с использованием 3G/4G/LTE модема в шлюзах безопасности серии ATP/VPN/Zywall/USG
Zyxel_Andrew Публикаций: 406 Zyxel Employee
Zyxel_Andrew Публикаций: 406 Zyxel Employee
Я понимаю, но модели указанные в вашем документе
Yota | WLTUBA-107 |
Yota | WLTUBA-108 |
Т.е. роутер за 15К (Zyxel VPN50) не поддерживает свежие модели модемов?
Zyxel_Andrew Публикаций: 406 Zyxel Employee
В списке находятся модемы работа которых с нашими устройствами была проверена. Сейчас мы занимаемся добавлением новых, актуальных модемов в список. Пока наши внутренние тесты успешно прошли модемы ZTE MF79RU и MF833R.
Шлюзы ZyWALL USG от ZyXEL созданы для нужд корпоративных сетей как в малых офисах, так и на крупных предприятиях. Они выступают в качестве граничных маршрутизаторов сети с повышенными характеристиками безопасности. ZyWALL USG – серия универсальных шлюзов доступа с функцией firewall, обеспечивающих сетевую безопасность, механизмы управления трафиком WAN-каналов, балансировки между каналами.
Модели ZyWALL USG 20, ZyWALL USG 20W
Самые простые модели шлюза в линейке – это ZyXEL ZyWALL USG 20 и USG 20W. Основное отличие модели USG 20W от USG 20 в наличии WIFI-модуля и двух антенн для беспроводной связи. Эта серия нацелена на удовлетворение потребностей SOHO-сегмента – малых офисов, удаленно работающих сотрудников.
Настройка клиентов L2TP
Настройка L2TP на клиентах Windows
На Windows 10 настройка L2TP производится штатными средствами:
- Поставщик услуг – Windows (встроенные)
- Имя подключения – на выбор
- Имя или адрес сервера- IP адрес VPN шлюза
- Тип VPN- L2TP с предварительным ключом
- Общий ключ- ток ключ, что создавался на первом пункте Wizard'а
- Логин и пароль пользователя из группы разрешенных
Выставляется правильные шифрование и протоколы как на изображении.
Во вкладке Дополнительные параметры меняется предварительный ключ
Так же рекомендуется на вкладке Сеть отключить протокол IPv6
На этом подключение готово.
Настройка L2TP на клиентах Android
Иногда требуется подключать и мобильных сотрудников к корпоративной сети.
На Android смартфонах это делается в меню:
Здесь вводится имя подключения, выбирается тип VPN L2TP/IPSec PSK, вводится общий ключ, имя пользователя и пароль.
После подключения должен появиться значок «Ключ», который информирует о VPN соединении.
Настройка L2TP на клиентах Iphone
Настройка Iphone практически не отличается от клиентов android
По пути
создается новое подключение, где прописывается Описание (название подключения), Сервер (ip адрес шлюза), имя пользователя с паролем и общий ключ. Готово.
После создания и подключения VPN в верхнем правом углу будет отображаться иконка «VPN», как индикатор поднятого соединения.
Тапнув по конфигурации так же можно увидеть информацию о соединении.
Настройка L2TP на аппаратном клиенте VPN2S
А теперь покажем, как подключить к корпоративной сети удаленного клиента, у которого дома установлен недорогой шлюз Zyxel VPN2S.
Для подключения VPN2S клиентом L2TP настройка так же не составит труда. Тут даже не требуется «Wizard», все правила изначально созданы.
Первым делом в Configuration -> VPN -> IPsec VPN нужно включить стандартные конфигурации.
В Gateway конфигурации ввести Peer Gateway Address (IP адрес шлюза) и ключ.
На вкладке L2TP VPN поставить галочку Enable, на против IPsec (имя дефолтной конфигурации) Enforce, ввести имя и пароль пользователя и, если требуется, включить NAT.
После этого перейти обратно на вкладку IPsec VPN и убедиться, что в Connection Tunnel горит «зеленый глобус», сигнализирующий о поднятом соединении.
Потоковый антивирус (Kaspersky)
Потоковый антивирус, основанный на современных технологиях ZyXEL и Касперского, сканирует в реальном режиме весь внешний трафик, препятствуя проникновению вредоносных программ в сеть. Благодаря регулярному автоматическому обновлению баз сигнатур антивирус способен обнаруживать и обезвреживать новые вирусы.
Возможности и функции
Все межсетевые экраны оснащены широким функционалом, разработанным специально для линейки устройств ZyXEL ZyWALL. Все возможности и функции линейки межсетевых экранов разработаны для обеспечения максимально комфортной, удобной, продуктивной и безопасной работы с ними.
Шлюзы Zyxel ZyWALL USG поддерживают протокол IPv6 (Internet Protocol version 6), что позволит избежать затрат на новое IPv6-совместимое оборудование в процессе миграции корпоративных сетей к инфраструктуре IPv6, сохраняя высокий уровень сетевой безопасности и оправдывая инвестиции в ZyWALL USG.
Пропускная способность МСЭ, Мбит/с
Система End Point Security
Масса, кг
Настройка клиентов SSL
Настройка SSL на клиентах Windows
Для подключения клиента Windows используется программа ZyWALL SecuExtender 4.0.3.0.
Настройка заключается лишь в введении IP адреса шлюза и логина\пароля пользователя.
Так же можно поставить галочку «запомнить пользователя», чтобы не вводить каждый раз.
В процессе подключения согласиться со всплывающим предупреждением
После подключения во вкладке Status будет показана информация о соединении.
USG 2000
Максимальное количество пользовательских сессий
Разъемы USB для расширения функциональности
Порты USB могут быть использованы для установки поддерживаемых типов 3G-модемов, а так же для подключения FLASH-накопителей, используемых для накопления и хранения логов и дампов трафика
В заключении, хотим сказать, что линейка шлюзы ZyXEL ZyWALL USG представлена большим ассортиментом моделей, любую из которых вы можете приобрести на CONETEC, по выгодной цене. А наши квалифицированные специалисты помогут Вам подобрать модель, максимально отвечающую вашим запросам. Кроме того, в нашем штате есть проффесиональный и обученный персонал, который, при необходимости, организует установку, и обьяснит Вам все детали в эксплуатации шлюза ZyXEL ZyWALL USG. Обращайтесь в CONETEC, и мы позаботимся о самом подходящем решении для Вас!
CONETEC
Москва м. Алексеевская
1-я Мытищинская улица, 27, стр. 2
ИНБОКС
VPN шлюзы Zyxel Zywall серий VPN, ATP и USG обладают обширными возможностями создания защищенных виртуальных сетей (VPN) для подключения как конечных пользователей (узел-сеть), так и создания подключения между шлюзами (сеть-сеть). В этой статье мы пройдем по всем моментам создания и настройки VPN подключения удаленных сотрудников.
Общие характеристики
Zyxel ZyWALL включает в себя функцию межсетевого экрана, потокового антивируса, механизмы обнаружения и предотвращения вторжений, защиту от спама, контроль полосы пропускания для разнообразных объектов сети, VPN-доступ для удаленных подключений имеет интуитивный WEB-интерфейс управления, графический мониторинг состояния. Используя шлюз ZyXEL ZyWALL USG как VPN-концентратор, вы можете связать отдельно расположенные сети компании в единую глобальную сеть, а также включать в состав сети работников, работающих вне офисов. Эта опция наиболее важна для крупных компаний с региональными представительствами, филиалами в различных городах и странах или для объединения работников, находящихся на больших расстояниях друг от друга. Среди других достоинств ZYXEL ZYWALL USG – объекто-ориентированная модель управления, поддержка LDAP, MS AD и RADIUS, использование портов WAN/LAN и DMZ, в том числе – порты Ethernet с пропускной способностью 1 Гбит/с, связь с провайдером по 2,5G и 3G модемам, а также межсетевой экран, защищающий сеть от спама, вирусов и других вторжений извне.
Основные технологические преимущества ZyWALL:
- поддержка IPv6;
- 3 типа VPN: IPSEC/L2TP/SSL;
- поддержка VLAN 802.1Q;
- потоковый антивирус (Kaspersky);
- система обнаружения и предотвращения вторжений (IDP);
- система обнаружения аномалий;
- система фильтрации спама (Antispam);
- контентная фильтрация (Blue Coat);
- система End Point Security;
- управление приложениями IM/P2P;
- многокритериальные политики доступа;
- разъемы USB для расширения функциональности.
Более подробная информация о преимуществах ZyWALL в нижней части статьи.
ZyWALL 1100
Заключение
Разумеется, в рамках одной небольшой статьи нельзя описать весь широкий спектр возможностей, которые имеются в распоряжении современных защитных шлюзов Zyxel.
Для получения более подробной информации читайте наш блог на Хабра, материалы на сайте Zyxel, и, конечно, документацию к продуктам.
ХАРАКТЕРИСТИКИ
Настройка VPN IPsec на VPN50
Перейдем к настройке самого безопасного VPN IPsec.
На вкладке VPN -> IPsec VPN -> VPN Gateway создается новое правило
Где указывается имя, версия IPsec, ключ, режим согласования и варианты шифрования.
В соседней вкладке VPN Connection создается новое подключение, настройки по аналогии с созданием L2TP.
Пропускная способность МСЭ, Мбит/с
Что предлагает Zyxel: разделение по специфике
Можно выделить два основных направления, которые требуют защиты:
- Доступ к сторонним ресурсам и доступ сторонних пользователей к корпоративным (например, к web-сайту). Эти решения можно разделить с привлечением облачных ресурсов в шлюзах Zyxel серии ZyWALL ATP и полностью закрытые серии USG.
- Связь между собой отдельных узлов, например, филиалов с центром или физических лиц с работодателем. Это обычно выполняется при помощи виртуальных приватных каналов связи VPN и тут подходит Zyxel серии ZyWALL VPN.
Примечание. Существует ещё семейство шлюзов Zyxel, которое мы не рассматриваем в рамках данной главы. Это устройства с возможностью внешнего облачного управления Zyxel Nebula. Но так как «невозможно объять необъятное», то сейчас сконцентрируемся на классическом варианте устройств с локальным управлением.
Надо отметить, что несмотря на различия, есть и некоторые общие черты. Среди каждого из направлений можно выделить решения как для крупного бизнеса, так и для небольших организаций. Это накладывает некоторые конструктивные особенности.
Рисунок 1. Шлюз для корпоративного применения USG2200-VPN.
Например, некоторые модели для небольшого бизнеса имеют встроенные WiFi модули для использования их в качестве точек доступа беспроводной сети.
Рисунок 2. Шлюз для защиты сетей в небольших организациях USG60W.
Так как функции всех трёх направлений частично перекрывают друг друга, мы будем говорить о рекомендованной сфере применения.
Разумеется, если вы попытаетесь построить VPN соединение на USG шлюзе, или использовать VPN для защиты сети, то ничего страшного не произойдёт, но это будет не слишком эффективно.
Поэтому прежде, чем перейдём к особенностям для каждого направления, будет полезно изучить их общие черты.
Для удобства доступ к данному порталу интегрирован в графический интерфейс продуктов серии USG и серии ZyWALL VPN. Поиск информации и ресурсов выполняется одним щелчком мыши в GUI-консоли этих продуктов. Благодаря такому подходу можно быстро и легко узнавать об актуальных угрозах методах их устранения. Материал преподносится в виде хорошо зарекомендовавшего себя формата FAQ (Часто Задаваемые Вопросы). Это позволяет своевременно предпринять все необходимые меры для защиты от выявленных угроз.
Быстрое и безопасное обновление
Эта функция также является общей для всех трёх направлений.
Чтобы облегчить поиск нужного обновления микрокода (Firmware) необходимой версии, используется новый сервис Cloud Helper, который предоставляет информацию о последних версиях прошивки.
Самый свежий вариант становится сразу же доступен после официального выпуска, что гарантирует его аутентичность и надежность.
USG 50
ZyWALL 110
Настройка L2TP подключения
Настройка L2TP на VPN50
Проще всего настроить VPN через Wizard. Он сразу создаст все правила и подключение.
После ввода логина\пароля открывается Easy mode (упрощенный режим управления)
Настоятельно рекомендуем использовать его только в информационном режиме, так как создаваемые через Easy Wizard режимы VPN потом нельзя корректировать в Expert Mode.
Нажимаем верхнюю правую кнопку “Expert Mode” и попадаем в полноценный Web интерфейс управления
Слева сверху иконка «волшебная палочка» — быстрая настройка:
Если настройки интернета отличаются от DHCP, первоначально требуется настроить WAN interface. Для настройки VPN выбираем правую иконку
Для настройки L2TP выбрать последний пункт «VPN Setting for L2TP».
Здесь нам предлагают ввести имя подключения, интерфейс, через который будет проходить трафик (стоит иметь в виду: если подключение к интернету происходит через PPPOE подключение, то и здесь соответственно нужно выбрать wan_ppp) и предварительный ключ.
На следующей странице вводим диапазон IP адресов, которые будут присваиваться клиентам.
Диапазон не должен пересекаться с другими интерфейсами на шлюзе!
DNS сервер можно не прописывать, если не требуется пускать весь трафик (клиентский интернет) через VPN, что выбирается галочкой ниже.
На этой странице выводится информация о созданном подключении, проверяется правильность всех данных и сохраняется.
Всё! Подключение создано. Осталось создать пользователей для подключения к шлюзу.
На вкладке Configuration -> Object -> User/Group создаются пользователи (требуется ввести имя и пароль.)
На соседней вкладке для удобства можно создать группу и внести в нее список пользователей. Если удаленных пользователей более одного, то группу в любом случае придется создавать.
На вкладке VPN-L2TP VPN в пункте Allowed user выбираем созданную ранее группу или единичного пользователя, которые смогут подключаться по L2TP.
На этом создание подключения по L2TP на шлюзе можно считать настроенным.
Перейдем к настройке клиентов.
Настойка SSL на шлюзе VPN50
Для настройки SSL VPN (которых к слову без лицензии меньше, чем L2TP, но имеющие более защищенное подключение) потребуется:
На вкладке VPN -> SSL VPN создается новое правило, в котором указывается имя, список пользователей\групп, пул выдаваемых IP адресов и список сетей, в который будет доступ клиентам.
Делается это по пути Object -> Service -> Service Group.
USG100-PLUS
3 типа VPN: IPSEC/L2TP/SSL
В дополнение к традиционной поддержке технологии IPSec VPN, в ZyWALL также поддерживаются протоколы L2TP over IPSec и SSL для удобного подключения удаленных мобильных пользователей. SSL VPN особенно удобна для создания виртуальных рабочих мест удаленно работающих сотрудников, поскольку не требует настройки промежуточного оборудования, установки программного или аппаратного клиента на удаленном компьютере . L2TP over IPSec поддерживается операционными системами MS Windows, а также операционными системами Android v3.00 и iPhone iOS4, что позволяет создавать мобильные рабочие места с использованием смартфонов и планшетных компьютеров.
Модели ZyWALL USG 300, ZyWALL USG 1000, ZyWALL USG 2000
Наиболее производительные шлюзы ZyXEL ZyWALL USG представлены моделями, USG 300, USG 1000 и USG 2000. Это серия для крупных компаний, провайдеров, крупных WEB-проектов. Наивысшая производительность, стоечное исполнение. Все порты универсальные. Модель USG 2000 имеет 2 комбо SGP слота для установки оптических модулей.
Ключевыми характеристиками, которые определяют класс и функциональность определенной модели, являются:
- пропускная способность МСЭ (межсетевого экрана), VPN IPSec и в более мощных моделях – UTM, от которых зависит скорость передачи данных через шлюз (для максимальной скорости в USG 2000 рекомендуется приобретение ускорителя SEM-DUAL);
- максимальное количество сессий и туннелей, определяющие количество пользователей, которые могут подключиться к виртуальной глобальной сети;
- технические характеристики, вроде объема системной памяти, количества Ethernet-портов и габаритов.
Сводные данные в таблице помогут Вам быстро сравнить все устройства и выбрать нужное. Если у Вас возникнут какие-либо вопросы, наши специалисты всегда рады помочь Вам.
Читайте также: