IPSec VPN между ZyXEL ZyWall 35 EE и LTE6100

В данном посте рабочий пример настройки IPSec VPN между ZyWall UTM (5/10/35/70 EE) и NDMS (Keenetic/LTE61XX). На момент написания данный мануал отсутствовал в Базе Знаний ZyXEL, так что может кому-нибудь сэкономить пару часов или даже суток времени для жизни.

vpn_overview

Бэкграунд

Вы спросите «слыш, а нахрена пытаться связать старое гуано мамонта и новую сверкающую пластмасску?»

Причинами для меня конкретно являются:

  • стоимость ZyWALL 5/10/35/70 на вторичном рынке с оглядкой на производительность и функционал — очень вкусно;
  • LTE61XX как лучшее аутдор решение для включения удаленных филиалов по LTE (вот только не надо про могучий Microtik и втыкание в него калечных свистков);
  • и то и это умеет IPSec, и то и это сделано ZyXEL, поэтому почему ж нет.

Перед тем, как начать наступать на грабли

Убедитесь, что оба девайса обновлены до последних версий прошивок, энторнет настроен, а адреса на интерфейсах WAN прямые и статические. Теоретически, вы можете развить тему, сделав VPN без прямого адреса на одной из сторон, но здесь я об этом не рассказываю.

Вводные

  • ZyWALL 35 EE будет у нас в главном офисе, потому что он крутой и мощный, а также подключен по оптике к каким-то аферистам, продающим энторнет втридорога с привкусом корпоративного обслуживания.
    адрес на WAN интерфейсе 77.77.77.77
    локалка 192.168.101.0/24 (не советую использовать 192.168.0-10.0, т.к. могут быть ньюансы при подключении win-юзеров с софт-клиентом);
  • LTE6100 будет у нас где-то в ебенях, где кроме LTE и электричества толком ничего и нет, но требуется межофисная связь.
    адрес на WAN интерфейсе 50.50.50.50локалка 192.168.102.0/24

Первый пошел

В web-интерфейсе ZyWALL топаем в SECURITY -> VPN -> VPN Rules (IKE) нажимаем на Add gateway policy:
add gw pol

Далее вводим имя туннеля (обязательно), внешние адреса обоих концов, ключ шифрования:
gw-pol1

Также проверим настройки шифрования этого уровня (всего уровней 2):
gw-pol2

Вернувшись в SECURITY -> VPN -> VPN Rules (IKE) нажимаем на
Add network policy:
add net pol

Ставим галочки, пишем настроечки (если будете гонять файлы по нетбиосу можете поставить соответствующую галку):
net-pol1

Параметры удаленной сети и настройки еще одного уровня шифрования:
net-pol2

Второй пошел

Веб интерфейс LTE6100 (NDMS). То, что нам нужно находится в Безопасность — VPN — Новый туннель:lte1 lte2

Задача как бы повторить конфиг основной балалайки в модном интерфейсе с неполным функционалом. После сохранения настроек надо перезагрузить LTE6100, т.к. иначе ничего не заработает 🙂

В подборе рабочего конфига помогла вот эта статья в Базе Знаний.

P.S. просто на всякий случай «нет системы которую невозможно взломать», поэтому не стоит считать, что данные, передаваемые по туннелю не станут доступны третьим лицам, обладающим необходимым оборудованием, навыками и доступом к оборудованию провайдеров (угадайте кто же это такие). тем не менее данная схема более удачна, чем передача внутресетевого трафика в открытом виде.

Запись опубликована в рубрике hardware, IT, безопасность, сети. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *