Sentinel (Dynamisk IP) til ZyWALL (Statisk IP) VPN Tunnel 1. Opsætning af ZyWALL VPN 2. Opsætning af SSH Sentinel Denne side giver en gennemgang af opsætning af VPN mellem Sentinel software klient v1.4 og ZyWALL router. Som figuren herunder viser, er en tunnel mellem PC 2 med Sentinel installeret og ZyWALL sikker, fordi al trafik der går igennem IPSec tunnelen er krypteret. De indstillinger der kræves i Sentinel og ZyWALL for at opsætte denne VPN tunnel er forklaret i de følgende sektioner. Som den røde figur viser på nedenstående tegning, er VPN tunnellens endepunkter i denne opsætning Sentinel og ZyWALL. De IP adresser der benyttes i dette eksempel vises herunder. LAN 1 ZyWALL PC2 192.168.1.0/24 LAN: 192.168.1.1 WAN: 172.21.1.252 <Dynamisk> 1. Opsætning af ZyWALL VPN 1. Log ind i ZyWALL via en browser ved at indtaste LAN IP en i adresse linjen. Default IP er 192.168.1.1 og default password er 1234. 2. Vælg VPN. Ved ældre firmware vælges først Advanced og derefter VPN 3. Sæt hak i Active feltet for at aktivere reglen. Sæt evt. hak i Keep alive hvis du ønsker at holde tunnelen åben hele tiden. 4. Sæt Negotiation Mode til Main, ligesom i Sentinel opsætningen. 5. Local IP, Address Type skal være Subnet, Address Start er 192.168.1.0, End/Subnet Mask er 255.255.255.0.
6. Remote IP sættes til single address eller subnet address og IP samt maske sættes til 0.0.0.0 7. My IP Addr skal være WAN IP på ZyWALL. 8. Secure Gateway IP Addr skal være 0.0.0.0. 9. Sæt Encapsulation Mode til Tunnel. 10. Sørg for at der er hak i ESP feltet. (AH skal ikke bruges hvis der benyttes SUA/NAT) 11. Sæt Encryption Algorithm til DES og Authentication Algorithm til SHA1. 12. Indsæt din nøgle MinNøgle i Preshared Key feltet, og tryk på Apply. 13. Tryk på Advanced knappen for at sætte IKE phase 1 og phase 2 parametre. Se billede af VPN regelsæt
Opsætning af IKE Phase 1 og Phase 2 parametre.
2. Opsætning af Sentinel 1. Højreklik på Sentinel ikonet i proces linjen og vælg Run Policy Editor. 2. Vælg Key Management. Vælg My Keys, og tryk på Add... knappen.
3. Vælg Create a preshared key, og tryk på Næste. 4. Giv denne preshared key et navn, f.eks. MinNøgle. Indsæt din preshared key f.eks. "12345678" i både Shared secret og Confirm shared secret felterne. Tryk til sidst på Udfør.
5. Tryk Apply i hoved menuen for at gemme dine indstillinger. 6. Skift til Security Policy fanebladet. Vælg VPN connections, og tryk på Add...
7. Add VPN Connection vinduet vil nu komme frem. Tryk på IP knappen ved siden af Gateway Name feltet. Indsæt ZyWALL10's WAN IP adresse i Gateway IP address feltet. 8. Tryk på... knappen ved siden af Remote network. 9. Network Editor Vinduet vil nu komme frem. Tryk på New knappen, og skriv ZyWALL som Network name, og 192.168.1.0 i IP address feltet og 255.255.255.0 i Subnet Mask feltet. Klik så på OK for at komme tilbage til Add VPN Connection vinduet.
10. Vælg MinNøgle som Authentication Key. Klik så OK for at gemme. 11. I SSH Sentinel Policy Editor, Vil du nu få en ny VPN forbindelse, 172.21.1.252(ZyWALL), vælg denne, og tryk på Properties... knappen.
12. Vælg Settings knappen under Remote endpoint. Fjern hakket i "Acquire virtual IP address" og "Extended authentication". 13. Under IKE proposal sæt Encryption algorithm til DES, Integrity function til MD5, IKE mode til main mode, IKE group til MODP 768 (group 1), og under IPSec proposal sæt Encryption algorithm til DES, Integrity funciton til HMAC-SHA1 og PFS group til none, og sæt til et hak ud for Attach only the selected values to the proposal.
14. Tryk på Apply for at gemme alle indstillinger. 15. Initier VPN forbindelsen fra Sentinel ved at vælge din VPN forbindelse fra Select VPN. Bemærk: A. Ved VPN mellem Sentinel og ZyWALL, kan tunnellen ikke oprettes fra ZyWALL siden, men skal altid oprettes fra Sentinel siden. B. VPN tunnellen på Sentinel kan ikke initieres med ping, telnet, ftp, HTTP e. lign. Tunnelen kan kun startes ved at vælge Select VPN" fra SSH/Sentinel i proces linjen.
Bemærk: ZyXEL supporterer ikke Mega Bytes som SA lifetime, så her skal stå 0 (dette er som default sat til 0) både under IKE security association og IPSec security association. For at sætte dette, vælg fanebladet Security Policy, konfigurationssiden findes ved at markere din VPN forbindelse og vælge Properties... vælg Advanced fanebladet og tryk på Settings...