configuración vpn ipsec de zywall a zywall

Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’

Pág. 1/1

Este documento es una guía para configurar una conexión segura a través de

Internet entre dos redes remotas. La conexión segura a través de Internet es

posible gracias a la opción tunneling IPSec de la serie ZyWALL de ZyXEL. A

continuación se detallan todos los factores a tener en cuenta, así como las

configuraciones necesarias en los equipos que intervienen en la comunicación.

Diagrama de red

LAN 1 PC 1 ZyWALL A ROUTER A

192.168.1.0/24 192.168.1.33 LAN: 192.168.1.1

WAN: 192.168.10.3

LAN: 192.168.10.1

WAN: 80.102.53.108

NAT activo

LAN 2 PC 2 ZyWALL B ROUTER B

192.168.2.0/24 192.168.2.33 LAN: 192.168.2.1

WAN: 192.168.20.3

LAN: 192.168.20.1

WAN: 213.52.97.232

NAT activo


Pág. 2/2

ASPECTOS A TENER EN CUENTA EN ESTA CONFIGURACIÓN:

1. Los routers deben soportar IPSec pass through.

2. Sí se tiene la opción NAT habilitada (caso más común) solo se podrán

establecer VPN en modo túnel y protocolo ESP.

3. Si el router es de ZyXEL, debe configurarlo para redirigir todo el tráfico

entrante a la dirección IP WAN del ZyWALL.

MIRAR APÉNDICE A

4. La dirección IP WAN del router A es la dirección destino del túnel que se

configurará en el ZyWALL B. Del mismo modo, la dirección IP WAN del

router B será la dirección destino del túnel que se configurará en el ZyWALL

A. La dirección destino de un túnel recibe la nomenclatura ‘secure Gateway’

en la pantalla de configuración de los ZyWALL.

5. Si mantiene la opción firewall activa en los ZyWALLs se deberá habilitar la

entrada del puerto IKE (UDP 500) en la interfaz WAN.

MIRAR APÉNDICE B

6. En el caso de tener servidores internos en la red local y querer hacerlos

accesibles desde Internet a cualquier usuario deberá habilitar NAT en el

ZyWALL y configurar la tabla de servidores NAT.

CONFIGURACIÓN ZyWALL A

1. Usando el navegador web, entre en la configuración del ZyWALL

introduciendo la dirección IP LAN del ZyWALL en el campo dirección. La

dirección IP LAN por defecto es 192.168.1.1, y el password por defecto

para entrar a la configuración web es 1234.

2. Clique Advanced, luego clique VPN.

3. En el menú SUMMARY, seleccione una política a editar clicando Edit.


Pág. 3/3

4. Active la casilla Active e introduzca un nombre a esta política en el campo

name.

5. Seleccione IKE como opción Key Management y Main como opción

Negotiation Mode, del mismo modo que se hará en el ZyWALL B.

6. En la información de red Local, introduciremos la siguiente información:

Address Type: Subnet Addres, de esta manera todos los equipos

de la red local podrán conectarse a la red remota a través del túnel.

IP Address Start: 192.168.1.0, LAN 1

End / Subnet Mask: 255.255.255.0, máscara aplicada a las IPs de

la LAN 1

7. En la información de red Remote, introduciremos la siguiente información:





la LAN 2

8. My IP Addr es la IP WAN del ZyWALL A.

9. Secure Gateway IP Addr es la dirección IP destino del túnel, que en este

caso será la dirección IP WAN del router B.

10. Seleccione Tunnel como Encapsulation Mode.

11. Active la casilla ESP. (No se puede usar AH en el caso SUA/NAT)

12. Seleccione DES como Encryption Algorithm y MD5 como Authentication

Algorithm, de la misma manera se hará en el ZyWALL B.

13. Introduzca la cadena 12345678 como Preshared Key, finalmente clique

Apply.


Pág. 4/4

CONFIGURACIÓN ZyWALL B


introduciendo la dirección IP LAN del ZyWALL en el campo dirección.

2. Clique Advanced, luego clique VPN.

3. En el menú SUMMARY, seleccione una política a editar clicando Edit.

4. Active la casilla Active e introduzca un nombre a esta política en el campo

name.

5. Seleccione IKE como opción Key Management y Main como opción

Negotiation Mode, del mismo modo que se hizo en el ZyWALL A.

6. En la información de red Local, introduciremos la siguiente información:




Pág. 5/5



la LAN 2

7. En la información de red Remote, introduciremos la siguiente información:





la LAN 1

8. My IP Addr es la IP WAN del ZyWALL B.

9. Secure Gateway IP Addr es la dirección IP destino del túnel, que en este

caso será la dirección IP WAN del router A.

10. Seleccione Tunnel como Encapsulation Mode.

11. Active la casilla ESP. (No se puede usar AH en el caso SUA/NAT)

12. Seleccione DES como Encryption Algorithm y MD5 como Authentication

Algorithm, de la misma manera se hizo en el ZyWALL A.

13. Introduzca la cadena 12345678 como Preshared Key, finalmente clique

Apply.


Pág. 6/6

RESOLUCIÓN DE PROBLEMAS

¿Cómo sé que el túnel funciona? Si hay conexión entre PC1 y PC2, el túnel funciona. Pruebe de hacer ping de PC1 a PC2 (o de PC2 a PC1). Si el ping entre PC1 y PC2 responde satisfactoriamente, el túnel IPSec se estableció correctamente. Si el ping no responde, existen tres modos de proceso:

1. Menú 27.2, SA Monitor Mediante el menú 27.2 se puede monitorizar cada una de las conexiones IPSec que están activas en ese momento en el ZyWALL. La segunda columna de cada entrada muestra el nombre de la regla IPSec, por lo que si no puede ver el nombre de la regla significa que el establecimiento de la Asociación de seguridad. En este caso vaya al menú 27 y revise la configuración de la VPN.


Pág. 7/7

2. Visualización del log

Para ver el log las conexiones IPSec e IKE, entre en le menú 27.3, ‘View IPSec Log’. El log es también útil para la localización de posibles problemas. El log que se muestra a continuación corresponde a una conexión IPSec satisfactoria.

A continuación se muestra el log de una conexión IPSec fallida debido a que la cadena pre-shared key no coincide en ambos extremos.

Menu 27.2 - SA Monitor

#Name Encap. IPSec ALgorithm --------------------------------------------- 1 ZyWALLA Tunnel ESP DES-SHA1 2 3 4 5 6 7 8 9 10

Select Command= Refresh Select Connection= N/A

Press ENTER to Confirm or ESC to Cancel:

Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:01:00 !! WAN IP changed to 172.21.10.10 002 01 Jan 01:01:30 Recv Main Mode request from <172.21.10.11> 003 01 Jan 01:01:30 Recv:<SA> 004 01 Jan 01:01:32 Send:<SA> 005 01 Jan 01:01:33 Recv:<KE><NONCE> 006 01 Jan 01:01:35 Send:<KE><NONCE> 007 01 Jan 01:01:37 Recv:<ID><HASH> 008 01 Jan 01:01:37 Send:<ID><HASH> 009 01 Jan 01:01:37 Phase 1 IKE SA process done 010 01 Jan 01:01:37 Start Phase 2: Quick Mode 011 01 Jan 01:01:37 Recv:<HASH><SA><NONCE><KE><ID><ID> 012 01 Jan 01:01:37 Send:<HASH><SA><NONCE><KE><ID><ID> 013 01 Jan 01:01:37 Recv:<HASH> Clear IPSec Log (y/n):


Pág. 8/8

Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 00:39:35 Recv Main Mode request from 172.21.10.10> 002 01 Jan 00:39:35 Recv:<SA> 003 01 Jan 00:39:37 Send:<SA> 004 01 Jan 00:39:38 Recv:<KE><NONCE> 005 01 Jan 00:39:40 Send:<KE><NONCE> 006 01 Jan 00:39:41 Send:<HASH><NOTFY:PYLD_MALFORMED> Clear IPSec Log (y/n):

El siguiente log muestra error en la fase 1, debido a que no coinciden parámetros como los métodos de autenticación y encriptación. Por lo que la negociación no puede ser establecida.

Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:45:42 Recv Main Mode request from <172.21.10.10> 002 01 Jan 01:45:42 Recv:<SA> 003 01 Jan 01:45:42 !! No proposal chosen 004 01 Jan 01:45:42 Send:<NOTFY> 005 01 Jan 01:45:46 Recv Main Mode request from <172.21.10.10> 006 01 Jan 01:45:46 Recv:<SA> 007 01 Jan 01:45:46 !! No proposal chosen 008 01 Jan 01:45:46 Send:<NOTFY> Clear IPSec Log (y/n):

Mensaje de error al no negociar correctamente parámetros de la fase 1

Mensaje de error al no coincidir las ‘pre shared key’

El siguiente log muestra error en la fase 2 producido por un fallo en la el ID local. El ID local de cada túnel IPSec suele ser la dirección IP WAN del ZyWALL, aunque en algunas versiones puede utilizarse también un DNS o dirección de correo electrónico para identificación entre extremos.


Pág. 9/9

3. Usando el interprete de commandos, menú 24.8 Introduzca el comando ‘ipsec debug 1’. Pueden aparecer numerosos mensajes por pantalla acerca de las negociaciones que se llevan a cabo. Si su conexión IPSec falla, salve un fichero con el volcado de información de este comando para que sea analizado por el soporte de ZyXEL. ZyWALL> ipsec debug 1 IPSEC debug level 1 ZyWALL> catcher(): recv pkt numPkt<1> get_hdr nxt_payload<1> exchMode<2> m_id<0> len<80> f76af206 b187aae3 00000000 00000000 01100200 00000000 00000050 00000034 00000001 00000001 00000028 01010001 00000020 01010000 80010001 80020001 80040001 80030001 800b0001 800c0e10 In isadb_get_entry, nxt_pyld=1, exch=2 New SA In responder isadb_create_entry(): RESPONSOR: ##entering spGetPeerByAddr... <deleted>

Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:34:27 Recv Main Mode request from <172.21.10.11> 002 01 Jan 01:34:27 Recv:<SA> 003 01 Jan 01:34:29 Send:<SA> 004 01 Jan 01:34:30 Recv:<KE><NONCE> 005 01 Jan 01:34:32 Send:<KE><NONCE> 006 01 Jan 01:34:34 Recv:<ID><HASH> 007 01 Jan 01:34:34 Send:<ID><HASH> 008 01 Jan 01:34:34 Phase 1 IKE SA process done 009 01 Jan 01:34:34 Recv:<HASH><SA><NONCE><ID><ID> 010 01 Jan 01:34:34 Start Phase 2: Quick Mode 011 01 Jan 01:34:34 !! Verifying Local ID failed: 012 01 Jan 01:34:34 Peer ID:SINGLE,<172.21.10.10>-<172.21.10.10> 013 01 Jan 01:34:34 vs. My Local <192.168.1.1>-<192.168.1.1> 014 01 Jan 01:34:34 Send:<HASH><NOTFY:ERR_ID_INFO> 015 01 Jan 01:34:34 Send:<HASH><DEL> Clear IPSec Log (y/n):

Mensaje de error al no coincidir el ID local


Pág. 10/10

APÉNDICE A

Existen dos modo de hacer esto:

1. Router ZyXEL sin soporte Multi-Nat

Tanto para router A como para router B:

Menu 4 - Internet Access Setup . . . OPCIONES DE LA CONEXIÓN . CON NUESTRO ISP . Single User Account= YES Press ENTER to Confirm or ESC to Cancel:

Router A

Menu 15 - SUA Server Setup Port # IP Address ------ --------------- 1.Default 192.168.10.3 2. 0 0.0.0.0 3. 0 0.0.0.0 4. 0 0.0.0.0 5. 0 0.0.0.0 6. 0 0.0.0.0 7. 0 0.0.0.0 8. 0 0.0.0.0 Press ENTER to Confirm or ESC to Cancel:

Router B

IP WAN ZyWALL A

Menu 15 - SUA Server Setup Port # IP Address ------ --------------- 1.Default 192.168.20.3 2. 0 0.0.0.0 3. 0 0.0.0.0 4. 0 0.0.0.0 5. 0 0.0.0.0 6. 0 0.0.0.0 7. 0 0.0.0.0 8. 0 0.0.0.0 Press ENTER to Confirm or ESC to Cancel:

IP WAN ZyWALL B


Pág. 11/11

2. Router ZyXEL con soporte Multi-Nat

Tanto para router A como para router B:

Menu 4 - Internet Access Setup . . . OPCIONES DE LA CONEXIÓN . CON NUESTRO ISP . Network Address Translation= Full Feature Address Mapping Set= 1 Press ENTER to Confirm or ESC to Cancel:

Valla al menu 15.1 y seleccione 1 (el 1 corresponde con el Address Mapping Set =

1, que seleccionamos en el menú 4). Le aparecerá la siguiente pantalla:

Menu 15.1.1 - Address Mapping Rules

Set Name= ?

Idx Local Start IP Local End IP Global Start IP Global End IP Type --- -------------- ------------ --------------- ------------- ---- 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Action= Edit , Select Rule= 0


Introduzca un nombre para la regal, seleccione Edit en el campo Action y 1 en el

campo Select Rule. A continuación mostraremos como finalizar la configuración

para cada uno de los routers en la siguiente pantalla de configuración.


Pág. 12/12

Configuración para el router A

C

i

o

n

f

Menu 15.1.1.1 - - Rule 1

Type: One-to-One

Local IP: Start= 192.168.10.3 End = N/A

Global IP: Start= 80.102.53.108 End = N/A


Configuración para el router B

Menu 15.1.1.1 - - Rule 1

Type: One-to-One

Local IP: Start= 192.168.20.3 End = N/A

Global IP: Start= 213.52.97.232 End = N/A


IP WAN ROUTER B

IP WAN ZyWALL B

IP WAN ROUTER A

IP WAN ZyWALL A

En esta última pantalla se ha configurado que todo el tráfico entrante desde la

dirección IP Global (IP pública) se redirija una dirección IP Local (IP privada). La

dirección IP Global puede ponerse como 0.0.0.0 si queremos que el router la

detecte automáticamente.


Pág. 13/13

APÉNDICE B


introduciendo la dirección IP LAN del ZyWALL en el campo dirección

2. Clique Advanced, luego clique Firewall y luego en Internet (interfaz

WAN).

3. Seleccione una política a editar y clique Edit.

4. Configure la regla como se muestra en la siguiente pantalla.

Seleccionamos IKE

5. Finalmente clicaremos el botón Apply para guardar los cambios.

configuración vpn ipsec de zywall a zywall

Documents