Upload
aedan-velasquez
View
601
Download
3
Embed Size (px)
DESCRIPTION
algo
Citation preview
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 1/1
Este documento es una guía para configurar una conexión segura a través de
Internet entre dos redes remotas. La conexión segura a través de Internet es
posible gracias a la opción tunneling IPSec de la serie ZyWALL de ZyXEL. A
continuación se detallan todos los factores a tener en cuenta, así como las
configuraciones necesarias en los equipos que intervienen en la comunicación.
Diagrama de red
LAN 1 PC 1 ZyWALL A ROUTER A
192.168.1.0/24 192.168.1.33 LAN: 192.168.1.1
WAN: 192.168.10.3
LAN: 192.168.10.1
WAN: 80.102.53.108
NAT activo
LAN 2 PC 2 ZyWALL B ROUTER B
192.168.2.0/24 192.168.2.33 LAN: 192.168.2.1
WAN: 192.168.20.3
LAN: 192.168.20.1
WAN: 213.52.97.232
NAT activo
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 2/2
ASPECTOS A TENER EN CUENTA EN ESTA CONFIGURACIÓN:
1. Los routers deben soportar IPSec pass through.
2. Sí se tiene la opción NAT habilitada (caso más común) solo se podrán
establecer VPN en modo túnel y protocolo ESP.
3. Si el router es de ZyXEL, debe configurarlo para redirigir todo el tráfico
entrante a la dirección IP WAN del ZyWALL.
MIRAR APÉNDICE A
4. La dirección IP WAN del router A es la dirección destino del túnel que se
configurará en el ZyWALL B. Del mismo modo, la dirección IP WAN del
router B será la dirección destino del túnel que se configurará en el ZyWALL
A. La dirección destino de un túnel recibe la nomenclatura ‘secure Gateway’
en la pantalla de configuración de los ZyWALL.
5. Si mantiene la opción firewall activa en los ZyWALLs se deberá habilitar la
entrada del puerto IKE (UDP 500) en la interfaz WAN.
MIRAR APÉNDICE B
6. En el caso de tener servidores internos en la red local y querer hacerlos
accesibles desde Internet a cualquier usuario deberá habilitar NAT en el
ZyWALL y configurar la tabla de servidores NAT.
CONFIGURACIÓN ZyWALL A
1. Usando el navegador web, entre en la configuración del ZyWALL
introduciendo la dirección IP LAN del ZyWALL en el campo dirección. La
dirección IP LAN por defecto es 192.168.1.1, y el password por defecto
para entrar a la configuración web es 1234.
2. Clique Advanced, luego clique VPN.
3. En el menú SUMMARY, seleccione una política a editar clicando Edit.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 3/3
4. Active la casilla Active e introduzca un nombre a esta política en el campo
name.
5. Seleccione IKE como opción Key Management y Main como opción
Negotiation Mode, del mismo modo que se hará en el ZyWALL B.
6. En la información de red Local, introduciremos la siguiente información:
Address Type: Subnet Addres, de esta manera todos los equipos
de la red local podrán conectarse a la red remota a través del túnel.
IP Address Start: 192.168.1.0, LAN 1
End / Subnet Mask: 255.255.255.0, máscara aplicada a las IPs de
la LAN 1
7. En la información de red Remote, introduciremos la siguiente información:
Address Type: Subnet Addres, de esta manera todos los equipos
de la red local podrán conectarse a la red remota a través del túnel.
IP Address Start: 192.168.2.0, LAN 2
End / Subnet Mask: 255.255.255.0, máscara aplicada a las IPs de
la LAN 2
8. My IP Addr es la IP WAN del ZyWALL A.
9. Secure Gateway IP Addr es la dirección IP destino del túnel, que en este
caso será la dirección IP WAN del router B.
10. Seleccione Tunnel como Encapsulation Mode.
11. Active la casilla ESP. (No se puede usar AH en el caso SUA/NAT)
12. Seleccione DES como Encryption Algorithm y MD5 como Authentication
Algorithm, de la misma manera se hará en el ZyWALL B.
13. Introduzca la cadena 12345678 como Preshared Key, finalmente clique
Apply.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 4/4
CONFIGURACIÓN ZyWALL B
1. Usando el navegador web, entre en la configuración del ZyWALL
introduciendo la dirección IP LAN del ZyWALL en el campo dirección.
2. Clique Advanced, luego clique VPN.
3. En el menú SUMMARY, seleccione una política a editar clicando Edit.
4. Active la casilla Active e introduzca un nombre a esta política en el campo
name.
5. Seleccione IKE como opción Key Management y Main como opción
Negotiation Mode, del mismo modo que se hizo en el ZyWALL A.
6. En la información de red Local, introduciremos la siguiente información:
Address Type: Subnet Addres, de esta manera todos los equipos
de la red local podrán conectarse a la red remota a través del túnel.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 5/5
IP Address Start: 192.168.2.0, LAN 2
End / Subnet Mask: 255.255.255.0, máscara aplicada a las IPs de
la LAN 2
7. En la información de red Remote, introduciremos la siguiente información:
Address Type: Subnet Addres, de esta manera todos los equipos
de la red local podrán conectarse a la red remota a través del túnel.
IP Address Start: 192.168.1.0, LAN 1
End / Subnet Mask: 255.255.255.0, máscara aplicada a las IPs de
la LAN 1
8. My IP Addr es la IP WAN del ZyWALL B.
9. Secure Gateway IP Addr es la dirección IP destino del túnel, que en este
caso será la dirección IP WAN del router A.
10. Seleccione Tunnel como Encapsulation Mode.
11. Active la casilla ESP. (No se puede usar AH en el caso SUA/NAT)
12. Seleccione DES como Encryption Algorithm y MD5 como Authentication
Algorithm, de la misma manera se hizo en el ZyWALL A.
13. Introduzca la cadena 12345678 como Preshared Key, finalmente clique
Apply.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 6/6
RESOLUCIÓN DE PROBLEMAS
¿Cómo sé que el túnel funciona? Si hay conexión entre PC1 y PC2, el túnel funciona. Pruebe de hacer ping de PC1 a PC2 (o de PC2 a PC1). Si el ping entre PC1 y PC2 responde satisfactoriamente, el túnel IPSec se estableció correctamente. Si el ping no responde, existen tres modos de proceso:
1. Menú 27.2, SA Monitor Mediante el menú 27.2 se puede monitorizar cada una de las conexiones IPSec que están activas en ese momento en el ZyWALL. La segunda columna de cada entrada muestra el nombre de la regla IPSec, por lo que si no puede ver el nombre de la regla significa que el establecimiento de la Asociación de seguridad. En este caso vaya al menú 27 y revise la configuración de la VPN.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 7/7
2. Visualización del log
Para ver el log las conexiones IPSec e IKE, entre en le menú 27.3, ‘View IPSec Log’. El log es también útil para la localización de posibles problemas. El log que se muestra a continuación corresponde a una conexión IPSec satisfactoria.
A continuación se muestra el log de una conexión IPSec fallida debido a que la cadena pre-shared key no coincide en ambos extremos.
Menu 27.2 - SA Monitor
#Name Encap. IPSec ALgorithm --------------------------------------------- 1 ZyWALLA Tunnel ESP DES-SHA1 2 3 4 5 6 7 8 9 10
Select Command= Refresh Select Connection= N/A
Press ENTER to Confirm or ESC to Cancel:
Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:01:00 !! WAN IP changed to 172.21.10.10 002 01 Jan 01:01:30 Recv Main Mode request from <172.21.10.11> 003 01 Jan 01:01:30 Recv:<SA> 004 01 Jan 01:01:32 Send:<SA> 005 01 Jan 01:01:33 Recv:<KE><NONCE> 006 01 Jan 01:01:35 Send:<KE><NONCE> 007 01 Jan 01:01:37 Recv:<ID><HASH> 008 01 Jan 01:01:37 Send:<ID><HASH> 009 01 Jan 01:01:37 Phase 1 IKE SA process done 010 01 Jan 01:01:37 Start Phase 2: Quick Mode 011 01 Jan 01:01:37 Recv:<HASH><SA><NONCE><KE><ID><ID> 012 01 Jan 01:01:37 Send:<HASH><SA><NONCE><KE><ID><ID> 013 01 Jan 01:01:37 Recv:<HASH> Clear IPSec Log (y/n):
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 8/8
Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 00:39:35 Recv Main Mode request from 172.21.10.10> 002 01 Jan 00:39:35 Recv:<SA> 003 01 Jan 00:39:37 Send:<SA> 004 01 Jan 00:39:38 Recv:<KE><NONCE> 005 01 Jan 00:39:40 Send:<KE><NONCE> 006 01 Jan 00:39:41 Send:<HASH><NOTFY:PYLD_MALFORMED> Clear IPSec Log (y/n):
El siguiente log muestra error en la fase 1, debido a que no coinciden parámetros como los métodos de autenticación y encriptación. Por lo que la negociación no puede ser establecida.
Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:45:42 Recv Main Mode request from <172.21.10.10> 002 01 Jan 01:45:42 Recv:<SA> 003 01 Jan 01:45:42 !! No proposal chosen 004 01 Jan 01:45:42 Send:<NOTFY> 005 01 Jan 01:45:46 Recv Main Mode request from <172.21.10.10> 006 01 Jan 01:45:46 Recv:<SA> 007 01 Jan 01:45:46 !! No proposal chosen 008 01 Jan 01:45:46 Send:<NOTFY> Clear IPSec Log (y/n):
Mensaje de error al no negociar correctamente parámetros de la fase 1
Mensaje de error al no coincidir las ‘pre shared key’
El siguiente log muestra error en la fase 2 producido por un fallo en la el ID local. El ID local de cada túnel IPSec suele ser la dirección IP WAN del ZyWALL, aunque en algunas versiones puede utilizarse también un DNS o dirección de correo electrónico para identificación entre extremos.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 9/9
3. Usando el interprete de commandos, menú 24.8 Introduzca el comando ‘ipsec debug 1’. Pueden aparecer numerosos mensajes por pantalla acerca de las negociaciones que se llevan a cabo. Si su conexión IPSec falla, salve un fichero con el volcado de información de este comando para que sea analizado por el soporte de ZyXEL. ZyWALL> ipsec debug 1 IPSEC debug level 1 ZyWALL> catcher(): recv pkt numPkt<1> get_hdr nxt_payload<1> exchMode<2> m_id<0> len<80> f76af206 b187aae3 00000000 00000000 01100200 00000000 00000050 00000034 00000001 00000001 00000028 01010001 00000020 01010000 80010001 80020001 80040001 80030001 800b0001 800c0e10 In isadb_get_entry, nxt_pyld=1, exch=2 New SA In responder isadb_create_entry(): RESPONSOR: ##entering spGetPeerByAddr... <deleted>
Index: Date/Time: Log: ------------------------------------------------------------ 001 01 Jan 01:34:27 Recv Main Mode request from <172.21.10.11> 002 01 Jan 01:34:27 Recv:<SA> 003 01 Jan 01:34:29 Send:<SA> 004 01 Jan 01:34:30 Recv:<KE><NONCE> 005 01 Jan 01:34:32 Send:<KE><NONCE> 006 01 Jan 01:34:34 Recv:<ID><HASH> 007 01 Jan 01:34:34 Send:<ID><HASH> 008 01 Jan 01:34:34 Phase 1 IKE SA process done 009 01 Jan 01:34:34 Recv:<HASH><SA><NONCE><ID><ID> 010 01 Jan 01:34:34 Start Phase 2: Quick Mode 011 01 Jan 01:34:34 !! Verifying Local ID failed: 012 01 Jan 01:34:34 Peer ID:SINGLE,<172.21.10.10>-<172.21.10.10> 013 01 Jan 01:34:34 vs. My Local <192.168.1.1>-<192.168.1.1> 014 01 Jan 01:34:34 Send:<HASH><NOTFY:ERR_ID_INFO> 015 01 Jan 01:34:34 Send:<HASH><DEL> Clear IPSec Log (y/n):
Mensaje de error al no coincidir el ID local
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 10/10
APÉNDICE A
Existen dos modo de hacer esto:
1. Router ZyXEL sin soporte Multi-Nat
Tanto para router A como para router B:
Menu 4 - Internet Access Setup . . . OPCIONES DE LA CONEXIÓN . CON NUESTRO ISP . Single User Account= YES Press ENTER to Confirm or ESC to Cancel:
Router A
Menu 15 - SUA Server Setup Port # IP Address ------ --------------- 1.Default 192.168.10.3 2. 0 0.0.0.0 3. 0 0.0.0.0 4. 0 0.0.0.0 5. 0 0.0.0.0 6. 0 0.0.0.0 7. 0 0.0.0.0 8. 0 0.0.0.0 Press ENTER to Confirm or ESC to Cancel:
Router B
IP WAN ZyWALL A
Menu 15 - SUA Server Setup Port # IP Address ------ --------------- 1.Default 192.168.20.3 2. 0 0.0.0.0 3. 0 0.0.0.0 4. 0 0.0.0.0 5. 0 0.0.0.0 6. 0 0.0.0.0 7. 0 0.0.0.0 8. 0 0.0.0.0 Press ENTER to Confirm or ESC to Cancel:
IP WAN ZyWALL B
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 11/11
2. Router ZyXEL con soporte Multi-Nat
Tanto para router A como para router B:
Menu 4 - Internet Access Setup . . . OPCIONES DE LA CONEXIÓN . CON NUESTRO ISP . Network Address Translation= Full Feature Address Mapping Set= 1 Press ENTER to Confirm or ESC to Cancel:
Valla al menu 15.1 y seleccione 1 (el 1 corresponde con el Address Mapping Set =
1, que seleccionamos en el menú 4). Le aparecerá la siguiente pantalla:
Menu 15.1.1 - Address Mapping Rules
Set Name= ?
Idx Local Start IP Local End IP Global Start IP Global End IP Type --- -------------- ------------ --------------- ------------- ---- 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Action= Edit , Select Rule= 0
Press ENTER to Confirm or ESC to Cancel:
Introduzca un nombre para la regal, seleccione Edit en el campo Action y 1 en el
campo Select Rule. A continuación mostraremos como finalizar la configuración
para cada uno de los routers en la siguiente pantalla de configuración.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 12/12
Configuración para el router A
C
i
o
n
f
Menu 15.1.1.1 - - Rule 1
Type: One-to-One
Local IP: Start= 192.168.10.3 End = N/A
Global IP: Start= 80.102.53.108 End = N/A
Press ENTER to Confirm or ESC to Cancel:
Configuración para el router B
Menu 15.1.1.1 - - Rule 1
Type: One-to-One
Local IP: Start= 192.168.20.3 End = N/A
Global IP: Start= 213.52.97.232 End = N/A
Press ENTER to Confirm or ESC to Cancel:
IP WAN ROUTER B
IP WAN ZyWALL B
IP WAN ROUTER A
IP WAN ZyWALL A
En esta última pantalla se ha configurado que todo el tráfico entrante desde la
dirección IP Global (IP pública) se redirija una dirección IP Local (IP privada). La
dirección IP Global puede ponerse como 0.0.0.0 si queremos que el router la
detecte automáticamente.
Nota de Soporte: ‘Configuración de un túnel IPSec entre dos ZyWALL a través de router con NAT activo’
Pág. 13/13
APÉNDICE B
1. Usando el navegador web, entre en la configuración del ZyWALL
introduciendo la dirección IP LAN del ZyWALL en el campo dirección
2. Clique Advanced, luego clique Firewall y luego en Internet (interfaz
WAN).
3. Seleccione una política a editar y clique Edit.
4. Configure la regla como se muestra en la siguiente pantalla.
Seleccionamos IKE
5. Finalmente clicaremos el botón Apply para guardar los cambios.