ZyXEL ZyWALL 5/35/70 e PRT662HW: VPN IPSec – IPs públicos

ZyXEL ZyWALL 5/35/70 e PRT662HW: VPN IPSec – IPs públicos
dinâmicos
Sumário
Como estabelecer uma ligação segura entre duas redes locais através da Internet
usando ZyXEL ZyWALL e PRT662HW com IPs públicos dinâmicos.
Aplicações

Ligação de fácil implementação, segura e de baixo custo de 2 redes privadas.
Equipamento
 1 ZyXEL ZyWALL 5 / 35 / 70
 1 PRT662HW
Equipamento adicional sugerido:
o Modem ADSL : PRT660RU-T1
o Switch 8 portas : ES-108A
o Switch 24 portas : ES-1124 / GS-1124A
Descrição
Este tutorial ajuda-lo-á a configurar um túnel VPN entre 1 ZyWALL e 1 PRT.
Como mostra a figura seguinte, o túnel estabelecido entre a ZyWALL e o PRT
garante uma comunicação segura entre as redes dos dois pontos. Os dados
transmitidos pelo túnel são encriptados tornando-os ilegíveis a outros hosts.
A exemplificação que se segue utiliza os seguintes endereços IP.
LAN 1
192.168.13.0
ZyWALL
LAN: 192.168.13.1
WAN: <dinâmico>
DDNS:
pedromaclab.dyndns.org
PRT
LAN: 10.0.0.253
WAN: <dinâmico>
DDNS:
pedropctecnik.dyndns.org
LAN 2
10.0.0.0
Como cada ponto possui um endereço IP dinâmico a VPN não é possível.
O ZyWALL não pode estabelecer o túnel com o ponto remoto porque não “sabe” qual
é o endereço IP público do PRT remoto. (É o mesmo que tentarmos enviar uma carta
pelo correio sem destinatário!)
Os ISP disponibilizam endereços IP dinâmicos que mudam regularmente. Neste caso
como é que os routers poderão comunicar entre si se não souberem o endereço IP
público do ponto remoto? Usando um serviço de DNS/URL dinâmico como, por
exemplo, o DynDNS (http://www.dyndns.org).
Usando este serviço, poderá ter o seu próprio URL (por exemplo,
pedromaclab.dyndns.org). O ZyWALL actualizará o servidor de serviços de DNS
dinâmicos assim que é detectada uma alteração no endereço IP público. Assim, o seu
URL (pedromaclab.dyndns.org) apontará sempre para o seu endereço IP público
actual. Para usar esta função não necessita de instalar nenhuma aplicação adicional,
esta funcionalidade é suportada pelo ZyWALL.
Para o nosso exemplo os equipamentos assumem os URL:
ZyWALL : pedromaclab.dyndns.org
PRT662HW: pedropctecnik.dyndns.org
 Como configurar o serviço Dynamic DNS
1. Clique aqui para aceder ao site DynDNS.
2. Clique em Sign Up Now para criar uma conta e siga as instruções para a
criação e activação da sua conta.
3. Depois da conta criada e activada, efectue o login usando o seu username e
password.
4. Para adicionar hosts/URLs clique em Services – Dynamic DNS – Add
Dynamic DNS
5. Digite o URL pretendido e seleccione o domínio através da ComboBox. Por
norma usámos o domínio dyndns.org.
6. Quando terminado, clique em Add Host. É exibida a mensagem de que o host
foi criado com sucesso
7. Clique em Dynamic DNS Home para consultar a lista de hosts já criados. Para
adicionar mais hosts clique em Add Host.
 Configuração da ZyWALL
1. Aceda à configuração da ZyWALL utilizando o browser. Digite o endereço IP
da LAN da ZyWALL. Aceda a Advanced >> DNS >> DDNS e configure o URL
definido para a ZyWALL.
2. Clique em Security >> VPN
3. Clique no ícone assinalado para adicionar uma Gateway Policy.
4. Nomeie a sua VPN.
5. Seleccione o campo My Domain Name e o respectivo URL pretendido.
6. No campo Primary Remote Gateway deve introduzir o URL assinado ao
ponto remoto.
7. Efectue as restantes configurações de acordo com as figuras
As figuras seguintes mostram a configuração da ZyWALL:
8. Lembre-se sempre de clicar em Apply para gravar o profile criado. É exibido o
quadro-resumo:
9. Uma vez criada a Gateway Policy deve agora criar uma Network Policy .
10. Clique em Active e atribua um nome ao túnel.
11. Protocol = 0 para todos os protocolos.
Valores possiveis: 1 – ICMP, 6 – TCP, 17 – UDP, etc.
Consulte a lista completa em http://www.iana.org/assignments/protocol-numbers
12. Em Local Network deve configurar as definições da rede local
Em Address Type seleccione :
Single Address – A VPN é acedida por um único
PC. Indique o endereço IP no campo Starting IP
Address
Range Address – A VPN é acedida por um
conjunto de computadores contidos no intervalo de
IPs especificado nos campos Starting IP Address
e Ending IP Address/Subnet Mask
Subnet Address – Toda a rede acede à VPN. Indique o IP da rede no campo Starting
IP Address e a subnet mask no campo Ending IP Address/Subnet Mask.
13. Em Remote deve configurar as definições da rede remota seguindo as
instruções definidas no ponto 12.
14. Efectue as restantes configurações de acordo com as figuras
As figuras seguintes mostram a configuração Network Policy da ZyWALL:
15. Clique em Apply para gravar o profile criado. É exibido o quadroresumo:
 Configuração do PRT662HW As configurações do PRT662HW são semelhantes,
como pode verificar pelas figuras
seguintes
 Como sabemos se o túnel está a funcionar?
Pode testar o túnel VPN clicando no ícone assinalado na figura.
A ZyWALL testa a ligação enviando um pedido de ligação ao PRT662HW remoto.
Se o ecrã exibido for semelhante à figura seguinte significa que o túnel está
estabelecido.
Através do SA Monitor e Monitor respectivamente, poderá monitorizar todos os
túneis IPSec entretanto estabelecidos.
Em Logs encontrará mensagens detalhadas que mostram o resultado das negociações
entre as ZyWALL. Em caso de dificuldades pode capturar as mensagens e enviá-las
para o Help Desk ZyXEL da Mactek.
Para resolução de problemas ou para qualquer esclarecimento não hesite em
contactar-nos!
Help Desk ZyXEL tel. 22 0300 304
e-mail: [email protected]
Doc. criado em 20/04/007