Меню

Zyxel usg 20w vpn настройка wifi



Межсетевой экран VPN

Надежный удаленный доступ для малого бизнеса и филиалов.

Безопасное и более надежное соединение VPN

Современные мощные процессоры существенно расширяют возможности злоумышленников дешифровать туннели VPN. Такие унаследованные механизмы шифрования, как Message Digest 5 (MD5) и Secure Hash Algorithm 1 (SHA-1), уже не гарантируют безопасность соединений с внешним миром. Благодаря поддержке более совершенного шифрования Secure Hash Algorithm 2 (SHA-2) межсетевой экран VPN Firewall обеспечивает лучшую в своем классе защиту соединений VPN для обеспечения максимальной безопасности каналов связи компаний.

Полная линейка Zyxel VPN Firewall обеспечивает надежные непрерывные сервисы VPN с поддержкой dual-WAN failover and fallback. Благодаря использованию двух соединений WAN, из которых одна является основной, а вторая резервной, в случае сбоя основного Zyxel VPN Firewall автоматически переключается на резервное, а после восстановления основного соединения автоматически переключается обратно на это соединение.

Удаленный доступ без конфигурирования

Виртуальные частные сети Virtual Private Network (VPN) – это безопасное и удобное решение для компании, которая хочет безопасно и удобно организовать доступ к своим ресурсам для партнеров, заказчиков и сотрудников, находящихся вне офиса. Однако обычный пользователь не способен без специального обучения правильно настроить конфигурацию типичного решения VPN, что существенно ухудшает эффективность и удобство применения VPN. В Zyxel VPN Firewall используется Easy VPN для автоматического предоставления ресурсов для настройки соединения client-to-site IPsec VPN.

Программа-визард из пакета клиентского программного обеспечения Zyxel IPsec VPN автоматически извлекает файл конфигурации VPN с Zyxel VPN Firewall, после чего пользователю для завершения настройки IPsec VPN нужно выполнить только три простых шага. Zyxel Easy VPN уменьшает нагрузку на администратора сети и обеспечивает простой и безопасный доступ к серверам компании, ее системе электронной почты и ресурсам дата-центра для партеров, клиентов и находящимся вне офиса сотрудников.

Comprehensive Connectivity

ZyWALL USG series not only can protect your network, but it also support Hospitality features including Hotspot, AP management with support for WiFi 6 feature, and concurrent device upgrade. You can buy time-based bundle or quantity-based license to optimize your initial investment and maximize the scale in your environment.

Простые процедуры управления

Управление сложными конфигурациями часто превращается в запутанную процедуру, на выполнение которой уходит много времени. Для решения этой проблемы в Zyxel USG 20-VPN и USG20W-VPN специально для пользователей из небольших фирм и SOHO предусмотрен упрощенный режим настройки «easy mode» с помощью графического интерфейса пользователя (GUI). При использовании режима easy mode настройка конфигурации выполняется с помощью пиктограмм и удобной консоли, что существенно упрощает управление и мониторинг устройства. Кроме того, для удобства настройки параметров приложений и функций применяются интегрированные программы-визарды. Режим easy mode устройств Zyxel USG 20-VPN и USG20W-VPN помогает пользователям из небольших фирм и SOHO с минимальными усилиями получить все преимущества высокоскоростных безопасных сетей.

SecuReporter

I See. I Analyze. I Report.

Security Analytics and Report

SecuReporter features a suite of analysis and reporting tools, including network security threats identification and visual analysis on security services statistics, security events, application usage, website usage, and traffic usage, With SecuReporter Premium service, even without UTM Service, user can still have the visibility of usage. SecuReporter provides application overview including real-time usage, sent/received usage, source and destination IP. New added features provide IT manager an observation on network overview.

4 step setup wizard for easy remote access with robust SSL, IPSec, and L2TP over IPSec VPN connectivity

SecuReporter, cloud-based intelligent analytics and report service

Соединение VPN с улучшенной безопасностью за счет шифрования SHA-2

Easy VPN автоматически выделяет ресурсы для настройки соединения client-to-site IPsec

Сервисы по подписке

Zyxel VPN Firewall Series реализует полный набор функций, которые подойдут разным компаниям, а также позволяет добиться максимальной производительности и безопасности с помощью приставки «все-в-одном». Полная модульность сетевого функционала позволяет ИТ-специалисту построить конфигурацию системы в соответствии с его потребностями.

  • Anti-Spam
  • Content Filtering
  • SecuReporter

Схема применения

  • Филиалы, партнеры и домашние пользователи могут развернуть устройства Zyxel USG/ZyWALL для организации соединений site-to-site IPSec VPN.
  • Филиалы могут дополнительно развернуть IPSec VPN HA (балансировка нагрузки и переключение при отказах) для обеспечения высокой доступности соединения VPN.
  • Удаленные пользователи могут получить безопасный доступ к ресурсам компании со своих компьютеров или смартфонов с помощью SSL, IPSec и L2TP over IPSec VPN.
  • Размещенный в главном офисе USG/ZyWALL также может организовать соединение IPSec VPN с Amazon VPC для безопасного доступа к различным облачным приложениям.
Читайте также:  A7600 lenovo настройка wifi

* Все спецификации могут быть изменены без предварительного уведомления.

Источник

ПАМЯТКА. Аппаратные шлюзы ZyWALL USG

Памятка по первоначальной настройке аппаратных шлюзов ZyWALL USG.

ZyWALL USG 50, ZyWALL USG 20W.

1. Подключение по стандартному адресу 192.168.1.1 логин admin, пароль 1234.

2. При необходимости аппаратный сброс — нажать и удерживать 5 секунд кнопку RESET на задней панели.

3. Важно! Проблема —

Решение. Источник информации — Alexander A. Manaeff

а. Идем на официальный сайт, качаем и обновляем микропрограмму.
б. Включаем поддержку шифрования. Для этого используем TELNET. В Windows 7 его необходимо еще включить, т.к. по умолчании он недоступен —

Панель управления -> Программы и компоненты -> Включение или отключение компонентов Windows -> Включаем клиента TelNet.

Также необходимо включить сервер TelNet на самом шлюзе ZyWALL —

CONFIGURATION -> System -> TelNet

Выполняем в консоли команды:

вводим логин и пароль администратора

Router> configure terminal
Router(config)# crypto algorithm-hide disable

% The setting has been changed. You should reboot device to apply setting.

Router(config)# write
Router(config)# reboot

7. Объединение двух подсетей LAN1 и WLAN (WiFi). Делаем с помощью Bridge (моста).
Важно понимать при настройке, что такое мост и как его использовать.
Для начала читаем это — Описание функции сетевого моста (Bridge) в аппаратных шлюзах серии ZyWALL USG

Самое главное, что при объединении в мост подсетей LAN1 и WLAN создается другая подсеть с параметрами указанными в настройках моста.
Цитата из Базы знаний ZyXEL:

«Мост настраивается в веб-конфигураторе устройства в меню Configuration > Interface на закладке Bridge. Здесь можно создать 7 правил br(1-7). В мост можно объединить несколько физических интерфейсов (ge1, ge2, ge3… для ZyWALL USG 300/1000/2000 и wan1,lan1,dmz… для ZyWALL USG 20/50/100) или VLAN-интерфейсов. При объединении в мост интерфейсы теряют настройки третьего уровня: IP-адрес, маска подсети, IP-адрес шлюза, DHCP-сервер (привязка MAC-IP) и др.
Работают результирующие настройки, которые можно сделать при создании мостового интерфейса br(1-7). В один мост можно объединять несколько нетегированных физических интерфейсов (ge1, ge2, ge3… для ZyWALL USG 300/1000/2000 и wan1,lan1,dmz… для ZyWALL USG 20/50/100) и только один тегированный VLAN-интерфейс.»

Источник

Описание схемы разделения публичной и закрытой Wi-Fi-сети с помощью VLAN на шлюзе безопасности серии ZyWALL USG

Как настроить аппаратный шлюз серии ZyWALL USG для разделения беспроводных сетей офиса с помощью VLAN?

В данной статье описаны настройки аппаратного шлюза серии ZyWALL USG, предназначенные для разделения беспроводных сетей офиса с помощью VLAN.
Одна беспроводная сеть должна быть предназначена для подключения сотрудников (это закрытая безопасная сеть с доступом к локальным ресурсам сети и Интернету), а другая беспроводная сеть – для подключения гостей (это открытая сеть с доступом только в Интернет).

Приведем пример. Предположим, имеется аппаратный шлюз ZyWALL USG, который может работать с VLAN (тегированным трафиком), и профессиональная беспроводная точка доступа NWA1121-NI, которая также может работать с VLAN.
Задача: Настроить две изолированные беспроводные сети (с разными SSID): одну без шифрования (открытую) и с доступом только в Интернет для гостей офиса, и другую, с использованием шифрования трафика (закрытую) с доступом до ресурсов локальной сети (с возможностью управления всеми устройствами) и с доступом в Интернет.

Рассмотрим следующую схему:

Локальные ресурсы (хосты) и точка доступа Wi-Fi (NWA1121-NI) подключены к разным портам (интерфейсам) аппаратного шлюза ZyWALL USG. Интерфейс шлюза, к которому подключается точка доступа, должен работать с тегированным трафиком и принимать два VLAN от точки доступа: гостевой беспроводной сети (SSID для гостей) и от основной беспроводной сети (SSID для сотрудников). Интерфейс, к которому подключаются локальные ресурсы и стационарные хосты сотрудников, – это локальная зона (должна работать с нетегированным трафиком).
Ограничение доступа для гостей будет осуществляться при помощи настроек межсетевого экрана (Firewall) на аппаратном шлюзе ZyWALL USG.

Читайте также:  Настройка дополнительной точки доступа wifi

Настройку аппаратного шлюза будем производить через веб-конфигуратор устройства.

1. Настройка VLAN на ZyWALL USG для разделения двух беспроводных сетей (с разным SSID).

1.1. Для настройки Ethernet-интерфейсов зайдите в меню Сonfiguration > Network > Interface на закладку Ethernet.

На ZyWALL USG будут задействованы следующие интерфейсы:
wan1 – внешний (external) интерфейс, который получает IP-адрес от интернет-провайдера по DHCP.
dmz – интерфейс, который будет использоваться для подключения точки доступа Wi-Fi. На нем будут настроены VLAN. Нетегированный трафик данный интерфейс получать не должен, поэтому в настройках IP-адреса нужно установить 0.0.0.0.
lan1 – интерфейс для подключения стационарных хостов локальной сети офиса.

Дополнительную информацию по настройке интерфейсов шлюза безопасности серии ZyWALL USG можно найти в статье: «Настройка интерфейса шлюза безопасности серии ZyWALL USG»

1.2. Для настройки VLAN зайдите в меню Сonfiguration > Network > Interface на закладку VLAN.

Оба VLAN-интерфейса (vlan3 — для сотрудников, vlan4 — для гостей) настроены на интерфейсе dmz с разными IP-адресами 192.168.3.1/24 и 192.168.4.1/24 соответственно.

Настройка vlan3 для беспроводного подключения сотрудников:

Настройка vlan4 для беспроводного подключения гостей:

При настройке VLAN-интерфейса следует обратить внимание на следующие поля:

    • Zone: Зона, к которой будет привязан данный VLAN-интерфейс (от этого зависят настройки правил Firewall). В случае с vlan3 для сотрудников он будет привязан в одну зону с локальной зоной офиса, где находятся стационарные хосты и ресурсы сети (это зона LAN1, в нее же по умолчанию входит интерфейс lan1). Гостевой vlan4 будет привязан к зоне DMZ, которую можно будет в последствии отделить правилами Firewall от зоны LAN1.

    • Base Port: Убедитесь, что был выбран нужный порт для создания VLAN (в нашем случае это интерфейс dmz).

    • IP Address: Убедитесь, что для данного VLAN была настроена нужная подсеть. IP-адреса именно из этой подсети будут раздаваться Wi-Fi-клиентам, которые будут подключаться к беспроводной сети (для сотрудников или гостей).

    • DHCP Setting: B этом разделе настраиваются параметры раздачи IP-адресов.
      Обратите внимание на настройки DNS. По умолчанию, это пустые поля и при такой настройке беспроводные клиенты не будут получать IP-адрес DNS-сервера при подключении и соответственно не смогут использовать доступ к веб-сайтам по доменным именам. Чтобы использовать доменные имена в полях First DNS Server, Second DNS Server и Third DNS Server, можно указать соответственно первый, второй и третий IP-адрес DNS-сервера, который будет выслан клиенту по DHCP. В этих полях можно также указать значение Custom Defined (назначается вручную) и самостоятельно вписать IP-адрес DNS-сервера. Можно установить значение From ISP (от провайдера) и указать внешний (external) интерфейс, с которого нужно получать IP-адрес DNS-сервера. Если установить значение ZyWALL, то само устройство ZyWALL USG будет выполнять роль DNS-сервера, кэшируя DNS-имена и обращаясь к внешним DNS-серверам для разрешения DNS-запросов.
      При настройке, как показано на нашем скриншоте, устройство будет выдавать IP-адреса из подсети интерфейса, начиная со следующего IP-адреса после IP-адреса самого интерфейса, а в качестве DNS-сервера будет выступать сам ZyWALL.

2. Настройка зон и правил Firewall.

2.1. Для настройки зон зайдите в меню Configuration > Network > Zone.

Зоны – это направления, которые используются при создании правил Firewall и сервисов Anti-X. В зоны включаются интерфейсы устройства. Название предустановленных зон и интерфейсов совпадают, но при этом VLAN-интерфейсы, созданные на базе dmz (как в нашем случае), можно привязывать к любым зонам вне зависимости от того, куда привязан родительский интерфейс. В данном примере использовались предустановленные зоны.
Зона LAN1 включает в себя интерфейс lan1 (куда подключаются стационарные хосты и ресурсы сети) и vlan3 (созданный для беспроводного подключения сотрудников). Так как для сотрудников все ресурсы локальной сети должны быть доступны, трафик между зонами не блокируется (на это указывает настройка Block intra-zone – no).
Зона DMZ используется для гостей, и в нее входит интерфейс vlan4. Интерфейс dmz также входит в эту зону, но в данном примере он не используется (на нем статически установлено значение 0.0.0.0 в качестве IP-адреса). В принципе, если есть необходимость, на этом интерфейсе можно развернуть сеть доступную гостям, в этом случае нужно выставить значение no для Block intra-zone, назначить на интерфейс dmz IP-адрес и подключить к нему через Ethernet-коммутатор необходимые хосты (ресурсы).

Читайте также:  Huawei mobile wifi e5221 настройка

2.2. Для настройки правил межсетевого экрана Firewall зайдите в меню Configuration > Firewall.

Для нашей схемы практически используются правила Firewall по умолчанию. Для решения задач нашей статьи важны следующие правила:

    • Правило #1 – из (From) зоны LAN1 (куда входят интерфейсы lan1 и vlan3) до (To) любой другой зоны (any, кроме трафика на само устройство) – разрешить передачу трафика (Access — allow). Это правило разрешает обращаться сотрудникам, подключенным к lan1-интерфейсу и подключенным к беспроводной сети, на любые интерфейсы устройства без ограничений. Это правило разрешает всё, кроме обращений на само устройство.

    • Правило #3 – из зоны DMZ (куда входит интерфейс для беспроводного подключения гостей vlan4) в зону WAN (зона, куда входят все внешние интерфейсы) – разрешить передачу трафика. Это правило разрешает гостям отправлять любой трафик в Интернет. Это правило можно изменить в зависимости от предоставляемого гостям доступа, например можно разрешить доступ только по 80 и 443 порту или разрешить доступ только на определенные внешние ресурсы.

    • Правило #7 – из зоны LAN1 (куда входят интерфейсы lan1 и vlan3) в зону ZyWALL (зона, описывающая трафик на любые интерфейсы устройства) – разрешить передачу трафика. Это правило разрешает сотрудникам направлять любой трафик на интерфейсы устройства. В данном примере предполагается, что сотрудники не могут быть источником проблем в сети и для устройства, поэтому для упрощения сотрудникам разрешается любой трафик. В принципе, в реальных условиях имеет смысл разрешать только то, что будет использоваться сотрудниками и для чего необходимо направлять трафик на сам ZyWALL.

    • Правило #9 – из зоны DMZ (куда входит интерфейс для беспроводного подключения гостей vlan4) в зону ZyWALL (зона, описывающая трафик на любые интерфейсы устройства) – разрешить определенные сервисы, описанные в групповом объекте Default_Allow_DMZ_To_ZyWALL. Это правило разрешает набор сервисов, которые вы хотите предоставить гостям. Например, для работы в Интернете гостям необходимо разрешить DNS-запросы на ZyWALL USG (в том случае если устройство выступает в качестве DNS-сервера). Также по умолчанию в этот системный групповой объект входит и NetBIOS (необходим, чтобы устройство могло определять NetBIOS-имя подключившегося компьютера). В зависимости от задачи можно добавлять или убирать сервисы из этой группы, таким образом разрешая или запрещая разные сервисы.

    • Default – Правило по умолчанию, запрещающее всё, кроме того, что было разрешено выше.

В зависимости от задач правилами Firewall можно гибко отрегулировать необходимые параметры доступа для всех интерфейсов, а при необходимости и для конкретных IP-адресов или аутентифицированных пользователей. Подробно о настройках зон и правил Firewall в ZyWALL USG можно почитать в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Настройка точки доступа NWA1121-NI, используемой в нашей схеме, описана в статье: БЗ-3204

В описанной выше схеме, вместо аппаратного шлюза ZyWALL USG можно использовать интернет-центр серии Keenetic (с микропрограммой NDMS v2.00). Такая схема тоже будет работать. Пример настройки VLAN в интернет-центре серии Keenetic для разделения сетей доступа представлен в статье: KB-3222
Но обращаем ваше внимание, что использование интернет-центра, по сравнению с аппаратным шлюзом ZyWALL USG, имеет ограничения в гибкости настройки интерфейсов и правил межсетевого экрана (Firewall), а также отсутствует возможность настройки сервисов Anti-X для организации безопасности сети.

Источник

Adblock
detector