IK ga proberen een Site to Site VPN op te bouwen tussen 2 Zywall Firewall's, een Zywall 2 en een Zywall 5.
Ik wil graag even wart verificatie van de Guru's als het kan, ik zit wel op de goede weg lijkt me zo, behalve qua interne subnets.
Ik heb op beide Zywall's een Certificaat aangemaakt, Self-signed met als hostname het WAN-IP van de machine. Dit maakt trouwens weinig uit in dit geval begreep ik.
Hierna heb ik de Certificaten op beide machines Crossed geinporteerd als Trusted CA, dit lijkt me ook juist.
Ik maak op beide machines een VPN aan met de volgende settings:
Range Local:
Site 1: Site to Site met de range lokaal: 192.168.1.1 - 192.168.1.254
Site 2: Site to Site met de range lokaal: 10.10.10.1 - 10.10.10.254
Range Remote:
Site 1: 10.10.10.1 - 10.10.10.254 (dat subnet draait dus aan de andere kant)
Site 2: 192.168.1.1 - 192.168.1.254 (dat subnet draait ook aan de "andere" kant)
Als Authentication Method kies ik aan beide kanten het zelf gebakken certificaat en verder hoef ik volgens de manual, als ik het goed heb, geen "Content" voor de "Peer ID Type" te zetten omdat ik Certificaten gebruik.
My IP-address is in beide VPN-instelling het WAN-IP van de Zywall
Primary Secure Gateway is in beide VPN-instellingen het WAN-IP van de Zywall aan de andere kant, andere site dus.
Encrypty heb ik aan beide kanten gewoon op 3DES en SHA1 staan.
Ik twijfel aan de IP-ranges die ik aan beide kanten gebruik, misschien moet ik iets aan een Static Route doen of iets dergelijks.
Ben ik goed op dreef ?
Ik wil graag even wart verificatie van de Guru's als het kan, ik zit wel op de goede weg lijkt me zo, behalve qua interne subnets.
Ik heb op beide Zywall's een Certificaat aangemaakt, Self-signed met als hostname het WAN-IP van de machine. Dit maakt trouwens weinig uit in dit geval begreep ik.
Hierna heb ik de Certificaten op beide machines Crossed geinporteerd als Trusted CA, dit lijkt me ook juist.
Ik maak op beide machines een VPN aan met de volgende settings:
Range Local:
Site 1: Site to Site met de range lokaal: 192.168.1.1 - 192.168.1.254
Site 2: Site to Site met de range lokaal: 10.10.10.1 - 10.10.10.254
Range Remote:
Site 1: 10.10.10.1 - 10.10.10.254 (dat subnet draait dus aan de andere kant)
Site 2: 192.168.1.1 - 192.168.1.254 (dat subnet draait ook aan de "andere" kant)
Als Authentication Method kies ik aan beide kanten het zelf gebakken certificaat en verder hoef ik volgens de manual, als ik het goed heb, geen "Content" voor de "Peer ID Type" te zetten omdat ik Certificaten gebruik.
My IP-address is in beide VPN-instelling het WAN-IP van de Zywall
Primary Secure Gateway is in beide VPN-instellingen het WAN-IP van de Zywall aan de andere kant, andere site dus.
Encrypty heb ik aan beide kanten gewoon op 3DES en SHA1 staan.
Ik twijfel aan de IP-ranges die ik aan beide kanten gebruik, misschien moet ik iets aan een Static Route doen of iets dergelijks.
Ben ik goed op dreef ?
edit:
Wat misschien goed is om te weten dat aan de 192.168.1.x kant, mijn ADSL-kant, ik het volgende wil gebruiken:
- Speedtouch 510
- WRT54GS Interne switching + aangesloten Office Connect Switch voor extra poorten.
- Zywall 2 voor de Site-to-Site oplossing.
Het zou kunnen zijn dat ik de Office Connect of een extra switch aan de DMZ kant nodig ga hebben.
Het is nu zo dat de WRT als DMZ opgegeven is binnen de speedtouch, deze forward alles dus alleen.
Ik draai X-WRT op de WRT en hier kan je geen DMZ in zetten, je kan alle poorten forwarden in de firewall, ik weet alleen niet of handmatig geforwarde poorten dan voorrang krijgen, dit is op een speedtouch bijvoorbeeld wel zo.
Wat is handig als setup:
Ik denk eigenlijk:
Speedtouch => ZyWall2 => WRT54GS => Office Connect. (zo is het nu ook zonder ZyWall)
Toch lijkt me dit ook zeer voor de hand liggend met de ZyWall als DMZ in de Speedtouch en de rest geforward naar de WRT voor poorten die ik daar nodig heb.
Speedtouch (1 poorts) => Switch => WRT54G
. . . . . . . . . . . . . . . . . . . . . . . ||==== => ZyWall 2
Probleem dat ook optreedt is dat ik geen PC direct aan de ZyWall wil knopen maar deze aan de WRT geknoopt heb.
Ik zou bijna denken dat ik de WRT of de ZyWall moet ruimen, of de WRT alleen als switch/ AP moet gaan gebruiken.
Wat misschien goed is om te weten dat aan de 192.168.1.x kant, mijn ADSL-kant, ik het volgende wil gebruiken:
- Speedtouch 510
- WRT54GS Interne switching + aangesloten Office Connect Switch voor extra poorten.
- Zywall 2 voor de Site-to-Site oplossing.
Het zou kunnen zijn dat ik de Office Connect of een extra switch aan de DMZ kant nodig ga hebben.
Het is nu zo dat de WRT als DMZ opgegeven is binnen de speedtouch, deze forward alles dus alleen.
Ik draai X-WRT op de WRT en hier kan je geen DMZ in zetten, je kan alle poorten forwarden in de firewall, ik weet alleen niet of handmatig geforwarde poorten dan voorrang krijgen, dit is op een speedtouch bijvoorbeeld wel zo.
Wat is handig als setup:
Ik denk eigenlijk:
Speedtouch => ZyWall2 => WRT54GS => Office Connect. (zo is het nu ook zonder ZyWall)
Toch lijkt me dit ook zeer voor de hand liggend met de ZyWall als DMZ in de Speedtouch en de rest geforward naar de WRT voor poorten die ik daar nodig heb.
Speedtouch (1 poorts) => Switch => WRT54G
. . . . . . . . . . . . . . . . . . . . . . . ||==== => ZyWall 2
Probleem dat ook optreedt is dat ik geen PC direct aan de ZyWall wil knopen maar deze aan de WRT geknoopt heb.
Ik zou bijna denken dat ik de WRT of de ZyWall moet ruimen, of de WRT alleen als switch/ AP moet gaan gebruiken.
[ Voor 29% gewijzigd door Verwijderd op 29-01-2007 03:17 ]
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
