Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy

ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy
(dotyczy serii urządzeń ZyWALL USG)
Technologii SSL VPN pozwala nam realizować bezpieczny zdalny dostęp do zasobów
naszej sieci lokalnej. W przypadku urządzeń serii USG dla SSL VPN nie ma konieczności
instalacji dodatkowego oprogramowania klienckiego na komputerach zdalnych
uŜytkowników.
Do zestawienia kanału SSL VPN w trybie Reverse Proxy wystarczy przeglądarka
internetowa (zalecne przeglądarki to: MS Explorer 6.0 i nowsze, Firefox 2.0 i nowsze oraz
Netscape 7.0 i nowsze) oraz środowisko Java w wersji 6.0 lub nowszej. Tryb Reverse
Proxy pozwala nam uzyskać bezpieczny dostę między innymi do: intranetowej strony www
naszej firmy, poczty elektronicznej (za pośrednictwem przeglądarki internetowej), zdalny
dostęp do komputerów pracujących w LAN (za pośrednictwem przeglądarki internetowej)
czy aplikaci księgowo finansowej, która posiada interfejs www.
Na potrzeby naszego przykładu przyjmiemy podaną niŜej adresację IP oraz załoŜymy, Ŝe
w naszej sieci lokalnej pracuje server www reprezentowany przez dodatkowe urządzenie
serii ZyWALL UTM.
Topologia sieci:
ZałoŜenia:
W sieci LAN umieszczony jest serwer HTTP reprezentowany przez urządzenie ZyWALL 5 UTM.
Zdalny uŜytkownik nawiązuje bezpieczne połączenie SSL VPN do ZyWALL USG i uzyskuje dostę
do WEB GUI ZyWALL 5 UTM.
1
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
1. Konfiguracja ZyWALL USG
Krok1.
Podłączamy nasz komputer do interfejsu LAN (ge1) ZyWALL USG. Pozyskujemy adres IP
z serwera DHCP i łączymy się z urządzeniem wpisując w przeglądarce adres
http://192.168.1.1. Następnie konfigurujemy adres IP dla interfejsu WAN (ge2) urządzenia.
Krok 2.
Przechodzimy do menu VPN > SSL VPN, I tworzymy regułę Access Privilege klikając
ikonę Add.
Teraz tworzymy nowy obiekt typu uŜytkownik. Aby utworzyć nowego uŜytkownika
naciskamy przycisk Add.
Następnie tworzymy nowy obiekt SSL Application. Zgodnie z poniŜszym rysunkiem
naciskamy przycisk Add i dodajemy do SSL Applications List obiekt typu Web
Application. URL powinien wskazywać na adres IP interfejsu WAN urządzenia ZyWALL 5
2
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
2. Konfiguracja ZyWALL 5
Krok 1.
Domyślny adres IP interfejsu LAN urządzeń firmy ZyXEL to 192.168.1.1. Aby zapobiec
konfliktom IP logujemy się na urządzenie i zgodnie z zaprezentowaną wyŜej topologią
dokonujemy zmian adresacji interfejsów ZyWALL 5. Domyślny adres IP interfejsu LAN
zmieniamy na 192.168.5.1. Adres interfejsu WAN natomiast zmieniamy na 192.168.1.33.
Na poniŜszych rysunkach pokazano konfigurację interfejsów zgodną z naszym
przykładem. Zmian dokonujemy w menu Network > LAN oraz Network > WAN > WAN1.
3
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 2.
Zezwalamy na zdalny dostęp do urządzenia ZyWALL 5 od strony interfejsu WAN.
Aby zezwolić uŜytkownikom na dostęp do WEB GUI firewall’a ZyWALL 5 naleŜy jeszcze
wyłączyć Firewall lub dopisać odpowiednią regułę.
3. Testujemy nasze bezpieczne połączenie SSL VPN
Krok 1.
Na komputerze podłączonym do interfejsu WAN ZyWALL USG uruchamiamy
przeglądarkę internetową i łączymy się z urządzeniem wykorzystując adres przypisany do
interfejsu WAN http://10.1.1.1.
4
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 2.
Podajemy nazwę i hasło uŜytkownika, którego zdefiniowaliśmy w konfiguracji polisy SSL
VPN na ZyWALL USG. Następnie zaznaczamy opcję “log into SSL VPN” i naciskamy
przycisk Login.
W przeglądarce powinno pojawić się okno ze zdefinowanym wcześniej obiektem WEB
Application, kierującym nas do strony konfiguracyjnej ZyWALL 5.
5
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 3.
Po kliknięciu na link ZW_http w przeglądarce powinniśmy zobaczyć okienko logowania do
urządzenia ZyWALL 5.
6