ZyWALL 2. Brama zabezpieczająca połączenie internetowe. Krótki przewodnik Wersja 3.60 Kwiecień 2003

Podobne dokumenty
Prestige 334. Szerokopasmowy router z zaporą sieciową. Szybki start Wersja 3.60 May 2004

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

1. Sprawdzanie zawartości opakowania. 2. Instalacja na stojaku. Skrócona instrukcja obsługi USG-300

ZyWALL 70. Urządzenie zabezpieczające połączenie internetowe. Szybki start Wersja 3.62 Luty 2004

ZyWALL 35. Urządzenie zabezpieczające połączenie internetowe. Szybki start Wersja 3.62 Kwiecień 2004

ZyWALL 5. Urządzenie zabezpieczające połączenie internetowe. Szybki start Wersja 3.62 (XD.0) Maj 2004

ZyXEL NBG-415N. Bezprzewodowy router szerokopasmowy n. Skrócona instrukcja obsługi. Wersja /2006 Edycja 1

NBG420N. Bezprzewodowy router N. Skrócona instrukcja obsługi. DOMYŚLNE LOGOWANIE Adres IP: Hasło: 1234

Konfiguracja aplikacji ZyXEL Remote Security Client:

P-791R v2 Router G.SHDSL.bis

P-793H v2. Skrócona instrukcja obsługi. Brama szerokopasmowa G.SHDSL.bis z obsługą agregacji linii (bonding)

P-320W ZyXEL P-320W Bezprzewodowy szerokopasmowy router g z zaporą sieciową Szybki start

Telefon IP 620 szybki start.

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Telefon AT 530 szybki start.

Dokładniejsze informacje można znaleźć w Podręczniku użytkownika.

ZyXEL P-336M. Skrócona instrukcja obsługi. Bezprzewodowy router szerokopasmowy XtremeMIMO TM b/g. Wersja 1.0 1/2006

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Skrócona instrukcja obsługi USG-300. ZyWALL USG 300. Skrócona instrukcja obsługi

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

P-660HN-TxA. Skrócona instrukcja obsługi. 4-portowa brama bezprzewodowa n z modemem ADSL2+

Punkt dostępowy z Routerem Wireless-G

DWL-2100AP g/108Mbps Bezprzewodowy punkt dostępowy D-Link AirPlus XtremeG

Instalacja. Podłączenie urządzenia. Wyłącz wszystkie urządzenia sieciowe (komputer, modem i router).

Dysk CD (z Oprogramowaniem i Podręcznikiem użytkownika)

Prestige 661H Series. Prestige 661HW Series

instrukcja instalacji modemu SpeedTouch 605s

DFL-200 Network Security Firewall. Dysk CD (zawierający podręcznik użytkownika) Kabel konsoli (RS 232) Zasilacz napięcia stałego 5 V

ZyWALL USG 100. Skrócona instrukcja obsługi. Zintegrowana brama bezpieczeństwa ZLD DOMYŚLNE LOGOWANIE

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

P-660HN. Skrócona instrukcja obsługi. Bezprzewodowy router N z modemem ADSL2+

DI-614+ Przed rozpoczęciem. Zawartość opakowania. Bezprzewodowy ruter 2,4 GHz. Ruter bezprzewodowy 2,4 GHz DI-614+

Przygotowanie urządzenia:

RX3041. Przewodnik szybkiej instalacji

Bramka IP 2R+L szybki start.

Netis Bezprzewodowy Router N ADSL2+ z Modemem Instrukcja szybkiej instalacji

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Podłączenie urządzenia

Seria P-661HW-Dx Bezprzewodowy modem ADSL2+ z routerem

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

NBG318S Series Bezprzewodowy router Super G HomePlug AV

Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex

DWUPASMOWY, BEZPRZEWODOWY PUNKT DOSTĘPU / ROUTER 450 MBIT

Instalacja. Dla przykładu, w instrukcji tej wykorzystano model TD-8817.

Instrukcja szybkiej instalacji. Przed przystąpieniem do instalacji należy zgromadzić w zasięgu ręki wszystkie potrzebne informacje i urządzenia.

Zapora ogniowa DFL-700 NETDEFEND. Dysk CD (z podręcznikiem użytkownika i gwarancją) Kabel ethernetowy bezpośredni UTP, kat. 5 (skrętka nieekranowana)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Instrukcja konfiguracji urządzenia TL-WA830RE v.1

Router VPN z Rangeboosterem

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Dysk CD (zawierający podręcznik użytkownika) Kabel Ethernet (bezpośredni) Zasilacz napięcia stałego 5 V

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Instrukcja instalacji Encore ADSL 2 + WIG

ZyWALL USG Skrócona instrukcja obsługi. Zintegrowana brama bezpieczeństwa ZLD DOMYŚLNE LOGOWANIE

Konfiguracja własnego routera LAN/WLAN

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

1. Montaż i podłączenie do sieci Konfiguracja przez stronę 8

Ważne: Przed rozpoczęciem instalowania serwera DP-G321 NALEŻY WYŁACZYĆ zasilanie drukarki.

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

Dysk CD (z podręcznikiem użytkownika) Kabel ethernetowy (Kat. 5 UTP)

DI-524 Ruter bezprzewodowy AirPlus G. Kabel Ethernet (bezpośredni) Jeżeli którejkolwiek z tych pozycji brakuje, skontaktuj się ze sprzedawcą.

WPA-1000 Bezprzewodowy adapter g do projektora

ZyWALL 2 Plus Skrócona instrukcja obsługi

Ćwiczenie Konfigurowanie klienta DHCP

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

NWD-210N Bezprzewodowy adapter USB n

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Podłączenie urządzenia. W trakcie konfiguracji routera należy korzystać wyłącznie z przewodowego połączenia sieciowego.

Wzmacniacz sygnału, repeater Wi-Fi Conrad N300, do gniazdka, 1xRJ45

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

NPS-520. Serwer druku do urządzeń wielofukcyjnych. Skrócona instrukcja obsługi. Wersja 1.00 Edycja 1 11/2006

L2TP over IPSec Application

Router z punktem Dostępowym

BEZPRZEWODOWY ROUTER SZEROKOPASMOWY 11N 300MBPS

INSTRUKCJA OBSŁUGI ROUTERA 4 w 1 - ΩMEGA O700 - WIRELESS N 300M ROUTER.

4. Podstawowa konfiguracja

ZyWALL USG 1000 Skrócona instrukcja obsługi

Konfiguracja ROUTERA bezprzewodowego z modemem ADSL 2+, TP-Link TD-W8910G/TDW8920G

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Modem router ADSL 2/2+

Konwerter RS-485->TCP/IP [ethernet] ATC-1000 SZYBKI START [konfiguracja urządzenia do współpracy z programem Meternet]

Instrukcja konfiguracji urządzenia Comarch TNA Gateway Plus

Asmax VoIP Router V320 Instrukcja instalacji

Przewodnik szybkiej instalacji

Problemy techniczne SQL Server

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Laboratorium - Podgląd informacji kart sieciowych bezprzewodowych i przewodowych

Modem ADSL + router Wireless ready

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Instrukcja szybkiej instalacji

Podłącz bezprzewodowy punkt dostępowy DWL-700AP do sieci.

Instalacja i uruchomienie usługi telefonii internetowej HaloNet dla FRITZ!Box Fon WLAN 7170

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

ZyWALL SSL 10 Zintegrowana brama SSL VPN

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

USB 2.0 SERWER DRUKARKI ETHERNETU

NSA GB HDD. Skrócona instrukcja obsługi. 1-wnękowy serwer mediów. Domyślne dane logowania. Adres WWW: nsa310 Hasło: 1234

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Transkrypt:

Brama zabezpieczająca połączenie internetowe Krótki przewodnik Wersja 3.60 Kwiecień 2003

Spis treści ZyWALL 2 1. ZyWALL wprowadzenie... 3 2. Sprzęt... 3 2.1. Panel tylny... 3 2.2. Wskaźniki LED na panelu przednim... 4 3. Konfigurowanie adresu IP komputera... 5 3.1. Windows 2000/NT/XP... 5 4. Konfigurowanie urządzenia ZyWALL... 6 4.1. Dostęp do urządzenia ZyWALL poprzez Web Configurator... 6 4.2. Dostęp do Internetu przy pomocy funkcji Wizard... 7 4.3. Testowanie połączenia internetowego... 9 4.4. Sprawdzanie konfiguracji połączenia WAN... 10 4.5. Często używane przyciski poleceń... 10 5. Konfiguracja zaawansowana... 10 5.1. Translacja adresów sieciowych (NAT)... 10 5.2. Konfigurowanie serwera SUA... 11 5.3. Zapora sieciowa... 12 5.4. Konfigurowanie zapory sieciowej...12 5.5. Procedura konfigurowania reguł zapory sieciowej... 14 5.6. Konfigurowanie adresów źródłowych i docelowych... 15 5.7. VPN... 16 5.8. Zestawienie reguł VPN (ekran Summary)... 16 5.9. Konfigurowanie reguł VPN... 17 5.10. Ekran SA Monitor... 20 5.11. UPnP... 20 5.12. Konfigurowanie UPnP... 20 6. Rozwiązywanie problemów... 21 2

1. ZyWALL wprowadzenie ZyWALL 2 to brama zapewniająca monitorowanie danych przepływających między Internetem a siecią lokalną (LAN). ZyWALL 2 łączy funkcje NAT, zapory sieciowej i VPN, więc jest kompletnym rozwiązaniem, które chroni sieć lokalną i efektywnie zarządza ruchem. Program konfiguracyjny jest łatwy w użyciu, a dzięki interfejsowi WWW całkowicie niezależny od systemu operacyjnego. Użytkownik powinien mieć już skonfigurowane połączenie internetowe i dysponować następującymi informacjami: Adres IP portu WAN (jeśli podano): Informacje o koncie internetowym Adres IP serwera DNS (jeśli podano): Podstawowy, Wtórny Kapsułkowanie: Ethernet Typ usługi: Adres IP serwera logowania: Nazwa użytkownika: Hasło: PPTP Nazwa użytkownika: Hasło: Adres IP portu WAN: Adres IP serwera PPTP: Identyfikator połączenia (jeśli jest wymagany): PPPoE (PPPoE) Nazwa usługi: Nazwa użytkownika: Hasło: 2. Sprzęt W tym rozdziale podano szczegółowe informacje o sprzęcie. 2.1. Panel tylny DESCRIPTION LAN 10/100M 1-4 WAN 10/100M POWER 12 VDC Podłączyć komputer do jednego z tych portów za pomocą kabla ethernetowego. Porty obsługują autonegocjację (połączenia z szybkością 10 lub 100 Mb/s) i autorozpoznawanie (automatycznie dostosowują się do typu używanego kabla, zwykłego lub krosowego). Do tego portu należy podłączyć modem kablowy/dsl za pomocą kabla dostarczonego wraz z modemem. Do tego gniazda należy podłączyć zasilacz dostarczony wraz z urządzeniem (nie używać innych zasilaczy). Po dokonaniu połączeń należy włożyć kabel zasilający do gniazda elektrycznego i przyjrzeć się wskaźnikom LED na panelu przednim. 3

Przełącznik CON/AUX Port CON/AUX DESCRIPTION Ten port ma zastosowanie tylko wtedy, gdy użytkownik chce skonfigurować urządzenie ZyWALL poprzez port konsoli przy użyciu terminalu zarządzania systemem (System Management Terminal, SMT) albo skonfigurować zapasowe połączenie WAN; więcej informacji na ten temat można znaleźć w Instrukcji użytkownika. Ustawić przełącznik w położeniu CON, aby użyć portu CON/AUX jako portu konsoli do lokalnego konfigurowania urządzenia i zarządzania nim. Podłączyć 9-stykową, męską wtyczkę kabla konsoli do portu w urządzeniu ZyWALL, a drugą wtyczkę do portu szeregowego (COM1, COM2 albo innego portu COM) w komputerze. Komputer powinien być wyposażony w program emulatora terminalu (na przykład HyperTerminal) skonfigurowany do emulacji terminalu VT100 bez kontroli parzystości, z 8 bitami danych, 1 bitem stopu, bez kontroli przepływu i z szybkością 9600 b/s. Ustawić przełącznik w położeniu AUX, aby użyć portu CON/AUX jako zapasowego, telefonicznego połączenia WAN. Użyć dołączonego konwertera CON/AUX i kabla konsoli, aby podłączyć port CON/AUX do modemu lub adaptera terminalu. RESET Ten przycisk należy nacisnąć tylko w razie zapomnienia hasła ZyWALL. Powoduje on przywrócenie ustawień fabrycznych (hasło 1234, adres IP LAN 192.168.1.1, opisane wyżej parametry emulacji terminalu itp.; więcej informacji na ten temat można znaleźć w Instrukcji użytkownika). 2.2. Wskaźniki LED na panelu przednim Wskaźnik PWR zapala się po podłączeniu zasilania. Wskaźnik SYS miga, kiedy system wykonuje testy, i pozostaje zapalony, jeśli przebiegną one pomyślnie. Wskaźniki CON/AUX, LAN oraz WAN zapalają się po prawidłowym wykonaniu odpowiednich połączeń. Tabela 1. Opis wskaźników LED WSKAŹNIK KOLOR STAN OPIS PWR Zielony Włączony Urządzenie ZyWALL jest wyłączone Wyłączony Urządzenie ZyWALL jest włączone SYS Zielony Wyłączony Urządzenie ZyWALL nie jest gotowe lub uległo uszkodzeniu Włączony Urządzenie ZyWALL jest gotowe i działa poprawnie Migający Urządzenie ZyWALL uruchamia się ponownie Czerwony Włączony Napięcie zasilające jest zbyt niskie LAN 10/100M 1-4 10/100M WAN CON/AUX Zielony Bursztynowy Zielony Bursztynowy Zielony Włączony Urządzenie ZyWALL nawiązało połączenie LAN 10 Mb/s Włączony Urządzenie ZyWALL nawiązało połączenie LAN 100 Mb/s Migający Urządzenie ZyWALL wysyła lub odbiera pakiety Wyłączony Urządzenie ZyWALL nie ma połączenia ethernetowego Włączony Port WAN nawiązał połączenie 10 Mb/s Włączony Port WAN nawiązał połączenie 100 Mb/s Migający Port WAN wysyła lub odbiera pakiety Wyłączony Port WAN nie jest gotowy lub uległ uszkodzeniu Wyłączony Port CON/AUX nie jest gotowy lub zawiódł Włączony Przełącznik CON/AUX jest ustawiony w położeniu CON, a port CON/AUX jest podłączony do komputera zarządzającego 4

Tabela 1. Opis wskaźników LED WSKAŹNIK KOLOR STAN OPIS Bursztynowy Wyłączony Port CON/AUX nie jest gotowy lub uległ uszkodzeniu. Włączony Przełącznik CON/AUX jest ustawiony w położeniu AUX, a port CON/AUX nawiązał połączenie internetowe za pośrednictwem modemu telefonicznego Migający Przełącznik CON/AUX jest ustawiony w położeniu AUX, a port CON/AUX wysyła lub odbiera dane za pośrednictwem modemu telefonicznego 3. Konfigurowanie adresu IP komputera Jeśli komputer jest już skonfigurowany do pobierania dynamicznego adresu IP, można przejść do lektury następnego rozdziału. Jest to ustawienie domyślne w większości nowych komputerów. Urządzenie ZyWALL jest fabrycznie skonfigurowane tak, aby przydzielać adresy IP podłączonym do niego komputerom. W tym rozdziale wyjaśniono, jak skonfigurować komputer do pobierania adresu IP albo jak przydzielić mu statyczny adres IP z zakresu 192.168.1.2 192.168.1.254 z maską podsieci 255.255.255.0. Jest to niezbędne w celu nawiązania łączności między komputerem a urządzeniem ZyWALL. W komputerze musi być zainstalowana karta Ethernet oraz protokół TCP/IP. Protokół TCP/IP jest instalowany w większości komputerów z systemem operacyjnym Windows NT/2000/XP oraz Macintosh OS 7 i nowszymi wersjami. 3.1. Windows 2000/NT/XP 1. W Windows XP kliknąć przycisk Start i wybrać polecenie Panel sterowania. W Windows 2000/NT kliknąć przycisk Start i wybrać polecenie Ustawienia/Panel sterowania. 2. W Windows XP kliknąć dwukrotnie ikonę Połączenia sieciowe. W Windows 2000/NT kliknąć dwukrotnie ikonę Połączenia sieciowe i telefoniczne. 3. Kliknąć prawym przyciskiem myszy ikonę Połączenie lokalne i wybrać z menu polecenie Właściwości. 4. Zaznaczyć pozycję Protokół internetowy (TCP/IP) (na karcie Ogólne w Windows XP) i kliknąć przycisk Właściwości. 5. Pojawi się okno Właściwości: Protokół internetowy (TCP/IP) (karta Ogólne w Windows XP). - Aby komputer pobierał dynamiczny adres IP, należy zaznaczyć opcję Uzyskaj adres IP automatycznie. - Aby skonfigurować statyczny adres IP, należy zaznaczyć opcję Użyj następującego adresu IP i wypełnić pola Adres IP (wybrać adres z zakresu 192.168.1.2 192.168.1.254), Maska podsieci (255.255.255.0) oraz Brama domyślna (192.168.1.1). 6. Kliknąć przycisk Zaawansowane. Na karcie Ustawienia protokołu IP usunąć poprzednio zainstalowane bramy i kliknąć przycisk OK, aby wrócić do okna Właściwości: Protokół TCP/IP. 5

7. Zaznaczyć opcję Uzyskaj adres serwera DNS automatycznie, jeśli adresy IP serwerów DNS są nieznane. Jeśli adresy IP serwerów DNS są znane, należy zaznaczyć opcję Użyj następujących adresów serwerów DNS i wpisać je w polach Preferowany serwer DNS i Alternatywny serwer DNS. Jeśli komputer używa więcej niż dwóch serwerów DNS, należy kliknąć przycisk Zaawansowane, następnie kartę DNS i skonfigurować je za pomocą przycisku Dodaj. 8. Kliknąć przycisk OK, aby zamknąć okno Właściwości: Protokół TCP/IP. 9. Kliknąć przycisk OK, aby zamknąć okno Właściwości: Połączenie lokalne. Sprawdzanie adresu IP komputera 1. Kliknąć przycisk Start i wybrać polecenie (Wszystkie) Programy/Akcesoria/Wiersz polecenia. 2. W oknie Wiersz polecenia wpisać "ipconfig" i nacisnąć klawisz ENTER, aby sprawdzić, czy adres IP komputera należy do właściwego zakresu (od 192.168.1.2 do 192.168.1.254) i ma maskę podsieci 255.255.255.0. Jest to niezbędne do nawiązania łączności z urządzeniem ZyWALL. Informacje dotyczące konfigurowania adresu IP w innych wersjach systemu Windows oraz w systemie Macintosh można znaleźć w instrukcji użytkownika. 4. Konfigurowanie urządzenia ZyWALL W niniejszym przewodniku opisano tylko użycie programu Web Configurator. W Instrukcji użytkownika opisano wszystkie funkcje urządzenia ZyWALL oraz sposób konfigurowania go za pomocą terminalu zarządzania systemem (System Management Terminal, SMT). Web Configurator 4.1. Dostęp do urządzenia ZyWALL poprzez Web Configurator Etap 1. Uruchomić przeglądarkę. Wpisać 192.168.1.1 jako adres witryny WWW. Adres witryny WWW Etap 2. Hasło domyślne ( 1234 ) znajduje się już w polu Password (w nieczytelnej postaci). Kliknąć przycisk Login, aby przejść do ekranu z prośbą o zmianę hasła. Kliknąć przycisk Reset, aby przywrócić domyślne hasło w polu Password. Hasło domyślne Etap 3. Zaleca się zmienić hasło domyślne! Należy wprowadzić nowe hasło, wpisać je ponownie w celu weryfikacji i kliknąć przycisk Apply. Aby przejść do menu głównego bez zmiany hasła, można kliknąć przycisk Ignore. 6

Zmiana hasła domyślnego Etap 4. Powinien pojawić się ekran MAIN MENU programu konfiguracyjnego. Kliknąć łącze WIZARD, aby wyświetlić serię ekranów ułatwiających wstępne konfigurowanie urządzenia ZyWALL. Kliknąć łącze MAINTENANCE w panelu nawigacyjnym, aby obejrzeć dane statystyczne urządzenia ZyWALL, zaktualizować oprogramowanie firmowe albo skopiować, przywrócić lub wczytać plik konfiguracyjny. Kliknąć łącze LOGOUT, aby zakończyć sesję zarządzania urządzeniem ZyWALL. Urządzenie ZyWALL automatyczne wylogowuje użytkownika po pięciu minutach braku aktywności, należy nacisnąć klawisz ENTER, aby wyświetlić ekran Login i ponownie się zalogować. Kliknąć łącze WIZARD, aby przeprowadzić wstępną konfigurację, tzn. ustawić parametry ogólne, parametry połączenia z dostawcą usług internetowych oraz adres portu WAN, adresy serwerów DNS i adres MAC. Za pomocą tych podmenu można skonfigurować funkcje urządzenia ZyWALL Kliknąć łącze LOGOUT, aby opuścić program konfiguracyjny Kliknąć łącze MAINTENANCE, aby obejrzeć informacje o urządzeniu ZyWALL albo zaktualizować pliki konfiguracyjne lub oprogramowanie firmowe. W tym menu znajdują się opcje SYSTEM STATUS (statystyka), DHCP TABLE (tabela DHCP), F/W (oprogramowanie firmowe) UPGRADE (aktualizacja) oraz CONFIGURATION (kopia zapasowa, przywracanie ustawień domyślnych). 4.2. Dostęp do Internetu przy pomocy funkcji Wizard Etap 1. W menu głównym kliknąć łącze WIZARD, aby wyświetlić pierwszy ekran kreatora. 7

Pole System Name służy do celów identyfikacji. Należy wpisać w nim nazwę swojego komputera. Zawartość pola Domain Name jest przekazywana klientom DHCP w sieci LAN. Jeśli pozostanie puste, będzie używana nazwa domenowa uzyskana za pośrednictwem DHCP od dostawcy usług internetowych Kliknąć przycisk Next, aby kontynuować. Etap 2. Drugi ekran kreatora ma trzy odmiany w zależności od wybranego typu kapsułkowania. Poszczególne pola należy wypełnić zgodnie z informacjami zebranymi w tabeli Informacje o koncie internetowym. Wybrać opcję Ethernet, jeśli port WAN jest używany jako zwykły port Ethernet. Wybrać typ usługi: Standard albo wersję RoadRunner. W niektórych wersjach RoadRunner trzeba podać nazwę użytkownika (User Name), hasło (Password) oraz adres IP serwera logowania (Login Server IP Address). Kliknąć przycisk Next, aby kontynuować. Protokół Point-to-Point Protocol over Ethernet (PPPoE) funkcjonuje jako połączenie typu dial-up. Potrzebna więc będzie nazwa użytkownika, hasło, a być może również nazwa usługi PPPoE. Wszystkie niezbędne informacje można uzyskać od dostawcy usług internetowych. Zaznaczyć pole Nailed Up Connection, aby połączenie z serwerem PPPoE nie miało limitu czasowego. W przeciwnym razie wpisać w polu Idle Timeout liczbę sekund, po upływie których połączenie zostanie przerwane. Wartość domyślna to 100 sekund. Wpisać 0, aby zapobiec przerywaniu połączenia. Kliknąć przycisk Next, aby kontynuować. 8

Należy wybrać opcję PPTP, jeśli dostawca usług używa terminatora DSL z logowaniem PPTP. W takim przypadku urządzenie ZyWALL musi mieć statyczny adres IP (My IP Address), a być może również maskę podsieci (My IP Subnet Mask), jeśli podał ją dostawca. Potrzebna będzie również nazwa użytkownika, hasło oraz adres IP terminatora DSL (Server IP Address). Jeśli dostawca podał identyfikator lub nazwę połączenia, należy wpisać ją w polu Connection ID/Name. Opis pól Nailed Up Connection oraz Idle Timeout podano powyżej. Kliknąć przycisk Next, aby kontynuować. Etap 3. Wypełnić pola i kliknąć przycisk Finish, aby zapisać ustawienia i zakończyć działanie kreatora. Przypisywanie adresu IP WAN (WAN IP Address Assignment) Należy wybrać opcję Get automatically from ISP, jeśli dostawca usług internetowych nie przydzielił statycznego adresu IP. W przeciwnym razie należy wybrać opcję Use fixed IP address i wpisać adres IP oraz maskę podsieci w następnych dwóch polach. W razie wybrania opcji Use fixed IP address należy wpisać adres IP bramy w polu Gateway IP Address (jeśli jest znany) Serwery DNS (DNS Server Assignment) Zaznaczyć opcję Get automatically from ISP, jeśli dostawca nie podał adresów serwerów DNS. W razie zaznaczenia opcji Use fixed IP address wpisać adresy serwerów DNS w polach Primary/Secondary DNS Server Adres MAC portu WAN (WAN MAC Address) Wybrać opcję Factory Default, aby użyć fabrycznego adresu MAC. Można też wybrać opcję Spoof this computer's MAC address - IP Address i wpisać adres IP komputera w sieci lokalnej, którego adres MAC ma zostać skopiowany. 4.3. Testowanie połączenia internetowego Należy uruchomić przeglądarkę WWW i przejść pod adres www.zyxel.com. Nie trzeba korzystać z żadnego programu obsługującego dostęp telefoniczny, takiego jak Dial Up Networking. Szczegółowe informacje o wszystkich funkcjach urządzenia ZyWALL można znaleźć w Instrukcji użytkownika. Jeśli nie da się uzyskać dostępu do Internetu, należy ponownie otworzyć program konfiguracyjny i upewnić się, że ustawienia połączenia WAN skonfigurowane za pomocą kreatora są prawidłowe. W razie problemów z logowaniem należy przeczytać rozdział Rozwiązywanie problemów. 9

4.4. Sprawdzanie konfiguracji połączenia WAN Kliknąć łącze WAN, a następnie zakładki WAN ISP oraz WAN IP. Zakładki te wyglądają bardzo podobnie do 2. i 3. ekranu kreatora. Jeśli informacje są nieprawidłowe, należy dokonać zmian i kliknąć przycisk Apply. Kliknąć przycisk Reset, aby od nowa rozpocząć konfigurowanie ustawień. 4.5. Często używane przyciski poleceń W poniższej tabeli opisano przyciski poleceń pojawiające się na wielu ekranach programu konfiguracyjnego. Apply Reset Cancel Kliknąć przycisk Apply, aby zapisać zmiany w urządzeniu ZyWALL. Kliknąć przycisk Reset, aby od nowa rozpocząć konfigurowanie ustawień na danym ekranie. Kliknąć przycisk Cancel, aby przejść do poprzedniego ekranu. 5. Konfiguracja zaawansowana W tym rozdziale opisano konfigurowanie niektórych zaawansowanych funkcji urządzenia ZyWALL. 5.1. Translacja adresów sieciowych (NAT) Translacja adresów sieciowych (ang. Network Address Translation, NAT RFC 1631) polega na przekształcaniu adresu IP hosta w pakiecie. Na przykład adres źródłowy pakietu wychodzącego z jednej sieci jest zmieniany w inny adres IP, znany w drugiej sieci. Użytkownicy, którzy mają pojedynczy publiczny adres IP, powinni wybrać opcję SUA Only w polu Network Address Translation na ekranie WAN ISP (zobacz podrozdział 4.4). Ci, którzy mają wiele publicznych adresów IP, mogą skorzystać z zaawansowanych typów odwzorowań (więcej informacji na ten temat można znaleźć w Instrukcji użytkownika). NAT obsługuje pięć typów odwzorowywania adresów IP i portów: 10

1. One-to-One: w tym trybie jeden lokalny adres IP jest odwzorowywany na jeden adres globalny. Należy zauważyć, że w trybie One-to-one numery portów nie zmieniają się. 2. Many-to-One: w tym trybie wiele lokalnych adresów IP jest odwzorowywanych na jeden adres globalny. Jest to odpowiednik trybu SUA (to znaczy translacji adresów portów), czyli pojedynczego konta użytkownika (ang. Single User Account). 3. Many-to-Many Overload: w tym trybie wiele lokalnych adresów IP jest odwzorowywanych na kilka współużytkowanych adresów globalnych. 4. Many One-to-One: w tym trybie każdy lokalny adres IP jest odwzorowywany na unikatowy adres globalny. 5. Server: ten tryb umożliwia udostępnienie wewnętrznych serwerów albo usług w zewnętrznych sieciach. 5.2. Konfigurowanie serwera SUA Zbiór serwerów SUA to lista serwerów wewnętrznych (umieszczonych za bramą NAT w sieci lokalnej), na przykład WWW lub FTP, które można udostępnić w zewnętrznych sieciach, mimo że SUA sprawia, iż cała sieć lokalna wygląda z zewnątrz jak pojedynczy komputer. Kliknąć łącze SUA/NAT, aby wyświetlić ekran SUA Server. Rysunek 1. Serwer SUA/NAT W poniższej tabeli opisano pola znajdujące się na tym ekranie. Default Server Tabela 2. Serwer SUA/NAT OPIS Oprócz serwerów konkretnych usług funkcja NAT obsługuje serwer domyślny. Serwer domyślny otrzymuje pakiety z portów, które nie zostały zdefiniowane na tym ekranie. Jeśli użytkownik nie określi adresu IP serwera domyślnego, wszystkie pakiety zmierzające do niezdefiniowanych tu portów będą odrzucane. # Jest to numer wpisu serwera SUA. Active Name Zaznaczyć to pole wyboru, aby włączyć wpis serwera SUA. Usunąć zaznaczenie z tego pola, aby zapobiec przekazywaniu portów do wewnętrznego serwera bez konieczności usuwania wpisu. Wpisać nazwę identyfikującą tę regułę przekazywania portów. 11

Tabela 2. Serwer SUA/NAT Start Port End Port Server IP Address OPIS W tym polu należy wpisać numer portu. Aby przekazać tylko jeden port, należy wpisać ten sam numer portu w polu End Port. Aby przekazać zakres portów, należy wpisać początkowy numer portu w tym polu, a numer końcowy w polu End Port. W tym polu należy wpisać numer portu. Aby przekazać tylko jeden port, należy wpisać jego numer w polu Start Port, a następnie ponownie w tym polu. Aby przekazać zakres portów, należy wpisać początkowy numer portu w polu Start Port, a numer końcowy w tym polu. W tym polu należy podać adres IP wewnętrznego serwera. 5.3. Zapora sieciowa Urządzenie ZyWALL zawiera zaporę sieciową ze stanową inspekcją pakietów, która chroni przed atakami blokady usług (Denial of Service). Urządzenie ZyWALL zaprojektowano z myślą o bezpiecznym podłączeniu prywatnej sieci lokalnej (Local Area Network, LAN) do Internetu. ZyWALL chroni przed kradzieżą, zniszczeniem i modyfikacją danych, a także rejestruje zdarzenia, co może mieć duże znaczenie dla bezpieczeństwa sieci. Urządzenie jest również wyposażone w funkcje filtrowania pakietów. Po uaktywnieniu zapora sieciowa zezwala na ruch zapoczątkowany w sieci lokalnej i zmierzający do Internetu, a blokuje ruch zapoczątkowany w Internecie i zmierzający do sieci lokalnej. Innymi słowy, urządzenie ZyWALL: Zezwala na wszystkie sesje od sieci LAN do sieci WAN Blokuje wszystkie sesje od sieci WAN do sieci LAN Reguły LAN-to-WAN to reguły zapory sieciowej dotyczące ruchu od sieci lokalnej do Internetu. Domyślnie zapora przepuszcza cały ruch zmierzający od sieci lokalnej do Internetu. Poniższy rysunek ilustruje zaporę sieciową w urządzeniu ZyWALL. Rysunek 2. Zapora sieciowa w urządzeniu ZyWALL 5.4. Konfigurowanie zapory sieciowej Kliknąć łącze FIREWALL, aby wyświetlić ekran Summary. Uaktywnić zaporę sieciową poprzez zaznaczenie pola wyboru Enable Firewall, jak pokazano na poniższym rysunku. 12

Rysunek 3. Włączanie zapory sieciowej W poniższej tabeli opisano pola znajdujące się na tym ekranie. Tabela 3. Włączanie zapory sieciowej Enable Firewall Bypass Triangle Route Total Configured Rules Vacant Rules Packet Direction Block/ Forward OPIS Zaznaczyć to pole, aby uaktywnić zaporę sieciową. Kiedy zapora jest aktywna, urządzenie ZyWALL kontroluje dostęp i chroni przed atakami blokady usług (Denial of Service, DoS). Zaznaczyć to pole wyboru, aby urządzenie ZyWALL ignorowało zastosowanie topologii z trasą trójkątną. Więcej informacji na ten temat można znaleźć w Przewodniku encyklopedycznym. To pole jest przeznaczone tylko do odczytu i pokazuje liczbę reguł skonfigurowanych w urządzeniu ZyWALL (łącznie dla wszystkich kierunków przepływu pakietów). To pole jest przeznaczone tylko do odczytu i pokazuje, ile reguł można jeszcze skonfigurować (łącznie dla wszystkich kierunków przepływu pakietów). Z tej listy rozwijanej można wybrać kierunek ruchu pakietów, dla którego mają być konfigurowane reguły. Za pomocą tych pól opcji można określić, czy pakiety przepływające w określonym kierunku mają być blokowane (Block) czy przepuszczane (Forward). Log Zaznaczyć to pole wyboru, aby utworzyć wpis dziennika w przypadku wykrycia pakietów, które przepływają w wybranym kierunku i nie pasują do żadnej z wymienionych niżej reguł. Poniższe pola są przeznaczone tylko do odczytu i podsumowują utworzone reguły, które dotyczą pakietów przepływających w wybranym kierunku. Reguły zaporowe skonfigurowane przez użytkownika (podsumowane poniżej) mają pierwszeństwo przed ogólnymi ustawieniami zapory sieciowej skonfigurowanymi powyżej. Index Status Source Address Destination Address Service Type Jest to numer reguły. Kolejność reguł jest istotna, ponieważ są one sprawdzane jedna po drugiej. Pole Move umożliwia zmianę kolejności reguł. To pole pokazuje, czy reguła jest aktywna (Active), czy nie (Inactive). Nieskonfigurowane reguły są oznaczone słowem Empty. Ta lista rozwijana wyświetla adresy lub zakresy adresów źródłowych, których dotyczy dana reguła. Należy zauważyć, że pusty adres źródłowy lub docelowy jest równoważny ustawieniu Any. Ta lista rozwijana wyświetla adresy lub zakresy adresów docelowych, których dotyczy dana reguła. Należy zauważyć, że pusty adres źródłowy lub docelowy jest równoważny ustawieniu Any. Ta lista rozwijana wyświetla usługi, których dotyczy dana reguła. Należy zauważyć, że pusta nazwa usługi jest równoważna ustawieniu Any. 13

Tabela 3. Włączanie zapory sieciowej Action Log Alert Insert OPIS To pole określa działanie reguły, blokowanie (Block) lub przekazywanie (Forward). Ustawienie Block oznacza, że zapora po cichu odrzuca pakiet. To pole pokazuje, czy tworzony jest wpis dziennika, kiedy pakiet zostanie dopasowany do reguły (Match), nie zostanie dopasowany (Not Match), w obu tych przypadkach (Both) albo w żadnym z tych przypadków (None). To pole informuje, czy reguła generuje alarm (Yes), czy nie (No), kiedy pakiet zostanie do niej dopasowany. W tym polu można wpisać numer indeksowy, określający położenie reguły. Jeśli, na przykład, użytkownik wpisze 6, nowa reguła otrzyma numer 6, a poprzednia reguła 6 (jeśli taka jest) otrzyma numer 7. Należy kliknąć przycisk Insert, aby wyświetlić ekran przeznaczony do dodawania reguł. Pola znajdujące się na tym ekranie są opisane w następnej tabeli. Move Edit Delete W tych polach można wpisać numer indeksowy reguły oraz numer, pod który powinna zostać przeniesiona. Kliknąć przycisk Move, aby przenieść regułę pod wybrany numer. Kolejność reguł jest istotna, ponieważ są one sprawdzane jedna po drugiej według numerów. Kliknąć przycisk Edit, aby utworzyć albo zmodyfikować regułę. Kliknąć przycisk Delete, aby usunąć istniejącą regułę. Należy zauważyć, że po wykonaniu tej operacji numery wszystkich następnych reguł zmniejszają się o 1. 5.5. Procedura konfigurowania reguł zapory sieciowej Aby utworzyć nową regułę, należy wykonać poniższe czynności. Etap 1. Na ekranie Summary kliknąć przycisk Insert i wpisać numer, pod którym zostanie umieszczona nowa reguła. Etap 2. Wybrać żądane usługi z listy Available Services. Aby skonfigurować porty niestandardowych usług, które nie są wstępnie zdefiniowane w urządzeniu ZyWALL, należy kliknąć przycisk Add lub Edit pod nagłówkiem Custom Port. Pełną listę numerów portów i usług można znaleźć w witrynie organizacji IANA (Internet Assigned Number Authority). Etap 3. Skonfigurować adres źródłowy (Source Address) i adres docelowy (Destination Address) reguły. 14

Rysunek 4. Tworzenie/edycja reguły zapory sieciowej W poniższej tabeli opisano pola znajdujące się na tym ekranie. Tabela 4. Tworzenie/edycja reguły zapory sieciowej Active Packet Direction Source Address Destination Address Services Available/ Selected Services OPIS Zaznaczyć pole Active, aby urządzenie ZyWALL używało tej reguły. Pozostawić je niezaznaczone, aby urządzenie ZyWALL nie używało tej reguły po jej skonfigurowaniu. Z tej listy rozwijanej należy wybrać kierunek ruchu pakietów, którego dotyczy reguła. Kliknąć przycisk SrcAdd, aby dodać nowy adres, SrcEdit aby zmodyfikować istniejący adres albo SrcDelete aby usunąć adres. Więcej informacji o dodawaniu i usuwaniu adresów źródłowych podano w następnym podrozdziale. Kliknąć przycisk SrcAdd, aby dodać nowy adres, SrcEdit aby zmodyfikować istniejący adres albo SrcDelete aby usunąć adres. Więcej informacji o dodawaniu i usuwaniu adresów docelowych podano w następnym podrozdziale. Zaznaczyć usługę na liście Available Services po lewej stronie i kliknąć przycisk >>, aby dodać ją do listy Selected Services po prawej stronie. Aby usunąć usługę, należy zaznaczyć ją na liście Selected Services i kliknąć przycisk <<. Custom Port Add Edit Delete Action for Matched Packets Log Kliknąć ten przycisk, aby wyświetlić ekran przeznaczony do konfigurowania nowej, niestandardowej usługi, której nie ma na liście predefiniowanych usług. Zaznaczyć niestandardową usługę (oznaczoną gwiazdką, * ) na liście Available Services i kliknąć ten przycisk, aby zmodyfikować jej parametry. Zaznaczyć niestandardową usługę (oznaczoną gwiazdką, * ) na liście Available Services i kliknąć ten przycisk, aby ją usunąć. Czy pakiety pasujące do tej reguły mają być blokowane, czy przekazywane? Należy wybrać żądaną operację z tej listy rozwijanej. Ustawienie Block oznacza, że zapora sieciowa po cichu odrzuca pakiet. Zaznaczyć to pole wyboru, aby w dzienniku były rejestrowane pakiety pasujące do tej reguły. Alert Zaznaczyć pole Alert, aby reguła generowała alarm w razie wykrycia pasującego pakietu. 5.6. Konfigurowanie adresów źródłowych i docelowych Aby dodać nowy adres źródłowy lub docelowy, należy kliknąć przycisk SrcAdd lub DestAdd na opisanym wyżej ekranie. Aby zmodyfikować istniejący adres źródłowy lub docelowy, należy zaznaczyć go na liście i kliknąć przycisk SrcEdit lub DestEdit. Obie te operacje powodują wyświetlenie poniższego ekranu: Rysunek 5. Dodawanie/edycja adresów źródłowych i docelowych W poniższej tabeli opisano pola znajdujące się na tym ekranie. 15

Tabela 5. Dodawanie/edycja adresów źródłowych i docelowych Address Type Start IP Address End IP Address OPIS Czy reguła ma dotyczyć pakietów o konkretnym (pojedynczym) adresie IP, zakresu adresów IP (np. od 192.168.1.10 do 192.169.1.50), podsieci, czy też dowolnego adresu IP? Należy wybrać żądaną opcję z tej listy rozwijanej. W tym polu należy wpisać pojedynczy adres IP albo początkowy adres zakresu. W tym polu należy wpisać końcowy adres zakresu. Subnet Mask 5.7. VPN W tym polu wpisać maskę podsieci (jeśli jest to potrzebne). VPN (Virtual Private Network, wirtualna sieć prywatna) zapewnia bezpieczną łączność między dwoma ośrodkami bez konieczności dzierżawienia drogich linii komunikacyjnych. Sieć VPN to kombinacja tunelowania, szyfrowania, uwierzytelniania, kontroli dostępu oraz inspekcji pakietów, która umożliwia przenoszenie ruchu przez Internet albo inną niezabezpieczoną sieć, która wykorzystuje protokół TCP/IP. 5.8. Zestawienie reguł VPN (ekran Summary) Na poniższym rysunku przedstawiono przykład zastosowania sieci VPN. Lokalne i zdalne adresy IP muszą być statyczne. Rysunek 6. Sieć VPN Kliknąć przycisk VPN, aby wyświetlić ekran Summary. Ekran ten pokazuje menu reguł (tuneli) IPSec. Aby zmodyfikować lub utworzyć regułę, należy zaznaczyć numer indeksowy, a następnie kliknąć przycisk Edit w celu wyświetlenia ekranu służącego do konfigurowania parametrów reguły. 16

Rysunek 7. Zestawienie reguł VPN W poniższej tabeli opisano pola znajdujące się na tym ekranie. Tabela 6. Zestawienie reguł VPN OPIS # Numer indeksowy reguły VPN. Name Active Local Address Remote Address Encap IPSec Algorithm Secure Gateway Addr To pole wyświetla nazwę identyfikującą regułę VPN. To pole pokazuje, czy reguła VPN jest aktywna (Yes), czy nie (No). Jest to adres (lub adresy) IP komputera (lub komputerów) w sieci lokalnej za urządzeniem ZyWALL. Ten sam (statyczny) adres IP jest wyświetlany dwukrotnie, jeśli pole Local Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Single Address. Początkowy i końcowy adres zakresu (statycznego) jest wyświetlany w przypadku, gdy pole Local Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Range Address. Adres IP (statyczny) i maska podsieci są wyświetlane w przypadku, gdy pole Local Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Subnet Address. Jest to adres (lub adresy) IP komputera (lub komputerów) w sieci położonej za zdalnym routerem IPSec. Wartość N/A jest wyświetlana wtedy, gdy pole Secure Gateway Addr jest ustawione na 0.0.0.0. W takim przypadku sesja VPN może być inicjowana tylko przez zdalny router IPSec. Ten sam (statyczny) adres IP jest wyświetlany dwukrotnie, jeśli pole Remote Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Single Address. Początkowy i końcowy adres zakresu (statycznego) jest wyświetlany w przypadku, gdy pole Remote Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Range Address. Adres IP (statyczny) i maska podsieci są wyświetlane w przypadku, gdy pole Remote Address Type na ekranie Configure-IKE (lub Manual) jest ustawione na Subnet Address. To pole pokazuje tryb Tunnel lub Transport (Tunnel to ustawienie domyślne). To pole pokazuje protokoły bezpieczeństwa używane przez skojarzenie SA. Zarówno protokół AH, jak i ESP zwiększają obciążenie urządzenia ZyWALL i opóźnienia komunikacji. Jest to statyczny adres IP portu WAN albo adres URL zdalnego routera IPSec. Adres ma wartość 0.0.0.0, jeśli pole Secure Gateway Addr na ekranie Configure-IKE zostało ustawione na 0.0.0.0. Edit Delete Zaznaczyć pole opcji obok istniejącej reguły VPN i kliknąć przycisk Edit, aby zmodyfikować regułę. Zaznaczyć pole opcji obok wolnego numeru reguły VPN i kliknąć przycisk Edit, aby dodać nową regułę. Zaznaczyć pole opcji obok reguły VPN i kliknąć przycisk Delete, aby usunąć regułę. Kiedy reguła VPN zostanie usunięta, następne reguły nie przesuwają się w górę listy. 5.9. Konfigurowanie reguł VPN Kliknąć przycisk Edit na ekranie Summary, aby skonfigurować regułę VPN. 17

Rysunek 8. Konfigurowanie reguł VPN W poniższej tabeli opisano pola znajdujące się na tym ekranie. Tabela 7. Konfigurowanie reguł VPN Active Keep Alive NAT Traversal IPSec Keying Mode Local Address OPIS Zaznaczyć to pole wyboru, aby uaktywnić tunel VPN. Ta opcja określa, czy reguła VPN jest stosowana, zanim pakiet opuści zaporę sieciową. Zaznaczyć to pole wyboru, aby włączyć funkcję podtrzymywania połączenia w danym skojarzeniu SA. Funkcję tę należy włączyć, jeśli urządzenie ZyWALL ma ponownie inicjować skojarzenie SA, kiedy wyczerpie się limit czasu skojarzenia, nawet wtedy, kiedy nie ma ruchu. Aby funkcja podtrzymywania połączenia działała, musi być włączona również w zdalnym routerze IPSec. Zaznaczyć to pole wyboru, aby włączyć funkcję trawersowania NAT. Funkcja ta umożliwia zestawienie połączenia VPN, kiedy między dwoma routerami IPSec znajdują się routery NAT. Funkcja trawersowania NAT musi być włączona również w zdalnym routerze IPSec. Funkcji tej można używać w połączeniu z protokołem ESP w trybie Transport lub Tunnel, ale nie z protokołem AH lub ręcznym zarządzaniem kluczami. Aby router IPSec umieszczony za routerem NAT otrzymał pakiet inicjujący połączenie IPSec, router NAT musi przekazywać mu pakiety zmierzające do portu UDP 500. Wybrać pozycję IKE lub Manual z listy rozwijanej. Ustawienie IKE jest bezpieczniejsze i ogólnie rzecz biorąc zalecane. Ustawienie Manual przydaje się podczas diagnozowania problemów. Lokalny adres IP musi być statyczny i odpowiadać zdalnemu adresowi IP skonfigurowanemu w zdalnym routerze IPSec. Dwa aktywne skojarzenia SA mogą mieć ten sam lokalny lub zdalny adres IP, ale nie oba. Można skonfigurować wiele skojarzeń SA między tym samym adresem lokalnym i zdalnym, pod warunkiem, że w danym momencie aktywne jest tylko jedno z nich. 18

Tabela 7. Konfigurowanie reguł VPN Remote Address Start Remote Address End/ Mask OPIS Zdalny adres IP musi być statyczny i odpowiadać lokalnemu adresowi IP skonfigurowanemu w zdalnym routerze IPSec. Pola adresów zdalnych nie mają zastosowania, jeśli pole Secure Gateway Address jest ustawione na 0.0.0.0. W takim przypadku tylko zdalny router IPSec może inicjować sesję VPN. Dwa aktywne skojarzenia SA mogą mieć ten sam lokalny lub zdalny adres IP, ale nie oba. Można skonfigurować wiele skojarzeń SA między tym samym adresem lokalnym i zdalnym, pod warunkiem, że w danym momencie aktywne jest tylko jedno z nich. Wpisać (statyczny) adres IP sieci znajdującej się za zdalnym routerem IPSec. Jeśli zdalny adres IP jest pojedynczym adresem, należy wpisać go ponownie w tym polu. Jeśli zdalny adres IP jest zakresem, należy wpisać końcowy (statyczny) adres IP należący do zakresu komputerów w sieci za zdalnym routerem IPSec. Jeśli zdalny adres IP jest adresem podsieci, należy wpisać maskę podsieci znajdującej się za zdalnym routerem IPSec. My IP Address Wpisać adres IP portu WAN urządzenia ZyWALL. Jeśli pole pozostanie ustawione na 0.0.0.0, ZyWALL będzie używać bieżącego adresu IP portu WAN (statycznego lub dynamicznego) do tworzenia tunelu VPN. Jeśli ten adres IP się zmieni, konieczne będzie ponowne utworzenie tunelu VPN. Local ID Type Local Content Secure Gateway Address Peer ID Type Peer Content Encapsulation Mode IPSec Protocol Wybrać opcję IP, aby urządzenie ZyWALL było identyfikowane według adresu IP. Wybrać opcję DNS, aby urządzenie ZyWALL było identyfikowane według nazwy domenowej. Wybrać opcję E-mail, aby urządzenie ZyWALL było identyfikowane według adresu e-mail. W razie wybrania opcji IP w polu Local ID Type wpisać adres IP swojego komputera albo pozostawić to pole puste, aby urządzenie ZyWALL automatycznie używało własnego adresu IP. W razie wybrania opcji DNS w polu Local ID Type wpisać nazwę domenową (do 31 znaków) identyfikującą urządzenie ZyWALL. W razie wybrania opcji E-mail w polu Local ID Type wpisać adres e-mail (do 31 znaków) identyfikujący urządzenie ZyWALL. Nazwa domenowa lub adres e-mail w polu Content służy wyłącznie do celów identyfikacji. Nie musi to być rzeczywista nazwa ani adres. Wpisać adres IP portu WAN albo adres URL (do 31 znaków) routera IPSec, z którym ma być nawiązane połączenie VPN. Ustawić pole na 0.0.0.0, jeśli zdalny router IPSec ma dynamiczny adres IP portu WAN (pole IPSec Keying Mode musi być ustawione na IKE). Wybrać opcję IP, aby zdalny router IPSec był identyfikowany według adresu IP. Wybrać opcję DNS, aby zdalny router IPSec był identyfikowany według nazwy domenowej. Wybrać opcję E-mail, aby zdalny router IPSec był identyfikowany według adresu e-mail. W razie wybrania opcji IP w polu Peer ID Type wpisać adres IP komputera, z którym ma być nawiązane połączenie VPN, albo pozostawić to pole puste, aby urządzenie ZyWALL automatycznie używało adresu z pola Secure Gateway Address. W razie wybrania opcji DNS w polu Peer ID Type wpisać nazwę domenową (do 31 znaków) identyfikującą zdalny router IPSec. W razie wybrania opcji E-mail w polu Peer ID Type wpisać adres e-mail (do 31 znaków) identyfikujący zdalny router IPSec. Nazwa domenowa lub adres e-mail w polu Content służą wyłącznie do celów identyfikacji. Nie musi to być rzeczywista nazwa ani adres. Nazwa domenowa nie musi również odpowiadać adresowi IP zdalnego routera ani wartości skonfigurowanej w polu Secure Gateway Address. Wybrać tryb Tunnel lub Transport z tej listy rozwijanej. Wybrać opcję ESP, jeśli ma być używany protokół ESP (Encapsulation Security Payload). Protokół ESP (RFC 2406) zapewnia szyfrowanie, a także pewne usługi oferowane przez AH. W razie wybrania tej opcji trzeba będzie ustawić algorytmy w polach Encryption Algorithm i Authentication Algorithm (opisanych niżej). Wybrać opcję AH, jeśli ma być używany protokół AH (Authentication Header Protocol). Protokół AH (RFC 2402) zapewnia integralność danych, uwierzytelnianie, integralność sekwencyjną (odporność na ataki odtworzeniowe) oraz niezaprzeczalność, ale nie poufność (do tego służy protokół ESP). W razie wybrania opcji AH trzeba będzie ustawić algorytm w polu Authentication Algorithm (opisanym niżej). 19

Tabela 7. Konfigurowanie reguł VPN Pre-shared Key Encryption Algorithm Authentication Algorithm OPIS W tym polu należy wpisać współużytkowany klucz, który identyfikuje stronę komunikacji w 1. fazie negocjacji IKE. Aby nawiązać bezpieczne połączenie z inną osobą, trzeba najpierw uzgodnić z nią wspólny klucz. Wszystkie sesje SA nawiązywane przez zabezpieczoną bramę muszą mieć ten sam współużytkowany klucz. Wybrać pozycję DES, 3DES lub NULL z tej listy rozwijanej. Wymiana danych przy użyciu algorytmu DES wymaga, aby nadawca i odbiorca znali ten sam tajny klucz, który służy do szyfrowania i deszyfrowania wiadomości albo do generowania i sprawdzania kodu autentyczności. Algorytm DES używa klucza 56-bitowego. Algorytm Triple DES (3DES) jest odmianą DES z kluczem o długości 168 bitów. W rezultacie algorytm 3DES jest bezpieczniejszy niż DES. Wymaga też większej mocy przetwarzania, powodując zwiększenie opóźnień i zmniejszenie przepustowości. Opcja NULL umożliwia utworzenie tunelu bez szyfrowania. W razie wybrania tej opcji nie trzeba wprowadzać klucza szyfrowania. Wybrać pozycję SHA1 lub MD5 z tej listy rozwijanej. MD5 (Message Digest 5) oraz SHA1 (Secure Hash Algorithm) to algorytmy mieszające używane do uwierzytelniania danych w pakietach. Algorytm SHA1 jest wolniejszy niż MD5, ale bezpieczniejszy. Advanced Kliknąć przycisk Advanced, aby skonfigurować zaawansowane ustawienia wymiany kluczy IKE. 5.10. Ekran SA Monitor Skojarzenie bezpieczeństwa (ang. Security Association, SA) to grupa ustawień związanych ze specyficznym tunelem VPN. Na tym ekranie wyświetlane są aktywne połączenia VPN. Aby odświeżyć informacje, należy kliknąć przycisk Refresh. Dane są przeznaczone tylko do odczytu. Aby obejrzeć skojarzenia bezpieczeństwa, należy kliknąć łącze VPN, a następnie zakładkę SA Monitor. Jeśli istnieje ruch wychodzący, ale nie ma ruchu przychodzącego, skojarzenie SA dezaktualizuje się automatycznie po dwóch minutach. Tunel bez ruchu wychodzącego i przychodzącego jest uważany za bezczynny ; nie zamyka się go, dopóki nie wyczerpie się limit czasu skojarzenia SA. 5.11. UPnP Universal Plug and Play (UPnP) to otwarty standard sieciowy, w którym stosuje się protokół TCP/IP do prostej łączności typu peer-to-peer między urządzeniami sieciowymi. Urządzenie UPnP może dynamicznie dołączyć się do sieci, uzyskać adres IP, poinformować o swoich możliwościach i wykryć inne urządzenia obecne w sieci. Kiedy urządzenie nie jest już używane, może ono automatycznie opuścić sieć. Wszystkie urządzenia obsługujące UPnP mogą się ze sobą swobodnie komunikować bez dodatkowej konfiguracji. Jeśli jest to niepożądane, należy wyłączyć UPnP. Standard UPnP jest obsługiwany przez systemy Windows ME i Windows XP. Informacje o innych systemach operacyjnych Microsoftu można znaleźć na firmowej witrynie WWW. 5.12. Konfigurowanie UPnP Kliknąć łącze UPnP, aby wyświetlić ekran UPnP. 20

Rysunek 9. UPnP W poniższej tabeli opisano pola znajdujące się na tym ekranie. Tabela 8. UPnP Enable the Universal Plug and Play (UPnP) feature Allow users to make configuration changes through UPnP Allow UPnP to pass through firewall UPNP Name OPIS Zaznaczyć to pole wyboru, aby uaktywnić UPnP. Należy zdawać sobie sprawę, że każdy może użyć aplikacji UPnP, aby wyświetlić ekran logowania programu konfiguracyjnego bez wprowadzania adresu IP urządzenia ZyWALL (choć nadal musi znać hasło, aby uzyskać dostęp do programu). Zaznaczyć to pole wyboru, aby aplikacje obsługujące UPnP mogły automatycznie konfigurować urządzenie ZyWALL tak, aby komunikować się za jego pośrednictwem; na przykład przy użyciu trawersowania NAT aplikacje UPnP automatycznie rezerwują port, aby połączyć się z innym urządzeniem UPnP, dzięki czemu nie trzeba ręcznie konfigurować przekazywania portu. Zaznaczyć to pole, aby utworzyć statyczną regułę LAN-to-LAN, która zezwala na przekazywanie portów 1900 i 80. Zaznaczenie tego pola powoduje również dynamiczne tworzenie reguły zapory sieciowej za każdym razem, kiedy UPnP rezerwuje port przekazywania NAT. Ustawienie to pozostaje aktywne, dopóki użytkownik nie wyłączy UPnP albo nie usunie zaznaczenia z tego pola. Usunąć zaznaczenie z tego pola, aby zapora sieciowa blokowała wszystkie pakiety aplikacji UPnP (na przykład programu MSN) zamiast tworzyć dla nich reguły zapory sieciowej. To pole identyfikuje urządzenie ZyXEL w aplikacjach UPnP. 6. Rozwiązywanie problemów Rozwiązywanie bardziej skomplikowanych problemów opisano w rozdziale Dzienniki w Instrukcji użytkownika. PROBLEM Po włączeniu urządzenia ZyWALL nie świeci żaden ze wskaźników LED Nie można uzyskać dostępu do urządzenia ZyWALL z sieci lokalnej ROZWIĄZANIE Upewnić się, że zasilacz jest podłączony do urządzenia ZyWALL i do gniazda elektrycznego. Sprawdzić połączenia kablowe. Jeśli wskaźniki LED nadal się nie zapalają, może to świadczyć o problemie sprzętowym. Należy skontaktować się ze sprzedawcą urządzenia. Należy sprawdzić połączenia kablowe między urządzeniem ZyWALL a komputerem lub koncentratorem. Szczegółowe informacje można znaleźć w rozdziale Panel tylny. Należy sprawdzić łączność z urządzeniem ZyWALL, wydając polecenie ping w komputerze podłączonym do sieci lokalnej. Należy sprawdzić, czy w komputerze zainstalowana jest karta Ethernet i czy działa ona prawidłowo. 21

PROBLEM Nie można uzyskać połączenia z żadnym z komputerów w sieci lokalnej Nie można uzyskać adresu IP portu WAN od dostawcy usług internetowych. ROZWIĄZANIE Jeśli wskaźniki LED 10/100M LAN nie świecą, należy sprawdzić połączenia kablowe między urządzeniem ZyWALL a komputerami w sieci lokalnej. Należy upewnić się, że adresy IP i maski podsieci w urządzeniu ZyWALL oraz w komputerach podłączonych do sieci lokalnej należą do tego samego zakresu. Adres IP portu WAN jest przydzielany po tym, jak dostawca usług internetowych zweryfikuje adres MAC, nazwę hosta albo identyfikator użytkownika. Należy dowiedzieć się, jakiej metody weryfikacji używa dostawca usług, a następnie skonfigurować odpowiednie pola. Jeśli dostawca sprawdza adres MAC portu WAN, należy skopiować adres MAC komputera podłączonego do sieci lokalnej. Należy kliknąć łącze WAN, a następnie zakładkę MAC, zaznaczyć opcję Spoof this Computer's MAC address - IP Address i wpisać adres IP komputera, którego adres MAC ma zostać skopiowany. Jeśli dostawca sprawdza nazwę hosta, należy wpisać nazwę swojego komputera (zobacz podrozdział Konfiguracja za pomocą kreatora w Instrukcji użytkownika) w polu System Name na pierwszym ekranie kreatora. Jeśli dostawca sprawdza identyfikator użytkownika, należy kliknąć łącze WAN, a następnie zakładkę ISP. Należy sprawdzić typ usługi, nazwę użytkownika i hasło. Nie można uzyskać dostępu do Internetu Sprawdzić połączenie między urządzeniem ZyWALL a modemem kablowym/dsl. Sprawdzić, czy modem kablowy/dsl wymaga kabla zwykłego, czy krosowego. Kliknąć łącze WAN, aby zweryfikować ustawienia. Sprawdzić, czy hasło zostało wpisane poprawnie. Niektórzy dostawcy blokują konto po kilku nieudanych próbach logowania. 22

23

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres