Рассмотрим пример, в котором показано как настроить два туннеля VPN между интернет-центром P-2602HW (Rev.D) и аппаратным шлюзом ZyWALL 35 для объединения локальных сетей и организации внутренних VoIP-звонков.

Схема подключения:

VPN1 – Туннель для безопасного прохождения VoIP-трафика и организации VoIP-звонков с телефона, подключенного к интернет-центру P-2602HW, на телефон, подключенный к интернет-центру P-2302HW.
VPN2 – Туннель для объединения локальных сетей (192.168.1.0\24 за ZyWALL 35 и 192.168.2.0\24 за P-2602HW) и для обеспечения безопасной передачи данных через Интернет.

Так как VoIP-вызовы и передача данных будут осуществляться в разных VPN-туннелях, то возможна одновременная работа внутренних VoIP-звонков и передача данных между локальными сетями через Интернет.

Внимание! Туннель VPN (в нашем примере VPN1), предназначенный для VoIP-звонков, нельзя использовать для обмена трафиком между локальными подсетями, так как P-2602HW инициирует и принимает VoIP-звонки только с WAN IP-адреса. В этом случае нужно создавать туннель не между локальными подсетями за ZyWALL 35 и P-2602HW, а между WAN IP-адресом P-2602HW и локальной сетью за ZyWALL 35.

Кроме туннеля VPN для VoIP-звонков (VPN1), нужно создать второй VPN-туннель (VPN2) для объединения локальных подсетей и безопасной передачи данных через Интернет. Туннель VPN2 будет иметь такие же настройки фазы 1 (параметры согласования ключа IKE), но отличные от туннеля VPN1 настройки фазы 2 (параметры безопасности IPSec). При этом, так как в интернет-центре P-2602HW при настройке туннеля IPSec нет разделений на фазы и нельзя настроить под одной первой фазой несколько вторых фаз, возникает проблема инициализации второго туннеля. В этом случае VPN-туннель необходимо инициализировать со стороны P-2602HW посредством отправки трафика в удаленную сеть, находящуюся за VPN (например, выполните отправку пакетов на удаленный узел с помощью команды ping).

Рассмотрим подробно настройки устройств, участвующих в рассматриваемой схеме.

Настройка ZyWALL 35 

Предположим, что LAN IP-адрес устройства ZyWALL 35 - 192.168.1.1, а WAN1 IP-адрес - 89.179.xxx.170.

Для настройки туннеля VPN зайдите в меню SECURITY. В разделе VPN - VPN Rules (IKE) нажмите на кнопку "+" (Add Gateway Policy) и в появившемся разделе VPN - GATEWAY POLICY - EDIT создайте политику шлюза (P2602HW_Gateway) для создаваемого VPN-туннеля. 

После создания политики шлюза нажмите на кнопку "+" (Add Network Policy) и в появившемся разделе VPN - NETWORK POLICY - EDIT создайте правило для установки защищенного VPN-туннеля между ZyWALL и P-2602HW для объединения локальных подсетей.

Затем в разделе VPN - NETWORK POLICY - EDIT создайте правило для установки VPN-туннеля между локальной подсетью за ZyWALL и WAN IP-адресом P-2602HW для VoIP-трафика.

Обязательно в настройках сетевого правила для VoIP установите галочку в поле Nailed-Up.

Значения параметров в разделе IKE Proposal и IPSec Proposal должны совпадать с аналогичными настройками на другой стороне VPN-туннеля (на P-2602HW), в противном случае VPN-соединение не установится.

Настройка P-2602HW 

Предположим, что на устройстве P-2602HW LAN IP-адрес - 192.168.2.1 и WAN IP-адрес - 89.179.xxx.169.

Для организации внутренних VoIP-звонков зайдите в меню VoIP > SIP > SIP Settings для создания учетной записи SIP (номер абонента 200).

Так как в нашей схеме не используется внешний SIP-сервер, то VoIP-звонки возможно осуществлять в режиме "точка-точка", т.е. указав в меню VoIP > Phone Book > Speed Dial.. в телефонной книге ускоренного вызова VoIP-устройства IP-адрес удаленного абонента (в нашем примере это WAN IP-адрес интернет-центра P-2302HW, который используется в локальной сети за ZyWALL для организации VoIP-звонков).

Для настройки двух туннелей VPN между P-2602HW и ZyWALL зайдите в меню VPN.

Значения параметров в разделе IPSec Setup и Security Protocol должны совпадать с аналогичными настройками IPSec Proposal и IKE Proposal на ZyWALL, в противном случае VPN-соединение не установится.

Убедиться, что VPN-туннель был успешно установлен, можно в меню VPN > Monitor на P-2602HW

или в меню VPN > SA Monitor на ZyWALL 35.

Настройка P-2302HW 

Для организации внутренних VoIP-звонков между локальными подсетями в нашем примере используется интернет-центр P-2302HW, который находится в локальной подсети за ZyWALL.

Предположим, что WAN IP-адрес интернет-центра P-2302HW - 192.168.1.2.

Для создания учетной записи (номер абонента 100) зайдите в меню VoIP > SIP > SIP Settings.

Так как в нашей схеме не используется внешний SIP-сервер, то VoIP-звонки возможно осуществлять в режиме "точка-точка", т.е. указав в меню VoIP > Phone Book > Speed Dial.. в телефонной книге ускоренного вызова VoIP-устройства IP-адрес удаленного абонента (в нашем примере это WAN IP-адрес интернет-центра P-2602HW).