Схема подключения:

Необходимо обеспечить удаленным пользователям, подключенным к Интернет, доступ через защищенное соединение SSL VPN к различным сервисам (веб-серверу, серверу приложений, почтовому серверу и т.д.) или совместным файловым ресурсам, размещенным в локальной сети ZyWALL UTM.

Настройки на ZyWALL UTM

Следует настроить IP-адреса на портах WAN, LAN и DMZ, а также правила для перенаправления SSL-трафика.

1) Подключитесь к веб-конфигуратору ZyWALL UTM и зайдите в меню Network > DMZ. Укажите в качестве IP-адреса на порту DMZ - 192.168.3.1.

2) Перейдите к меню Network > DMZ > Port Roles и определите порт №4 как DMZ-порт.

3) Зайдите в меню Network > WAN > WAN1 и укажите в качестве WAN IP-адреса статический адрес (в нашем примере 172.120.1.10).

4) Затем зайдите в меню Network > LAN и в качестве LAN IP-адреса ZyWALL UTM укажите 192.168.1.1. Включите "NetBIOS over TCP/IP" для передачи пакетов из локальной сети в зону DMZ. Выберите опцию "Allow between LAN and DMZ" для передачи пакетов NetBIOS из порта локальной сети в DMZ-порт.

5) Перейдите в меню Advanced > NAT > Port Forwarding для настройки перенаправления трафика SSL VPN. Добавьте одно правило для перенаправления SSL VPN (используется порт 443) с ZyWALL UTM на ZyWALL SSL 10 (192.168.3.2).

6) Зайдите в меню Security > Firewall и в настройках межсетевого экрана (firewall) разрешите направление передачи пакетов из зоны DMZ в локальную сеть (LAN). Установите Permit (разрешить) для направления трафика From DMZ To LAN. По умолчанию в настройках межсетевого экрана направление трафика из WAN в зону DMZ разрешено (Permit), поэтому не нужно создавать правило для направления трафика HTTPS на ZyWALL SSL 10.

Настройки на ZyWALL SSL 10

1) Подключитесь к веб-конфигуратору ZyWALL SSL 10 и зайдите в меню System > LAN. Измените LAN IP-адрес на 192.168.10.1/24 для предотвращения конфликта IP-адресов.

2) Перейдите к меню Object > SSL Application и создайте сервис File Sharing для совместного доступа к файлам.

3) Зайдите в меню User/Group для настройки пользовательских учетных записей. Создайте имя пользователя, с помощью которого будет возможно подключение к локальным сервисам.

4) Зайдите в меню SSL для создания правила с указанием учетных записей пользователей для  совместного доступа к файлам.

После указанных выше настроек удаленный пользователь, подключенный к сети Интернет, будет иметь доступ через защищенный туннель SSL VPN к локальным сервисам (в нашем примере к сервису File Sharing).