VPN-туннель между шлюзом ZyWALL и маршрутизатором Cisco

Статья: 
1950
Вопрос: 
Можно ли настроить VPN-туннель IPSeс между межсетевым экраном серии ZyWALL и маршрутизаторами Cisco?
Ответ: 

Да. C помощью межсетевых экранов серии ZyWALL можно установить VPN-туннель IPSec с маршрутизаторами Cisco (поддерживающими возможность создания VPN-туннелей). 

Приведем пример.

Настройки VPN-туннеля на межсетевом экране ZyWALL:

Настройки VPN-туннеля на маршрутизаторе Cisco 2811.

Обращаем ваше внимание, что настройки политики безопасности на ZyWALL и Cisco должны соответственно совпадать, в противном случае VPN-туннель между устройствами не сможет быть установлен.

В нашем примере используется функция NAT Traversal (NAT-T) для передачи VPN-трафика, минуя NAT. NAT Traversal позволяет устанавливать VPN-подключение, когда между двумя шлюзами IPSec находятся маршрутизаторы с поддержкой NAT. При использовании NAT Traversal происходит инкапсуляция пакетов ESP в UDP.
Обращаем внимание:
Оба шлюза IPSec, устанавливающие VPN-туннель, должны иметь поддержку NAT Traversal. 
Можно использовать NAT Traversal с протоколом ESP, используя режим Transport или Tunnel, но нельзя использовать NAT-T с протоколом AH.

!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key $password address $peer_ip

crypto isakmp fragmentation
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto map vpn local-address FastEthernet0/1
crypto map vpn 1 ipsec-isakmp
description Tunnel to $peer_ip
set peer $peer_ip
set transform-set ESP-3DES-SHA
match address 105
!
interface FastEthernet0/1
description Link to Internet
ip access-group 150 in
ip nat outside
ip virtual-reassembly
crypto map vpn
!
ip nat inside source route-map nonat interface FastEthernet0/1 overload
!
!
access-list 105 permit ip $local_network $local_netmask $remote_network $remote_netmask
access-list 110 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 110 permit ip 192.168.0.0 0.0.255.255 any
access-list 150 permit udp any host $my_ip_address eq isakmp
access-list 150 permit udp any host $my_ip_address eq non500-isakmp
access-list 150 permit esp any host $my_ip_address
access-list 150 permit gre any host $my_ip_address
access-list 150 permit tcp any host $my_ip_address eq 22
!
!
!
route-map nonat permit 10
match ip address 110
!

ZyXEL Worldwide Site Selector  

Global

Global (English)

Africa

Africa (English)

Asia

Bangladesh ( English )
China ( 简体中文 )
India ( English )
Kazakhstan ( Русский )
Malaysia ( English )
Pakistan ( English )
Philippines ( English )
Singapore ( English )
Taiwan ( 繁體中文 )
Thailand ( ภาษาไทย )
Vietnam ( Việt )

Europe

Belarus ( Русский )
Belgium ( Nederlands | Français )
Czech ( Czech )
Denmark ( Dansk )
Finland ( Suomi )
France ( Français )
Germany ( Deutsch )
Greece ( English )
Hungary ( Magyar )
Italy ( Italiano )
Netherlands ( Nederlands )
Norway ( Norsk )
Poland ( Polski )
Russia ( Русский )
Slovakia ( Slovensky )
Spain ( Español )
Sweden ( Svenska )
Switzerland ( Deutsch | Français )
Turkey ( Türkiye )
UK ( English )
Ukraine ( Русский )

Latin America

Costa Rica ( Español )

Middle East

Middle East ( English )

North America

USA ( English )

Oceania

Australia ( English )