Exemple de configuration USG20, 50, 100,

200, 300, 1000, 2000

Paramtrage dun tunnel IPSEC dynamique avec un USG

Voici une procdure vous dmontrant un exemple de configuration pour monter un VPN IPSEC
dynamique avec un USG200 et un client Zywall IPSEC VPN Client.
Pour commencer la configuration du VPN, il faut se rendre dans le menu Configuration -> VPN ->
IPSEC VPN :

La premire tape est de configurer la phase 1 du VPN. Sur lUSG, la phase 1 correspond longlet
Passerelle VPN. On clique sur longlet, puis on fait Ajouter :

03/2013/ATR Copyright by ZyXEL

Voici la page qui saffiche. Il faut activer la rgle, lui mettre un Nom passerelle VPN.
On indique dans Mon adresse, linterface WAN qui sera utilise pour le VPN. Ici nous avons un WAN2
avec lIP publique.
On coche Adresse dynamique dans Adresse passerelle distante car le client aura des IP publiques
distantes alatoires.
On indique une Cl prpartage.
Voici la suite de la phase 1 :

Dans les champs Type dID locale et Type dID distant, on peut mettre ce que lon veut dans la
mesure o les informations sont indiques de manire croise avec le client. Ici, nous mettons un
type DNS, en local serveur et en distant client.
Nous choisissons notre Mode de ngociation Main, et les Algorithmes de Cryptage et
dAuthentification en DES/MD5. Le Groupe de cls en DH1.
Loption Dead Peer Detection est active et permet lUSG de vrifier ltat de sa SA lorsque des
tunnels sont monts.
Loption Traversal NAT est dsactive, car nous recevons directement notre IP publique sur lUSG.
Cette option permet de traverser des routeurs en amont de lUSG. (Ex : box en mode Routeur).
La phase 1 est finie sur lUSG.

03/2013/ATR Copyright by ZyXEL

Voici la configuration de la phase 1 du client IPSEC :

On indique lIP publique de notre USG distant dans Adresse routeur distant.
Nous remettons la Cl Partage configure sur lUSG200. (123456789).
Nous faisons correspondre les Algorithmes Chiffrement DES, Authentification MD5, Groupe de cl
DH1.
Il faut ensuite cliquer sur longlet Avanc :

03/2013/ATR Copyright by ZyXEL

Nous renseignons le NAT-T en Automatique, le Local ID et Remote ID en DNS avec en contenu local
client et remote serveur.
Nous pouvons passer la phase 2.
Il faut se rendre sur lUSG dans longlet Connexion VPN puis faire Ajouter :

03/2013/ATR Copyright by ZyXEL

On active la phase 2, on lui indique un Nom de connexion.

Dans Passerelle VPN, on slectionne Accs distant (Rle du serveur), et dans Passerelle VPN on
slectionne la phase 1 cre sur lUSG.
Voici la suite de la phase 2 :

03/2013/ATR Copyright by ZyXEL

Dans Stratgie Locale on slectionne le rseau que lon souhaite mettre disposition du client. Ici on
prend le LAN1_SUBNET. Le client aura accs lensemble du rseau 192.168.1.0/24.
Comme pour la phase 1, on slectionne nos algorithmes de Cryptage et dAuthentification :
DES/SHA1.
On valide avec OK.
La phase 2 sur lUSG est cre, il nous reste configurer la phase 2 sur client.
Il faut faire un client droit sur la phase 1 du client et Nouvelle Phase 2 :

03/2013/ATR Copyright by ZyXEL

Voici la configuration de la phase 2 :

03/2013/ATR Copyright by ZyXEL

Dans Adresses, nous indiquons Type dadresse : Adresse rseau (subnet de lUSG atteindre) en
192.168.1.0 et Masque rseau 255.255.255.0.
Nous faisons correspondre les algorithmes configurs sur la phase 2 de lUSG : DES/SHA-1.
La configuration du client est termine, il faut simplement faire Sauver.
Il reste plus qu tester le VPN. Clique Droit sur la phase 2 et Ouvre Tunnel :

Si tout se passe bien, nous avons lindicateur sur le client qui nous montre que le VPN est mont :

Afin de valider que le VPN est fonctionnel, depuis le client nous effectuons un Ping vers ladresse IP
du LAN1 de lUSG : 192.168.1.1. Voici le rsultat que vous devez obtenir :

Tout est OK, notre VPN est fonctionnel.

03/2013/ATR Copyright by ZyXEL