GRE over IPsec

Добрый день.

Вводные данные:

Мы имеем около 70 магазинов, в некоторых из них мы планируем создать Wifi hotspot используя NWA1123-AC Pro и в качестве шлюза usg-20 vpn в каждом магазине, шлюзы уже используются во всех магазинах.

Я уже имею опыт использования NWA1123-AC Pro, в настоящее время мы используем в центральном офисе схему:

12 AP с открытой сетью и в качестве hotspot выступает zywall usg310 он же шлюз, мы изменили web страницу аутентификации под наши нужны. Используем 802.11k/v, еще раз подчеркну что мы не используем hotspot на точках доступа, а используем на шлюзе. Аутентификация пользователя происходит через radius сервер и отправку пароля по смс, мы не предъявляем для этого решения требования к безопасности.

Мой вопрос касается создания vpn сети, в которой мы сможем передать vlan назначенный для ssid, и так вопрос:

Как я говорил выше:

есть 70 магазинов с usg20vpn

usg310 (в итоге мы будем использовать другой шлюз, но в примере будем обсуждать этот)

NWA1123-AC Pro

SSID Free-Wifi

Нужно чтобы весть трафик с Free-Wifi шел через usg310 и сам hotspot был на usg310.Фактически топология будет такой: Client - AP - Usg20vpn - GRE over IPsec - Usg310.

Может ли GRE over IPsec организовать такую связь, когда клиент будет видеть Usg310 будто они в одной Lan и Usg310 был бы у него шлюзом.

Comments

  • AndreyAndrey Zyxel RU Agent Posts: 1  mod

    Добрый день.

    Подскажите ваши контакты для связи или свяжитесь со мной:

    С уважением,

    Нюман Андрей

    Представитель по работе с ключевыми партнерами

    Zyxel

    т. +79218998582

    [email protected]

  • onatoli4onatoli4 Zyxel RU Agent Posts: 6  mod

    День добрый

    Можно использовать стандартный IPsec и направить весь трафик в туннель при помощи Policy Route.

    GRE over IPSec, в принципе, тоже подойдёт, но на всех устройствах можно создать максимум 4 GRE.

    В качестве замены есть также виртуальные туннельные интерфейсы VTI (построенные на IPSec).

  • Благодарю Вас за ответ.


    Есть ещё 1 вопрос, как я выше описывал схему в ЦО, мы используем usg310, пользователи прошедшие аутентификацию попадают в User list где отображены все пользователи вошедшие в hotspot и в админку zywall, т.к. по факту происходит logon в само устройство, при отключении питания от usg310, все сессии отключаются и мы получаем пустой User list, что в целом логично, с точки зрения ИБ, но с точки зрения бесплатного wifi нелогично. Если предположить что мы будем использовать usg310 в схеме с wifi для клиентов, то при перезагрузке устройства мы в результате отключим всех наших клиентов и им придётся заново производить аутентификацию, что неприемлемо.

    Можем ли мы включить сохранение кеша пользователей (mac адресов с привязкой к имени пользователя) при отключении питания?

  • onatoli4onatoli4 Zyxel RU Agent Posts: 6  mod

    Нет, кеш сохранить нельзя, но можно приобрести ещё один USG310 и поставить их в кластер. Все авторизованные пользователи, сессии и VPN будут синхронизироваться между двумя шлюзами.

  • Еще один usg310 у нас есть, спасибо, тему можно закрывать.

Sign In to comment.