Paramétrage LAN & WAN Série firewall ZyXEL USG à partir de la version de firmware 4.10 Knowledge Base KB-3509 Septembre 2014 Studerus AG
PARAMETRAGE LAN & WAN En fonction du modèle USG, les zones réseau et branchements peuvent varier. L USG110 fournit sur les ports P1 et P2 la connectivité WAN et sur les ports P4 à P7 les zones LAN. Selon les besoins, le port P3 peut être utilisé en tant que zone WAN ou LAN. WAN OPT LAN Accès au WebGUI Les ports P4, P5 et P6 sont attribués en configuration de base à la zone LAN1 avec l adresse IP 192.168.1.1. Un serveur DHCP fournit une adresse IP à un ordinateur connecté à partir du sousréseau correspondant 192.168.1.0/24. L accès au WebGUI se fait en saisissant l adresse IP 192.168.1.1 dans la ligne d adresse du navigateur web. Le nom d utilisateur et le mot de passe pour le compte administrateur sont admin et 1234. Paramétrage LAN & WAN 2 KB-3509 / SRU
Paramétrages réseau de base Parmi les principaux paramétrages réseau de base lors de la mise en service d un USG, on compte : Sous-réseau local, IP et masque de sous-réseau DHCP-Range pour l attribution automatique d IP aux clients Serveur DNS communiqué par DHCP aux clients pour la résolution de nom Serveur DNS disponible pour l USG pour la résolution de nom Serveur temps pour la synchronisation de l horloge Paramétrage LAN Le sous-réseau détermine la plage d adresses IP locales. Toutes les adresses IP au sein de ce sousréseau peuvent communiquer entre elles. Les adresses IP à l extérieur de ce sous-réseau ne peuvent être atteintes que par routage via l USG. Pour pouvoir connecter deux sous-réseaux par VPN, ceuxci doivent absolument être uniques. C est pourquoi il est toujours avantageux, lors de la planification ou l installation d un réseau, de construire sur un nouveau sous-réseau qui n existe pas encore. Cela permet également d éviter les conflits IP apportés par erreur car se trouvant dans la configuration de base de composants réseau existants (192.168.1.1!). Aperçu des adresses IP configurées par défaut : Configuration > Network > Interface > Ethernet Paramétrage LAN & WAN 3 KB-3509 / SRU
Paramétrage du sous-réseau local lan1: Configuration > Network > Interface > Ethernet > lan1 > Edit L adresse IP par laquelle le firewall est accessible. Elle est communiquée aux clients comme passerelle via DHCP. Le masque de sous-réseau détermine la taille du réseau local. Adresse de départ et taille du domaine DHCP. Adresse DNS communiquée au client par DHCP en tant que serveur DNS. Avec le paramétrage "ZyWALL", le firewall donne sa propre adresse IP et peut ainsi traiter des requêtes DNS. Des entrées DHCP statiques attribuent à certains ordinateurs, à l aide de l adresse MAC, toujours la même adresse IP. Paramétrage LAN & WAN 4 KB-3509 / SRU
En changeant l adresse IP sur l USG, le navigateur perd sa connexion. L ordinateur dispose encore d une adresse IP qui ne se situe plus dans la zone d adressage de l USG. En renouvelant l adresse IP, l accès à l USG se fait via la nouvelle adresse IP. Paramétrage LAN & WAN 5 KB-3509 / SRU
WAN Setup 1: IP over Ethernet, DHCP En fonction du fournisseur d accès et du type de connexion, l attribution de l adresse IP WAN se fait par DHCP ou PPPoE. Dans les paramétrages standard, l USG utilise le DHCP, si bien que par exemple sur une ligne modem câble avec attribution automatique de l adresse IP, l accès à Internet fonctionne sans aucun autre paramétrage. Configuration > Network > Interface > Ethernet > wan1 > Edit WAN Setup 2: IP over Ethernet, adresse IP fixe Dans la mesure du possible, il vaut mieux préférer l attribution automatique d une adresse IP. De nombreux fournisseurs d accès peuvent aussi attribuer des adresses IP fixes. Si l attribution de l adresse doit expressément se faire manuellement, l option Use Fixed IP Address est disponible. Pour un bloc IP public, seule l une des adresses IP utilisables est attribuée directement à une interface. Configuration > Network > Interface > Ethernet > wan1 > Edit Paramétrage LAN & WAN 6 KB-3509 / SRU
WAN Setup 3: PPPoE Si la connexion à Internet se base sur PPPoE, le fournisseur d accès communique un nom d utilisateur PPPoE et un mot de passe PPPoE. Ces données sont enregistrées dans un objet ISP prédéfini. Configuration > Object > ISP Account Pour la connexion PPPoE sur le WAN1, nous éditons l objet WAN1_PPPOE_ACCOUNT et complétons le nom d utilisateur et le mot de passe avec les données du fournisseur. Sans autre instruction de la part du fournisseur d accès, le champ Service Name doit rester vide. L option Idle timeout définit la durée jusqu à ce qu une connexion PPPoE soit terminée sans transmission active de données de la part de l USG, puis rétablie de nouveau. 0 signifie que l USG ne termine pas lui-même la connexion. Mais une connexion terminée par le fournisseur d accès ne sera pas rétablie automatiquement ; pour cela on utilise l option Nailed Up dans la configuration suivante du compte PPPoE. Paramétrage LAN & WAN 7 KB-3509 / SRU
Configuration > Network > Interface > PPP liste les objets d interface PPPoE prédéfinis : Configuration > Network > Interface > PPP > System Default > wan1_ppp > Edit Activer l interface PPPoE. Nailed-Up veille à ce que la connexion PPPoE soit rétablie après que celle-ci ait été interrompue. Important lorsque les ressources doivent être accessibles à partir du réseau local ou que les connexions VPN doivent se terminer sur l USG. Le profil de compte correspond à l objet avec le nom et le mot de passe PPPoE. Le nom d utilisateur PPPoE est listé pour contrôle. PPPoE attribue aussi des adresses IP fixes automatiquement. Paramétrage LAN & WAN 8 KB-3509 / SRU
Serveur DNS Les données DNS déterminées dans la section paramétrages LAN sous DHCP fixent uniquement quels serveurs DNS sont communiqués au client pour l utilisation. Pour ses propres résolutions de noms et pour les requêtes faites par les clients, l USG doit aussi pouvoir accéder au serveur DNS. Lors de l attribution automatique d une IP WAN, l USG reçoit normalement les données correspondantes par le fournisseur d accès. L aperçu Domain Zone Forwarder dans le menu Configuration > System > DNS liste tous les serveurs DNS utilisés par l USG, qu ils soient attribués dynamiquement par le fournisseur d accès ou saisis manuellement : Dans l exemple ci-dessus, les requêtes vers l USG qui se rapportent au propre domaine mydomain.ch sont transférées au serveur DSN local avec l IP 192.168.10.4. L USG dissout toutes les autres requêtes par le biais du serveur DNS défini par l utilisateur et attribué par le fournisseur d accès. Il faut fixer au moins un serveur DNS. Sans définition propre, l USG peut certes utiliser quelques serveurs internes, mais le comportement n est pas défini clairement. Paramétrage LAN & WAN 9 KB-3509 / SRU
Serveur temps, NTP Une horloge correcte est importante car celle-ci est impliquée pour diverses fonctions. Les connexions chiffrées ou sécurisées par certificat peuvent éventuellement refuser l établissement s il n y a pas concordance avec l horloge. Aussi, le moment où se produisent des événements est difficilement identifiable dans les fichiers log si l horloge n est pas correcte. Configuration > System > Date/Time L actualisation réussie de l horloge apparaît dans le log avec "NTP update has succeeded...". Une synchronisation d horloge fonctionnant de manière impeccable confirme que la configuration de l accès Internet de l USG est correcte et complète. Paramétrage LAN & WAN 10 KB-3509 / SRU