Nota de Soporte:

‘Configuración de un túnel IPSec entre dos ZyWALL’

Pág. 1/12

Este documento es una guía para configurar una conexión segura a través de
Internet entre dos redes remotas mediante el protocolo IPSec. A continuación se
detallan todos los factores a tener en cuenta, así como las configuraciones
necesarias en los equipos que intervienen en la comunicación.

Diagrama de red

LAN 1 PC 1 ZyWALL A ROUTER A

192.168.1.0/24 192.168.1.33 LAN: 192.168.1.1 LAN: 192.168.10.1
WAN: 192.168.10.3 WAN: 80.102.53.108
NAT activo

LAN 2 PC 2 ZyWALL B ROUTER B

192.168.2.0/24 192.168.2.33 LAN: 192.168.2.1 LAN: 192.168.20.1
WAN: 192.168.20.3 WAN: 213.52.97.232
NAT activo
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 2/12

ASPECTOS A TENER EN CUENTA EN ESTA CONFIGURACIÓN:

1. Los routers de acceso deben soportar la funcionalidad IPSec pass through.

En caso de no ser así, los routers deberán configurarse en modo
monopuesto, de manera que sea la interfaz WAN del ZyWALL la que obtenga
la dirección IP pública de acceso y el router de acceso no haga NAT.

2. Para el caso del router con el NAT habilitado (sin utilizar la funcionalidad de
NAT-Traversal para establecer el túnel) solo se podrán establecer VPNs en
modo túnel y con protocolo ESP.

3. Igualmente el router de acceso deberá configurarlo para redirigir todo el

tráfico entrante a la dirección IP WAN del ZyWALL (configurar la default
station a la dirección IP de la WAN del ZyWALL).

4. Estos tres primeros puntos no deben preocuparnos para equipos en los que
se integren las funcionalidades de acceso y de terminador VPN en el mismo
dispositivo (como por ejemplo, los dispositivos de la serie P652HW).

5. Por último, habrá que asegurar, en caso de tener el firewall activado, que en
la dirección WAN-to-WAN (ZyWALL) del firewall se permite la entrada de los
paquetes IKE (UDP : 500). (Esta regla viene configurada por defecto de
fábrica).
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 3/12

CONFIGURACIÓN ZyWALL A

1. Usando el navegador web, entre en la configuración del ZyWALL

introduciendo la dirección IP LAN del ZyWALL en el campo dirección. La
dirección IP LAN por defecto es 192.168.1.1, y el password por defecto
para entrar a la configuración web es 1234.
2. Haga clic sobre el enlace VPN.
3. En la pestaña VPN Rules, seleccione una regla y edítela; o pulse sobre el
botón Add para añadir una nueva regla (en función del modelo).
4. Marque la casilla Active e introduzca un nombre a esta regla en el campo
Name. Seleccione la casilla Keep Alive si desea que el túnel siempre esté
levantado (para asegurar este hecho deberá activar también esta opción en
el equipo remoto). Asímismo seleccione la opción NAT-Traversal si el túnel
tiene que pasar por algún router NAT que no soporte IPSec pass-through y
se desea evitar la funcionalidad NAT de este dispositivo (igualmente ambos
extremos tienen que tener activada esta función).
5. Seleccione IKE como opción Key Management y Main como opción en
Negotiation Mode, del mismo modo que se hará en el ZyWALL B.
6. Si desea utilizar la opción de Autenticación Extendida (Enable Extended
Authentication), remítase al APÉNDICE E.
7. En la información de red Local, introduciremos la siguiente información:
¾ Address Type: Subnet Addres, donde se indicará los equipos de la
red local que podrán comunicarse a través del túnel. En este caso
configuraremos toda la subred.
¾ IP Address Start: 192.168.1.0, LAN 1
¾ End / Subnet Mask: 255.255.255.0, máscara aplicada a las
direcciones IP de la LAN 1
8. En la información de red Remote, introduciremos la siguiente información:
¾ Address Type: Subnet Addres, dónde se indicará los equipos de la
red remota que podrán comunicarse a través del túnel.
¾ IP Address Start: 192.168.2.0, LAN 2
¾ End / Subnet Mask: 255.255.255.0, máscara aplicada a las
direcciones IP de la LAN 2
9. En el campo de método de Autenticación, seleccionaremos la opción de Pre-
Shared Key e introduciremos el valor 12345678.
10. Los campos siguientes se utilizan para la autenticación FQDN. Seleccione
Local ID Type = IP y en el campo Content introduzca 1.1.1.1;
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 4/12

igualmente configure Content ID Type = IP y el campo Content con valor

2.2.2.2. Como se ha comentado, estos campos se utilizan meramente para
autenticación, de manera que estos valores podrá modificarlos siempre que
lo que configure en el ZyWALLA en local coincida con lo que configure en el
ZyWALLB en remoto e idénticamente lo que configure en el ZyWALLA en
remoto coincida con lo configurado en el ZyWALLB en local.
11. My IP Addr es la IP WAN del ZyWALL A. Si se deja a 0.0.0.0 (por defecto)
el valor que colocará el router será esta dirección WAN del ZyWALL.
12. Secure Gateway IP Addr es la dirección IP pública destino del túnel, que
en este caso será la dirección IP WAN del extremo remoto B
(213.52.97.232).
13. Seleccione Tunnel como Encapsulation Mode.
14. Active la casilla ESP.
15. Seleccione DES como Encryption Algorithm y MD5 como Authentication
Algorithm, de la misma manera se hará en el ZyWALL B.
16. Haga clic en el botón Advanced.
17. Asegúrese que los valores de ambas fases coinciden con los que realmente
desea configurar y haga clic en Apply.
18. Cuando retorne a la pantalla anterior, vuelva a hacer clic en Apply.
Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 5/12
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 6/12

CONFIGURACIÓN ZyWALL B

1. Usando el navegador web, entre en la configuración del ZyWALL

introduciendo la dirección IP LAN del ZyWALL en el campo dirección. La
dirección IP LAN por defecto es 192.168.1.1, y el password por defecto
para entrar a la configuración web es 1234.
2. Haga clic en la opción VPN del menú de la izquierda.
3. En la pestaña VPN Rules, seleccione una regla y edítela; o pulse sobre el
botón Add para añadir una nueva regla (en función del modelo).
4. Marque la casilla Active e introduzca un nombre a esta regla en el campo
Name. Seleccione la casilla Keep Alive si desea que el túnel siempre esté
levantado (para asegurar este hecho deberá activar también esta opción en
el equipo remoto). Asímismo seleccione la opción NAT-Traversal si el túnel
tiene que pasar por algún router NAT y se desea evitar la funcionalidad NAT
de este dispositivo (igualmente ambos extremos tienen que tener activada
esta función).
5. Seleccione IKE como opción Key Management y Main como opción en
Negotiation Mode, del mismo modo que se hace en el ZyWALL A.
6. En la información de red Local, introduciremos la siguiente información:

¾ Address Type: Subnet Addres, donde se indicará los equipos de la

red local que podrán comunicarse a través del túnel.
¾ IP Address Start: 192.168.2.0, LAN 2
¾ End / Subnet Mask: 255.255.255.0, máscara aplicada a las
direcciones IP de la LAN 2

7. En la información de red Remote, introduciremos la siguiente información:

¾ Address Type: Subnet Addres, dónde se indicará los equipos de la

red remota que podrán comunicarse a través del túnel.
¾ IP Address Start: 192.168.1.0, LAN 1
¾ End / Subnet Mask: 255.255.255.0, máscara aplicada a las
direcciones IP de la LAN 1

8. En el campo de método de Autenticación, seleccionaremos la opción de Pre-

Shared Key e introduciremos el valor 12345678.
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 7/12

9. Los campos siguientes se utilizan para la autenticación FQDN. Seleccione

Local ID Type = IP y en el campo Content introduzca 2.2.2.2;
igualmente configure Content ID Type = IP y el campo Content con valor
1.1.1.1. Estos campos se utilizan meramente para autenticación, de manera
que estos valores podrá modificarlos siempre que lo que configure en el
ZyWALLA en local coincida con lo que configure en el ZyWALLB en remoto e
idénticamente lo que configure en el ZyWALLA en remoto coincida con lo
configurado en el ZyWALLB en local.
10. My IP Addr es la IP WAN del ZyWALL B. Si se deja a 0.0.0.0 (por defecto)
el valor que colocará el router será esta dirección WAN del ZyWALL.
11. Secure Gateway IP Addr es la dirección IP pública destino del túnel, que
en este caso será la dirección IP WAN del extremo remoto A
(80.102.53.108).
12. Seleccione Tunnel como Encapsulation Mode.
13. Active la casilla ESP.
14. Seleccione DES como Encryption Algorithm y MD5 como Authentication
Algorithm, de la misma manera se hace en el extremo A.
15. Haga clic en el botón Advanced.
16. Asegúrese que los valores de ambas fases coinciden con los que realmente
desea configurar y haga clic en Apply.
17. Cuando retorne a la pantalla anterior, vuelva a hacer clic en Apply.
Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 8/12
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 9/12

VISUALIZACIÓN Y ANÁLISIS DE LOGS

¿Cómo saber que el túnel funciona?

Para establecer el túnel, si no se activa la casilla ‘Keep Alive’ en la regla de

configuración de la VPN, habrá que lanzar tráfico desde un equipo en una red hacia
un equipo en la otra (por ejemplo, paquetes ICMP), en este momento el dispositivo
VPN lanzará la petición adecuada para levantar el túnel con el extremo remoto. Una
vez se establezca el túnel se deberá obtener respuesta a los pings lanzados.

Una vez establecido el túnel, éste deberá aparecer en el apartado SA Monitor

dentro del apartado VPN tal y como se muestra en la siguiente figura.

Si encontramos problemas en el establecimiento del túnel, deberemos acudir a

visualizar los logs IKE que se reflejan en los equipos. El log más útil será el que se
registre en el extremo de la VPN que actúa como receptor de las peticiones IKE, es
decir, el extremo opuesto al que lanza las peticiones de establecimiento del túnel.
La visualización de estos logs nos ayudará en la mayor parte de los casos a depurar
posibles problemas en la fase de establecimiento. Todos los logs que se muestran a
continuación están capturados en el extremo receptor de peticiones IKE.

Para visualizar los logs IKE iremos al enlace View Log dentro de LOGS. Para que
estas entradas IKE se registren es necesario que aseguremos que en la pestaña
Log Settings está activada dicha captura (es decir, la de paquetes IKE).

El siguiente log corresponde a una conexión IPSec realizada de forma satisfactoria.

 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 10/12

Seguidamente se muestra el log correspondiente al error que se nos mostrará

cuando exista una incoherencia entre parámetros de la fase 1, por ejemplo, cuando
no exista concordancia entre los métodos de autenticación y/o encriptación en
ambos extremos terminadores de la VPN. Se puede observar que al iniciar la fase
1, aparece un mensaje ¡! No proporsal chosen, indicando dicha incoherencia.

A continuación se presenta un log muy similar pero que se presenta cuando los
métodos incoherentemente configurados están en la fase 2.
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 11/12

En el siguiente caso, existe una inconsistencia en los parámetros que utiliza el

dispositivo para la autenticación FQDN, es decir, los valores FQDN configurados en
un extremo no coinciden con los del extremo opuesto.

Por último, veremos el error que se nos mostrará en el log cuando la incoherencia
se produce en los parámetros correspondientes a las direcciones locales y remotas
configuradas en ambos extremos.
 Nota de Soporte:
‘Configuración de un túnel IPSec entre dos ZyWALL’
Pág. 12/12

Este documento explicativo desarrollado para el establecimiento de un túnel entre

dos dispositivos ZyWALL puede ser utilizado como guía para la configuración de
túneles IPSec con cualquier otro dispositivo ZyXEL con la funcionalidad VPN
implementada (como podría ser un router ADSL de la serie P652, un gateway de la
familia P334,….) dado que los campos básicos de configuración son similares.