Да, вы можете настроить IPsec туннель между OPNSense с публичным IP-адресом и ZyXEL USG с частным IP-адресом. Однако важно учесть, что для того, чтобы IPsec туннель работал корректно, ZyXEL USG должен иметь возможность связываться с OPNSense через публичный IP-адрес.
Вот шаги, которые помогут вам настроить IPsec туннель:
### На стороне OPNSense
1. **Создайте IPSec соединение:**
- Перейдите в раздел: `VPN` -> `IPsec`.
- Нажмите на `+ Add` для создания нового туннеля.
2. **Настройте базовые параметры:**
- **Key Exchange version**: выберите `IKEv2`.
- **Remote Gateway**: укажите публичный IP ZyXEL USG (или его доменное имя).
- **Remote ID**: добавьте ID, который будет использовать ZyXEL.
- **Local ID**: укажите свой публичный IP.
3. **Настройки аутентификации:**
- Выберите метод аутентификации (обычно это Pre-Shared Key).
- Укажите ключ.
4. **Настройте шифрование и ключи:**
- В настройках шифрования выберите алгоритмы (например, AES256).
- Укажите время жизни для SA.
5. **Настройте параметры сети:**
- Укажите локальную и удаленную сети, которые будут доступны через туннель.
6. **Сохранить и применить настройки.**
### На стороне ZyXEL USG
1. **Создайте IPSec соединение:**
- Зайдите в `VPN` -> `IPSec VPN` -> `VPN Connection`.
- Нажмите на `Add` или `Create`.
2. **Настройте базовые параметры:**
- **Remote Gateway**: укажите публичный IP OPNSense.
- **Local Network**: добавьте вашу локальную сеть на ZyXEL.
- **Remote Network**: добавьте локальную сеть OPNSense.
3. **Настройте аутентификацию:**
- Укажите тот же Pre-Shared Key, что и на OPNSense.
- Убедитесь, что ID настроены правильно.
4. **Настройки шифрования и ключи:**
- Убедитесь, что используете совместимые алгоритмы шифрования.
5. **Сохраните настройки и активируйте соединение.**
### Проверка и отладка
- После завершения настройки убедитесь, что конфигурации на двух устройствах совпадают.
- Проверьте журналы на обоих устройствах для выявления возможных ошибок.
- Убедитесь, что необходимые порты (обычно UDP 500 и 4500) открыты и не блокируются фаерволами.
### Замечания
- **Частный IP на ZyXEL USG**: Если ZyXEL находится за NAT-рутером, потребуется настроить проброс портов для UDP 500 и 4500.
- Если необходимо, рассмотрите возможность использования Dynamic DNS для удобства управления, если у вас динамический IP-адрес.
Такой подход должен помочь вам успешно установить IPsec туннель между OPNSense и ZyXEL USG.