VPN - Конфигуриране на IKEv2 VPN със сертификат с помощта на SecuExtender IPSec VPN Client

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Тази статия ще ви покаже как да конфигурирате IKEv2 IPsec VPN със сертификат с помощта на SecuExtender в Windows и MacOS. Тя ще ви покаже как да конфигурирате VPN на защитната стена (USG FLEX / ATP / VPN Series в самостоятелен / локален режим), както и ще покаже как да се отървете от грешката TGBErrorCodeMgrNotCreated.description в MacOS.

Забележка: За IOS 17 се използва група ключове: Трябва да се използва DH19

Видео:

Таблица на съдържанието

А) Конфигуриране на IKEv2 в защитната стена

Б) Конфигуриране на клиент на SecuExtender

C) Конфигуриране в MacOS

A) Конфигуриране на IKEv2 в защитната стена

  1. Влезте в устройството, като въведете неговия IP адрес и данните за администраторски акаунт (по подразбиране потребителското име е "admin", а паролата - "1234").

  2. Преминете към Configuration (Конфигурация) > Object (Обект) > Address/Geo IP (Адрес/географски IP), щракнете върху "Add" (Добавяне), за да създадете обект от типа "Address Type" (Тип адрес) "Range" (Обхват). Наречете го "IKEv2_Pool" и въведете IP обхват, който не се припокрива с вашите подмрежи
    2.PNG.

  3. Създайте още един обект IP Address (IP адрес), за да позволите на клиентите на IKEv2 достъп до интернет през VPN тунела по-късно. Изберете типа "Range" (Обхват), наречете го например "All_Traffic" (Всички_Трафик), въведете "0.0.0.0" за "Starting IP Address" (Начален IP адрес) и "255.255.255.255" за "End IP Address" (Краен IP адрес).
    3.PNG

  4. Отидете в Configuration (Конфигурация) > Object (Обект) > User/Group (Потребител/група) и щракнете върху "Add" (Добавяне), за да създадете нови потребители.
    6.PNG

  5. Щракнете върху раздела "Group" (Група) и щракнете върху "Add" (Добавяне), за да създадете група "IKEv2_Users" и добавете необходимите потребители, като ги маркирате и щракнете върху стрелката, сочеща надясно.
    8.PNG

  6. Преминете към "Configuration" (Конфигурация) > "Object" (Обект) > "Certificate" (Сертификат), щракнете върху "Add" (Добавяне), изберете "Host Domain Name" (Име на домейна на хоста), въведете името на домейна или DynDNS, превъртете надолу до "Extended Key Usage" (Разширено използване на ключа) и поставете отметка в трите квадратчета "Server Authentication" (Удостоверяване на сървъра), "Client Authentication" (Удостоверяване на клиента) и "IKE Intermediate" (Междинно устройство на IKE) и щракнете върху "OK".
    8.PNG

  7. Щракнете два пъти върху този сертификат и превъртете надолу, за да използвате "Export Certificate Only" (Експортиране само на сертификат).
    9.PNG

  8. Отидете в Configuration (Конфигурация) > Network (Мрежа) > VPN (VPN) > IPSec VPN (IPSec VPN) и щракнете върху "Add" (Добавяне), щракнете върху "Show Advanced Settings" (Показване на разширени настройки), поставете отметка върху "Enable" (Включване), изберете "IKEv2" (IKEv2), изберете "Dynamic Address" (Динамичен адрес) под "Peer Gateway Address" (Адрес на партньорския шлюз), поставете отметка върху "Certificate" (Сертификат) под "Authentication" (Удостоверяване) и изберете предварително създадения сертификат.
    10.PNG


  9. Превъртете надолу, за да изберете желаните предложения под "Phase 1 Settings" (Настройки на фаза 1), поставете отметка пред "Enable Extended Authentication Protocol" (Разрешаване на разширен протокол за удостоверяване), изберете "Server Mode" (Режим на сървъра), оставете "AAA Method" (Метод на AAA) на "default" (по подразбиране) и изберете предварително създадената от вас група "IKEv2_Users" (Потребители на IKEv2) за "Allowed Users" (Разрешени потребители), преди накрая да щракнете върху "OK".
    11.PNG

  10. Сега отворете горния раздел "VPN Connection", щракнете върху "Add" (Добавяне), щракнете върху "Show Advanced Settings" (Показване на разширени настройки), поставете отметка върху "Enable" (Разрешаване), изберете "Remote Access (Server Role)" (Отдалечен достъп (роля на сървър)) за "Application Scenario" (Сценарий на приложение), изберете създадения преди това VPN шлюз за "VPN Gateway" (VPN шлюз), в "Local Policy" (Локална политика) изберете създадения преди това обект с IP обхват "All_Traffic" (Целият трафик).

  11. Поставете отметка на "Enable Configuration Payload" (Включване на полезния товар на конфигурацията), изберете обекта "IKEv2_Pool" като "IP Address Pool" (Пул от IP адреси) (DNS сървърите не са задължителни), изберете желаните предложения за VPN връзката и накрая щракнете върху "OK", за да завършите конфигурирането на VPN връзката.
    12.PNG
    13.PNG

  12. Сега преминете към Configuration (Конфигурация) > Object (Обект) > Network (Мрежа) > Routing (Маршрутизация), щракнете върху "Add" (Добавяне), поставете отметка върху "Enable" (Включване), изберете "Tunnel" (Тунел) за "Incoming" (Входящи), изберете предварително създадената IPSec връзка за "Please select one member" (Моля, изберете един член), изберете "IKEv2_Pool" за "Source Address" (Изходен адрес) и накрая изберете вашия WAN Interface (WAN интерфейс) или WAN Trunk (Магистрала) като "Next Hop" (Следващ скок), преди накрая да щракнете върху "OK".
    14.PNG

Б) Конфигуриране на SecuExtender Client

  1. Отворете IPSec клиента, щракнете с десния бутон на мишката върху папката "IKE V2" от лявата страна, за да добавите нов "Ikev2Gateway", въведете името на домейна, което сте въвели и в сертификата на USG за "Remote Gateway" (отдалечен шлюз), и изберете съответстващите предложения в "Cryptography" (криптография).
    mceclip1.png
  2. Щракнете с десния бутон на мишката върху VPN шлюза от лявата страна, за да добавите VPN връзка, изберете "Address type" (Тип на адреса) "Subnet Address" (Адрес на подмрежата), въведете адреса на подмрежата и маската на подмрежата на локалната подмрежа на сайта на USG, до която клиентите трябва да имат достъп, и изберете съответстващите предложения за VPN връзката.
    mceclip0.png

  3. Ако параметърът "Child SA Life Lifetime" (Време на живот на детския SA) не съвпада с този, конфигуриран на USG, моля, коригирайте го, преди окончателно да отворите тунела, като извършите повторно щракване с десния бутон на мишката върху VPN Connection (VPN връзка) от лявата страна.

C) Не мога да импортирам .tgb-файл в MacOS

Ако получавате тази грешка на TGB-файла "TGBErrorCodeMgrNotCreated.description", на вашата MacOS, това е свързано с настройките за поверителност в MacOS. Трябва да разрешите SecuExtender да бъде доверен във вашата операционна система.

mceclip0.png

Отидете в Настройки -> Поверителност и сигурност -> Сигурност и изберете "App Store и идентифицирани разработчици". След това трябва да се появи "SecuExtender VPN Client" и трябва да натиснете "Allow":

mceclip1.png

Сега можете успешно да импортирате .tgb-файла в SecuExtender Client на MacOS, за да получите конфигурацията си.

+++ Можете да закупите лицензи за вашите Zyxel VPN клиенти (SSL VPN, IPsec) с незабавна доставка с 1 клик: Zyxel Webstore +++

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
3 от 11 считат материала за полезен
Споделяне