Тази статия показва как да конфигурирате L2TP върху IPSec в самостоятелен режим за USG FLEX / ATP / VPN серия и как да конфигурирате съветника, да изтеглите конфигурацията, да конфигурирате L2TP ръчно чрез менюто за VPN шлюз и връзка, какво да разрешите във firewall правилата, как да активирате интернет достъп за L2TP (без интернет), възстановяване на фабричната конфигурация, настройване на VPN потребители, установяване на VPN от LAN, използване на външни сървъри за удостоверяване на потребители, отстраняване на проблеми чрез логове, конфигуриране на MS-CHAPv2.
Какво е L2TP върху IPSec VPN?
Преди да започнем с ръководството за конфигурация, нека дадем въведение за L2TP върху IPSec VPN.
L2TP върху IPSec комбинира Layer 2 Tunneling Protocol (L2TP, който осигурява точка до точка връзка) с IPSec протокола. Сам по себе си L2TP не осигурява криптиране на съдържанието, затова тунелът обикновено се изгражда върху Layer 3 криптиращ протокол IPsec, което води до т.нар. L2TP върху IPSec VPN.
В това ръководство можете да разгледате цялата необходима информация за L2TP VPN връзки в Zyxel Firewall устройствата, разглеждайки методите за конфигурация (чрез съветника и ръчно), настройката на клиента за Windows, MAC и Linux; както и по-напреднали настройки за удостоверяване, различни топологии и отстраняване на проблеми както на Firewall устройствата, така и на клиентските устройства. Също така е определен виртуален лабораторен достъп, където е възможно да прегледате нашата настройка, която може да се използва при настройване на отдалечен VPN във вашето устройство.
Конфигуриране на L2TP VPN чрез вградения съветник
Навигирайте до Съветника
a. Отворете Quick Setup Tab и в изскачащия прозорец изберете Remote Access VPN Setup:
Изберете сценария L2TP over IPSec Client
Конфигуриране на VPN конфигурация
Въведете предпочитан Pre-Shared Key и изберете съответния WAN интерфейс.
Конфигуриране на удостоверяване на потребители
Запазване на конфигурацията и изтегляне на L2TP конфигурация
Configuration > Security Policy > Policy Control Ръчно настройване на L2TP/IPSec VPN
Следващото описва стъпките, необходими за ръчно конфигуриране на L2TP върху IPSec VPN. Топологията и приложението са същите като при използване на съветника, единствената разлика са стъпките в конфигурацията.
Конфигуриране на VPN шлюз
Отидете на следния път и създайте нов VPN шлюз:
Configuration > VPN > IPSEC VPN > VPN GatewayМоля, натиснете "Show Advanced Settings". Въведете име за шлюза, изберете вашия WAN интерфейс и добавете предварително споделен ключ:
Задайте Negotiation Mode на Main и добавете следните (общи) предложения и потвърдете с OK:
Конфигуриране на VPN връзка
Отидете на следния път и създайте нова VPN връзка:
Configuration > VPN > IPSec VPN > VPN ConnectionМоля, натиснете "Show Advanced Settings". Въведете името на връзката, задайте Application Scenario на Remote Access (Server Role) и изберете VPN шлюза, който създадохте по-рано:
За Local Policy създайте нов IPv4 Address Object (от бутона "Create New Object") за вашия реален WAN IP и след това го задайте на VPN връзката като Local Policy:
Задайте Encapsulation на Transport и добавете следните предложения и потвърдете с OK:
Конфигуриране на L2TP VPN настройки
След като IPSec настройките са направени, трябва да се настроят L2TP параметрите. Отидете на следния път:
Configuration -> VPN -> L2TP VPN SettingsАко е необходимо, създайте нов(и) локален(и) потребител(и), които ще имат разрешение да се свързват към VPN:
Създайте L2TP IP адресен пул с диапазон IP адреси, които клиентите трябва да използват, докато са свързани към L2TP/IPSec VPN.
Забележка: Това не трябва да влиза в конфликт с никакви WAN, LAN, DMZ или WLAN подсети, дори когато не са в употреба.
Обобщение на L2TP настройките
Сега нека зададем L2TP настройките:
- Задайте VPN връзката, създадена в 2.2 Конфигуриране на VPN връзка
- В IP Address Pool можете да зададете L2TP IP диапазон обект
- Методът за удостоверяване може да се зададе по подразбиране за локално удостоверяване на потребителите
- Разрешените потребители могат да се зададат за потребителя. Ако са необходими множество потребители, може да се създаде група потребители на страницата с обекти.
- DNS сървър(и) и WINS сървър могат да бъдат избрани да са самото Firewall устройство (Zywall) или персонализиран IP адрес на сървър.
- В случай че е необходим интернет достъп през Firewall устройството, докато сте свързани към L2TP/IPSec VPN, уверете се, че опцията "Allow Traffic Through WAN Zone" е активирана.
- Кликнете върху "Apply", за да запазите настройките. С това L2TP/IPSec VPN вече е готов.
Задължителни конфигурации - Разрешаване на UDP портове 4500 и 500
Уверете се, че firewall правилата позволяват достъп до портове UDP 4500 и 500 от WAN към Zywall, и че по подразбиране зоната IPSec_VPN има достъп до мрежовите ресурси. Това може да се провери в:
Configuration > Security Policy > Policy Control Активиране на интернет достъп през L2TP чрез Policy Routes
Ако част от трафика от L2TP клиентите трябва да отива към интернет, създайте policy route, за да изпращате трафика от L2TP тунелите през WAN trunk.
Configuration > Network > Routing > Policy RouteЗадайте Incoming на Tunnel и изберете вашата L2TP VPN връзка. Задайте Source Address да бъде адресният пул на L2TP. Задайте Next-Hop Type на Trunk и изберете съответния WAN trunk.
Съвети и отстраняване на проблеми - Възстановяване на L2TP VPN фабрична конфигурация
В някои случаи може да се наложи да започнете наново с настройките на L2TP VPN на страницата:
Configuration > VPN > L2TP VPNНастройване на L2TP VPN клиентите
L2TP върху IPSec е много популярен и обикновено се поддържа от много платформи на крайни устройства със собствени вградени клиенти.
Ето някои от най-често използваните и как да ги настроите:
Windows/MacOS/Linux:
Разширена настройка: Създаване на L2TP VPN от LAN:
VPN е популярна функция за криптиране на пакети при предаване на данни.
В настоящия дизайн на ZyWALL/USG/ATP, когато VPN интерфейсът е базиран на WAN1 интерфейс, VPN заявката трябва да идва от WAN1 интерфейс (ограничение на интерфейса), в противен случай заявката ще бъде отказана. (напр. VPN връзка идваща от LAN1)
Въпреки това, в някои сценарии, потребителите може да се нуждаят да установят VPN тунела не само от WAN, но и от LAN.
Този сценарий също се поддържа от ZyWALL/USG/ATP. Потребителите могат да следват операционната процедура по-долу, за да изключат ограничението на VPN интерфейса, така че VPN връзката да може да идва както от WAN, така и от LAN след това.
Версия на USG фърмуера: 4.32 или по-нова
Конфигурация на USG:
За да активирате L2TP от LAN, трябва да достъпите устройството си чрез терминална връзка (Serial, Telnet, SSH) и да въведете следните команди:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Разширена настройка: Използване на външни сървъри за удостоверяване на потребители, свързващи се към L2TP VPN
Този раздел описва как да конфигурирате L2TP върху IPSec с MS-CHAPv2 на USG/Zywall серия. За по-напреднали реализации, удостоверяването на потребителите с Active Directory (AD) сървъри може да се приложи при удостоверяване на L2TP/IPSec VPN.
Сценарий:
AD домейн: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Навигирайте до Configuration>Object>AAA Server. Активирайте Domain Authentication за MSCHAP
Удостоверяването обикновено е същото като на AD администратора.
2. Отидете на System>Host Name, въведете AD домейна в Domain Name
Това позволява на USG да се присъедини към AD домейна. Тунелът ще бъде успешно установен само ако тази част работи.
3. Потвърдете дали USG е влязъл в домейна. Навигирайте до Active Directory Users and Computers>Computers
В този случай можете да видите, че usg110 е присъединен към домейна. Можете също да проверите подробна информация в таб Properties>Object чрез десен клик.
4. Редактирайте Domain Zone, въведете домейн името в System> DNS >Domain Zone Forwarder.
Понякога може да има изтичане на време при обаждане на тунела, затова трябва да конфигурирате следната настройка, Query интерфейсът е мястото, където се намира вашият AD сървър.
5. Проверете настройките на връзката на вашия Windows.
Уверете се, че сте активирали (MS-CHAP v2) и сте въвели предварително споделен ключ в Advanced settings.
6. Проверете информацията за влизане на страницата Monitor>. AD потребителят трябва да е в Current User List, след като тунелът е успешно установен.
Можете да видите, че типът потребител е L2TP и информацията за потребителя е външен потребител.
Коментари
0 коментараВлезте в услугата, за да оставите коментар.