Важно известие: |
Тази статия показва как да конфигурирате L2TP през IPSec в самостоятелен режим за серията USG FLEX / ATP / VPN и как да конфигурирате съветника, изтегляне на конфигурацията, ръчно конфигуриране на L2TP с помощта на менюто VPN шлюз и връзка, Какво да разрешите в правилата на защитната стена, как да разрешите достъпа до интернет за L2TP (без интернет), възстановяване на конфигурацията по подразбиране, създаване на VPN потребители, създаване на VPN от LAN, използване на външни сървъри за удостоверяване на потребителите, отстраняване на неизправности с помощта на логове, конфигуриране на MS-CHAPv2.
Таблица на съдържанието
1. Конфигуриране на L2TP VPN с помощта на вградения съветник
1.2 Изберете сценария L2TP през IPSec клиент
1.3 Конфигуриране на конфигурацията на VPN
1.4 Конфигуриране на удостоверяването на потребителя
1.5 Запазване на конфигурацията и изтегляне на конфигурацията L2TP
2) Ръчно конфигуриране на L2TP/IPSec VPN
2.2 Конфигуриране на VPN връзката
2.3 Конфигуриране на настройките на L2TP VPN
2.4 Обобщаване на настройките на L2TP
3) Конфигурации, които трябва да имате
3.1 Разрешете портове UDP 4500 и 500
3.2 Разрешаване на достъпа до интернет през L2TP чрез маршрути на политиката
4. Съвети и отстраняване на неизправности
4.1 Възстановяване на конфигурацията по подразбиране на L2TP VPN
4.2 Настройване на L2TP VPN клиенти
4.3 Разширена настройка: Установяване на L2TP VPN от локалната мрежа:
4.5 L2TP над IPSec VPN - виртуална лаборатория
4.6 Отстраняване на неизправности
4.7 Конфигуриране на L2TP MS-CHAPv2 в серия USG/Zywall
Какво представлява L2TP над IPSec VPN?
Преди да започнем с ръководството за конфигуриране, нека да направим въведение в L2TP over IPSec VPN.
L2TP over IPSec съчетава протокола за тунелиране от втори слой (L2TP, който осигурява връзка от точка до точка) с протокола IPSec. L2TP сам по себе си не осигурява никакво криптиране на съдържанието и затова тунелът обикновено се изгражда върху протокол за криптиране от слой 3 IPsec, като в резултат се получава така наречената L2TP over IPSec VPN.
В този наръчник можете да се запознаете с цялата информация, необходима за L2TP VPN връзките в устройствата Zyxel Firewall, като разгледате методите за конфигуриране (чрез съветника и ръчно), настройката на клиента за Windows, MAC и Linux; както и по-усъвършенствани настройки за удостоверяване, различни топологии и отстраняване на неизправности в устройствата Firewall и клиентските устройства. Определен е и достъп до виртуална лаборатория, където е възможно да се прегледат нашите настройки, които могат да се използват и при настройката на отдалечената VPN мрежа във вашето устройство.
1. Конфигуриране на L2TP VPN с помощта на вградения съветник
1.1 Преминете към съветника
a. Отворетераздела Quick Setup (Бърза настройка) и в изскачащия прозорец изберете Remote Access VPN Setup (Настройка на VPN за отдалечен достъп):
1.2 Изберете сценария L2TP over IPSec Client
1.3 Конфигуриране на конфигурацията на VPN
Въведете предпочитания Pre-Shared Key (предварително споделен ключ) и изберете съответния WANинтерфейс.
1.4 Конфигуриране на удостоверяването на потребителя
1.5 Запазване на конфигурацията и изтегляне на конфигурацията на L2TP
Configuration > Security Policy > Policy Control
2) Ръчно настройване на L2TP/IPSec VPN
По-долу са описани стъпките, необходими за ръчно конфигуриране на L2TP over IPSec VPN. Топологията и приложението са същите, както при използването на съветника, единствената разлика са стъпките при конфигурирането.
2.1 Конфигуриране на VPN шлюз
Отидете на следния път и създайте нов VPN шлюз:
Configuration > VPN > IPSEC VPN > VPN Gateway
Натиснете бутона "Show Advanced Settings" (Показване на разширени настройки). Въведете име за шлюза, изберете WAN интерфейса си и добавете предварително съгласуван ключ:
Задайте "Negotiation Mode" (Режим на договаряне) на " Main" (Основен) и добавете следните (общи) предложения и потвърдете, като натиснете OK:
2.2 Конфигуриране на VPN връзка
Отидете на следния път и създайте нова VPN връзка:
Configuration > VPN > IPSec VPN > VPN Connection
Натиснете бутона "Show Advanced Settings" (Показване на разширени настройки). Въведете име на връзката, задайте Application Scenario (Сценарий на приложение) на Remote Access (Server Role) (Отдалечен достъп (Роля на сървър)) и изберете VPN шлюза, който сте създали преди това:
За Local Policy (Локална политика) създайте нов обект IPv4 Address Object (от бутона"Create New Object" (Създаване на нов обект)) за вашия реален WAN IP и след това го задайте на VPN връзката като Local Policy (Локална политика):
Задайте Encapsulation (Капсулиране) на Transport (Транспорт) и добавете следните предложения и потвърдете, като щракнете върху OK:
2.3 Конфигуриране на настройките на L2TP VPN
След като настройките на IPSec са готови, трябва да се настроят настройките на L2TP. Отидете на следния път:
Configuration -> VPN -> L2TP VPN Settings
Ако е необходимо, създайте нов(и) местен(и) потребител(и), на който(ито) ще бъде разрешено да се свързва с VPN мрежата:
Създайте пул от L2TP IP адреси с набор от IP адреси, които трябва да се използват от клиентите, докато са свързани към L2TP/IPSec VPN.
Забележка: Това не трябва да влиза в конфликт с подмрежи WAN, LAN, DMZ или WLAN, дори когато не се използват.
2.4 Обобщаване на настройките на L2TP
Сега нека зададем настройките на L2TP:
- Задайте VPN връзката, създадена в 2.2 Конфигуриране на VPN връзката
- Пул от IP адреси можете да зададете обект от IP обхвата на L2TP
- Метод на удостоверяване може да се зададе по подразбиране за удостоверяване на местния потребител
- Позволените потребители могат да бъдат зададени за потребителя. Ако са необходими няколко потребители, може да се създаде група от потребители на страницата Object (Обект).
- DNS сървърът(ите) и WINS сървърът могат да бъдат избрани да бъдат самото устройство за защитна стена (Zywall) или персонализиран IP адрес на сървър.
- В случай че е необходим достъп до интернет през устройството Firewall, докато е свързано към L2TP/IPSec VPN, уверете се, че опцията "Allow Traffic Through WAN Zone" (Разрешаване на трафика през WAN зоната) е активирана.
- Щракнете върху "Apply" (Приложи), за да запазите настройките. С това L2TP/IPSec VPN мрежата като такава вече е готова.
3) Конфигурации, които трябва да имате
3.1 Разрешаване на UDP портове 4500 и 500
Уверете се, че правилата на защитната стена позволяват достъп до портове UDP 4500 и 500 от WAN към Zywall и че зоната по подразбиране IPSec_VPN има достъп до мрежовите ресурси. Това може да се провери в:
Configuration > Security Policy > Policy Control
3.2 Разрешаване на достъпа до интернет през L2TP чрез маршрути на политиката
Ако част от трафика на клиентите на L2TP трябва да отиде в интернет, създайте маршрут на политиката за изпращане на трафика от тунелите на L2TP навън през WAN магистрала.
Configuration > Network > Routing > Policy Route
Задайте Входящ към Тунел и изберете вашата L2TP VPN връзка. Задайте Source Address (Изходен адрес) да бъде адресният пул на L2TP. Задайте Next-Hop Type (Тип следваща спирка ) на Trunk (Магистрала) и изберете подходящата WAN магистрала.
За повече подробности относно тази стъпка, моля, разгледайте статията:
Как да позволим на клиентите на L2TP да сърфират чрез USG
4. Съвети и отстраняване на неизправности
4.1 Възстановяване на конфигурацията по подразбиране на L2TP VPN
В някои случаи може да се наложи да дадете ново начало на настройките на L2TP VPN в страницата:
Configuration > VPN > L2TP VPNКогато е необходимо, използвайте следната статия, в която са описани методите за възстановяване на настройките по подразбиране.
ZyWALL USG: Възстановяване на конфигурацията по подразбиране на VPN-L2TP
4.2 Настройване на L2TP VPN клиентите
L2TP през IPSec е много популярен и често се поддържа от много платформи за крайни устройства със собствени вградени клиенти.
Ето някои от най-разпространените от тях и как да ги настроите:
4.3 Разширена настройка: Създаване на L2TP VPN от локалната мрежа:
VPN е популярна функция за криптиране на пакети при предаване на данни.
В текущия дизайн на ZyWALL/USG/ATP, когато VPN интерфейсът е базиран на интерфейса WAN1, VPN заявката трябва да идва от интерфейса WAN1 (ограничен интерфейс), в противен случай заявката ще бъде отказана. (напр. VPN връзката идва от LAN1)
При някои сценарии обаче може да се наложи потребителите да създадат VPN тунел не само от WAN, но и от LAN.
Този сценарий също се поддържа от ZyWALL/USG/ATP. Потребителите могат да следват работната процедура по-долу, за да изключат ограничението на VPN интерфейса, така че VPN връзката да може да идва и от WAN/LAN след това.
Топология:
Версия на фърмуера:
4.32 или по-нова
Конфигурация на USG:
За да активирате L2TP от LAN, трябва да осъществите достъп до устройството чрез терминална връзка (Serial, Telnet, SSH) и да въведете следните команди:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Рестартирайте устройството.
4.4 Разширена настройка: Направете разширена настройка на устройството: Използване на външни сървъри за удостоверяване на потребителите, свързващи се с L2TP VPN
Този раздел описва как да конфигурирате L2TP през IPSec с MS-CHAPv2 на серията USG/Zywall. За разширени реализации удостоверяването на потребителите със сървъри на Active Directory (AD) може да се приложи върху удостоверяването на L2TP/IPSec VPN.
Сценарий:
Домейн AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Отидете на Configuration>Object>AAA Server. Разрешаване на удостоверяването на домейна за MSCHAP
Удостоверението обикновено е същото като това на администратора на AD.
2. Отидете наSystem>Host Name (Система>Име на хост),въведете AD домейнав Domain Name (Име на домейна).
Този поток прави така, че USG да се присъедини към AD домейна. Тунелът ще бъде установен успешно само когато тази част работи.
3. Потвърдете дали USG се е присъединил към домейна. Навигирайте до Active Directory Users and Computers>Computers
В този случай можете да откриете, че usg110 се е присъединил към домейна. Също така можете да проверите подробната информация в раздела Properties>Object (Свойства>Обект) чрез щракване с десния бутон на мишката.
4. Редактиране на зоната на домейна, Поставете името на домейна в System> DNS >Domain Zone Forwarder.
Понякога може да прекъсне по време на набирането на тунела, затова трябва да конфигурирате следната настройка, Query interface is where your AD server is located.
5. Проверете настройките за връзка в Windows.
Уверете се, че сте активирали (MS-CHAP v2 ) и сте въвели предварително споделен ключ в Разширени настройки.
6. Проверете информацията за влизане в Monitor page>, Потребителят на AD трябва да бъде в списъка на текущите потребители, след като тунелът е набран успешно.
Можете да откриете, че типът на потребителя е L2TP, а информацията за потребителя е външен потребител.
Като допълнителна информация в следната статия са описани поддържаните удостоверявания, които се поддържат от нашите защитни стени с L2TP/IPSec VPN:
ZyWALL USG - Поддържано удостоверяване през L2TP
4.5 L2TP над IPSec VPN - виртуална лаборатория
Чувствайте се свободни да разгледате нашата виртуална лаборатория за настройка на L2TP VPN на нашите устройства за защитна стена. С тази виртуална лаборатория можете да разгледате правилната конфигурация за сравнение, докато настройвате вашата среда:
Виртуална лаборатория - VPN от край до край (L2TP)