Важно известие: |
В това ръководство ще научите как да конфигурирате IKEv2 IPsec VPN с помощта на съветника за настройка (Quick Setup) на Zyxel Firewall VPN/USG FLEX/ATP серия и как да се свържете с нея на Android, iPhone (iOS), Windows PC и Mac компютри, като използвате както Zyxel SecuExtender, така и нативния клиент. Ще разгледаме и специфични съображения за конфигуриране на VPN на устройства с iOS, мобилни устройства с версия 18 и по-висока и персонални компютри с фърмуер Sonoma или по-нов.
Забележка: IP адресите на фигурата са само за пример и нямат отношение към статията като цяло. Възможно е те да са различни във вашия случай.
Конфигуриране на VPN чрез бърза настройка
Влезте в WEB графичния потребителски интерфейс на защитната стена и отидете в Quick Setup (Бърза настройка), след което изберете Remote Access VPN (VPN за отдалечен достъп) и след това IKEv2 IPSec Client (Zyxel SecuExtender, не-SecuExtender)
Използвайте това, ако използвате Zyxel SecuExtender IPSec VPN клиент или компютърна операционна система, която поддържа IPSec VPN с IKEv2 (не-SecuExtender VPN клиент). Можете да създадете правило за пълен тунел или разделен тунел с Zyxel SecuExtender VPN клиент. Можете да създадете правило за пълен тунел само с VPN клиент, който не е SecureExtender VPN клиент.
Конфигурирайте пула от IP адреси за клиента.
Пулът от IP адреси ще използва избрана неизползвана подмрежа на устройството, за да се избегне създаването на една и съща подмрежа. Пулът от IP адреси ще започне от 192.168.50.1 Ако подмрежата 192.168.50.1 съществува в настройките на шлюза, пулът от IP адреси ще се промени автоматично.
Добавете или създайте потребители, които ще имат VPN достъп. След като добавите потребители, щракнете върху Next (Напред) и прегледайте всички настройки, за да се уверите в точността им. Сега можете да изтеглите автоматичен скрипт за конфигуриране на VPN или да го конфигурирате ръчно, като използвате сертификат.
След успешното конфигуриране на VPN можете да изтеглите и инсталирате файловете със скрипта на устройства с Windows, MacOS, iOS или Android, за да конфигурирате автоматично настройките на VPN.
Забележка: Настройките на VPN за IPSec VPN клиенти, които не са свързани със SecureExtender, не поддържат следните функции:
- Ограничение на честотната лента за качване
- Разлят тунел
- Двуфакторно удостоверяване (Google Authenticator)
Важно: Потребителите на iOS 18 или по-нова версия и Mac OS 14 Sonoma не могат да използват скрипта и трябва да го конфигурират ръчно. В тази статия, в раздела с настройки за iPhone и MacOS, ще намерите по-подробно описание на необходимите стъпки.
Имайте предвид: За да сведете до минимум грешките при конфигурирането и други потенциални проблеми, препоръчваме да използвате скрипт за инсталиране. Въпреки това можете също така ръчно да инсталирате и конфигурирате сертификата директно на крайното устройство. Подробни инструкции за ръчно инсталиране на сертификат и VPN конфигурация можете да намерите в раздела "Ръчно конфигуриране на сертификат".
Използване на VPN скрипт в Windows
Запазете архива със скрипта на компютъра си, разархивирайте папката и след това стартирайте скрипта с администраторски права (това е файл с разширение bat).
След като инсталацията е успешна, отидете в настройките на VPN на вашия компютър. Там ще намерите създадената VPN връзка. Щракнете върху Свързване. След това въведете потребителското име и паролата.
Използване на VPN скрипт в Android
За потребителите на Android, моля, инсталирайте StrongSwan и следвайте тази статия:
Използване на VPN скрипт в iPhone
Важно: Потребителите на iOS 18 или по-нова версия и Mac OS 14 Sonoma не могат да използват скрипта и трябва да го конфигурират ръчно. Това се дължи на повишените изисквания за сигурност на Apple за IKEv2 VPN криптиране. За да решите този проблем, трябва да направите промени в Key Group и Proposal в настройките на фаза 1 и фаза 2 на предварително създадената VPN връзка, като използвате Quick Setup (Wizzard).
За да продължите, моля, върнете се към уеб графичния потребителски интерфейс на вашата защитна стена. От лявото меню изберете "Конфигурация", след което преминете към "VPN". Отворете настройките на конфигурацията за съответната VPN връзка и добавете предложение със следните настройки във Фаза 2 Настройки :
Предложение
- Шифроване: AES256
- Удостоверяване: SHA256.
След това отидете в раздела " VPN Gateway ", където трябва да актуализираме настройките на фаза 1, както следва:
Предложение
- Шифроване: AES256
- Удостоверяване: SHA256
Група ключове: DH2 DH14 DH19
След като направите промените, не забравяйте да ги приложите, като щракнете върху бутона "Apply" (Приложи)
Следващата стъпка е да изтеглите сертификата за нашата VPN връзка и да го инсталирате на устройството си.
Как да изтеглите сертификат
Отидете в Конфигурация -> Обект -> Сертификат, изберете VPN сертификата и натиснете "Изтегляне", за да изтеглите сертификата.
Сега можете да решите да експортирате сертификата с парола, за да го направите сигурен и да гарантирате, че няма да попадне в неподходящи ръце, или да го оставите празен, за да експортирате сертификата без парола за инсталиране.
Сега можете да прикачите този сертификат към имейл, който изпращате на потребителите, като им обясните как да го инсталират и да се свържат с VPN мрежата.
iPhone iOS 18 и по-висока версия: Ръчно инсталиране на сертификат и конфигуриране на VPN
Сега нека преминем към настройките на самия iPhone. Изтеглете сертификата, изпратен по пощата, например, на вашия iPhone.
Забележка: Тези промени не засягат съществуващите VPN връзки, независимо от начина, по който са направени - чрез "Бърза настройка" или ръчно.
| Изпратете сертификата по пощата, например. На вашия Iphone отворете съобщението по пощата, съдържащо сертификата, и го изпълнете. | ||
След като изпълните сертификата, в настройките на устройството ви ще се появи нов профил. За да го намерите, отидете в настройките на вашия Iphone
| Щракнете върху "Изтеглен профил": | Кликнете върху "Инсталиране": | Кликнете върху "Инсталиране": |
| Сега вече имате проверен сертификат: | Отидете в Настройки -> VPN и устройство | Кликнете върху "Добавяне на VPN" |
| Въведете WAN IP адреса на защитната стена в полетата "Server" (Сървър) и "Remote ID" (Отдалечен идентификатор), както и потребителското име и паролата. | Осъществете връзката и изчакайте, докато статусът стане "Connected" (Свързан), това обикновено отнема няколко секунди. |
Windows 10 и по-нови версии: Ръчно инсталиране на сертификат и конфигуриране на VPN
| Щракнете два пъти върху сертификата с левия бутон на мишката и щракнете върху "Open" (Отвори) в новоотворения прозорец | Щракнете върху бутона "Инсталиране на сертификат". |
Можете също така да опитате да щракнете два пъти върху сертификата, като щракнете върху "Инсталиране на сертификат..." и щракнете върху "Напред"
| Изберете дали сертификатът ще бъде достъпен за всички потребители на компютъра или само за текущия потребител. | Щракнете върху "Place all certificates in the following store" (Поставете всички сертификати в следното хранилище) и изберете "Trusted Root Certification Authorities" (Доверени коренови удостоверителни органи) |
| Почти дотук натиснете "Finish" (Завърши) | След това го приемаме с предупреждение и сме готови! |
Сега нека да конфигурираме самия VPN профил. За да направите това на вашия компютър, отидете в раздела VPN.
| Използвайте търсачката на Windows и, потърсете VPN и изберете "VPN настройки" от лентата за търсене на Windows: | В новия прозорец, който се отваря, щракнете върху "Добавяне на VPN връзка". |
MAC OS 14 Sonoma и по-високи: Ръчно инсталиране на сертификат и конфигуриране на VPN
| Щракнете двукратно върху сертификата и изберете "ключодържател" "система". | Щракнете върху символа на WiFi и върху "Network Settings" (Мрежови настройки). След това щракнете върху знака "+" под вашите WiFi връзки. |
Щракнете върху символа за WiFi и върху "Network Settings" (Мрежови настройки). След това щракнете върху знака "+" под вашите WiFi връзки и Създайте IKEv2 VPN, както е показано по-долу.
Попълнете IP адрес / FQDN, отдалечен идентификатор и след това щракнете върху настройките за удостоверяване по-долу. Изберете потребителско име и въведете потребителското си име и парола.
Zyxel SecuExtender
SecuExtender адаптира принципа на нулевото доверие, за да помогне на ИТ да провери самоличността на потребителите, като прилага контрол на допускането за повишаване на сигурността. За да използвате SecuExtender, е необходим лиценз . Но можете да го изтеглите безплатно и да тествате безплатната пробна версия, като щракнете тук: SecuExtender VPN клиент
В тази статия ще разгледаме конфигурирането на Zyxel SecuExtender, като използваме клиента за Windows като пример. Процедурата за macOS обаче е идентична, с изключение на малка разлика в дизайна на приложението.
Отворете приложението и щракнете върху "Configuration" (Конфигуриране) в горния ляв ъгъл. В падащото меню ще откриете 2 опции "Get from Server" (Получаване от сървър) и "Wizard" (Съветник).
И двете опции са много прости. Когато изберете "Get from Server" (Получаване от сървър), трябва да знаете името или адреса и потребителското име и паролата на VPN потребителя. В случай на "Съветник" можете да правите допълнителни промени по време на конфигурирането.
Изтеглянето на VPN профила е успешно. Сега отидете в главното меню и ще видите новия VPN профил в списъка вляво. Щракнете два пъти върху левия и въведете потребителското си име и парола. Готово. Връзката е успешна!
Моля, обърнете внимание, че "Проверка на сертификата" трябва да бъде деактивирана, ако използвате CA по подразбиране и самоподписан сертификат.