Tento článek vám ukáže, jak nakonfigurovat IKEv2 IPsec VPN s certifikátem pomocí aplikace SecuExtender v systému Windows i MacOS. Ukáže vám, jak nakonfigurovat VPN na firewallu (USG FLEX / ATP / VPN Series v samostatném režimu / v režimu on-premise), a také ukáže, jak se zbavit chyby TGBErrorCodeMgrNotCreated.description v systému MacOS.

Poznámka: Pro systém IOS 17 se používá skupina klíčů: DH19 musí být použita

Video:

Obsah: Tabulka obsahu

A) Konfigurace IKEv2 na bráně firewall

B) Konfigurace klienta SecuExtender

C) Konfigurace v systému MacOS

A) Konfigurace IKEv2 na bráně firewall

1. Přihlaste se k jednotce zadáním její IP adresy a pověření pro účet správce (ve výchozím nastavení je uživatelské jméno "admin" a heslo "1234").
   
   
2. Přejděte do nabídky Konfigurace > Objekt > Adresa/Geo IP, klikněte na tlačítko "Přidat" a vytvořte objekt typu "Adresa" "Rozsah". Pojmenujte jej "IKEv2_Pool" a zadejte rozsah IP, který se nepřekrývá s vašimi podsítěmi.
   .
   
   
3. Vytvořte další objekt IP Address, který později umožní klientům IKEv2 přístup k internetu prostřednictvím tunelu VPN. Zvolte typ "Range", pojmenujte jej například "All_Traffic" a zadejte "0.0.0.0" pro "Starting IP Address" a "255.255.255.255" pro "End IP Address".
   
   
   
4. Přejděte do nabídky Konfigurace > Objekt > Uživatel/skupina a kliknutím na tlačítko "Přidat" vytvořte nové uživatele.
   
   
   
5. Klikněte na kartu "Group" (Skupina) a kliknutím na tlačítko "Add" (Přidat) vytvořte skupinu "IKEv2_Users" a přidejte potřebné uživatele jejich označením a kliknutím na šipku směřující doprava.
   
   
   
6. Přejděte do nabídky Configuration (Konfigurace) > Object (Objekt) > Certificate (Certifikát), klikněte na tlačítko "Add" (Přidat), vyberte položku "Host Domain Name" (Název hostitelské domény), zadejte název domény nebo DynDNS, přejděte na položku "Extended Key Usage" (Rozšířené použití klíče) a zaškrtněte tři políčka "Server Authentication" (Ověření serveru), "Client Authentication" (Ověření klienta) a "IKE Intermediate" (Zprostředkovatel IKE) a klikněte na tlačítko "OK".
   
   
   
7. Dvakrát klikněte na tento certifikát a přejděte dolů, abyste použili "Export Certificate Only".
   
   
   
8. Přejděte do nabídky Configuration (Konfigurace) > Network (Síť) > VPN (VPN) > IPSec VPN (IPSec VPN) a klikněte na "Add" (Přidat), klikněte na "Show Advanced Settings" (Zobrazit pokročilá nastavení), zaškrtněte "Enable" (Povolit), vyberte "IKEv2" (IKEv2), v části "Peer Gateway Address" (Adresa partnerské brány) vyberte "Dynamic Address" (Dynamická adresa), v části "Authentication" (Ověřování) zaškrtněte "Certificate" (Certifikát) a vyberte dříve vytvořený certifikát.
   
   
   
   
9. Přejděte dolů a v části "Phase 1 Settings" (Nastavení fáze 1) vyberte požadované návrhy, zaškrtněte "Enable Extended Authentication Protocol" (Povolit rozšířený protokol ověřování), vyberte "Server Mode" (Režim serveru), ponechte "AAA Method" (Metoda AAA) na "default" (Výchozí) a pro "Allowed Users" (Povolení uživatelé) vyberte dříve vytvořenou skupinu "IKEv2_Users" (Uživatelé IKEv2) a nakonec klikněte na "OK".
   
   
   
10. Nyní otevřete výše uvedenou záložku "VPN Connection", klikněte na "Add", klikněte na "Show Advanced Settings", zaškrtněte "Enable", pro "Application Scenario" zvolte "Remote Access (Server Role)", pro "VPN Gateway" vyberte dříve vytvořenou bránu VPN, v části "Local Policy" vyberte dříve vytvořený objekt rozsahu IP "All_Traffic".
    
    
11. Zaškrtněte políčko "Enable Configuration Payload" (Povolit konfigurační zátěž), jako "IP Address Pool" (Bazén IP adres) zvolte objekt "IKEv2_Pool" (Servery DNS jsou volitelné), vyberte požadované návrhy pro připojení VPN a nakonec kliknutím na "OK" dokončete konfiguraci připojení VPN.
    
    
    
    
12. Nyní přejděte do nabídky Configuration (Konfigurace) > Object (Objekt) > Network (Síť) > Routing (Směrování), klikněte na tlačítko "Add" (Přidat), zaškrtněte políčko "Enable" (Povolit), pro položku "Incoming" (Příchozí) zvolte položku "Tunnel" (Tunel), pro položku "Please select one member" (Vyberte prosím jednoho člena) zvolte dříve vytvořené připojení IPSec, pro položku "Source Address" (Zdrojová adresa) zvolte položku "IKEv2_Pool" a nakonec jako položku "Next Hop" (Další skok) zvolte své rozhraní WAN nebo trunk WAN a nakonec klikněte na tlačítko "OK".
    

B) Konfigurace klienta SecuExtender

1. Otevřete klienta IPSec, klikněte pravým tlačítkem myši na složku "IKE V2" na levé straně a přidejte novou "Ikev2Gateway", zadejte název domény, který jste zadali také do certifikátu na USG pro "Remote Gateway", a vyberte odpovídající návrhy v části "Cryptography".
   
2. Klikněte pravým tlačítkem myši na bránu VPN na levé straně pro přidání připojení VPN, zvolte "Address type" (Typ adresy) "Subnet Address" (Adresa podsítě), zadejte adresu a masku podsítě místní podsítě v lokalitě USG, ke které mají mít klienti přístup, a zvolte odpovídající návrhy pro připojení VPN.
   
   
   
3. Pokud "Child SA Life Lifetime" (Životnost dětského SA) neodpovídá nastavené hodnotě na USG, upravte ji před konečným otevřením tunelu opětovným kliknutím pravým tlačítkem myši na VPN Connection (Připojení VPN) na levé straně.

C) Nelze importovat soubor .tgb v systému MacOS

Pokud se vám v systému MacOS zobrazuje tato chyba souboru TGB "TGBErrorCodeMgrNotCreated.description", souvisí to s nastavením ochrany osobních údajů v systému MacOS. Je třeba povolit, aby byl SecuExtender ve vašem operačním systému důvěryhodný.

Přejděte do nastavení -> Soukromí a zabezpečení -> Zabezpečení a vyberte možnost "App Store a identifikovaní vývojáři". Poté by se měl objevit "SecuExtender VPN Client" a je třeba stisknout tlačítko "Povolit":

Nyní můžete úspěšně importovat soubor .tgb do klienta SecuExtender v systému MacOS a získat konfiguraci.

+++ Licence pro klienty Zyxel VPN (SSL VPN, IPsec) můžete zakoupit s okamžitým dodáním jedním kliknutím: Zyxel Webstore +++