Starší síť VPN - konfigurace konfigurace Provisioning v řadě USG

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Přehled

VPN (virtuální privátní síť) poskytuje bezpečnou komunikaci mezi lokalitami bez nákladů na pronajaté linky. VPN se používají k přenosu provozu přes internet nezabezpečené sítě, která využívá komunikaci TCP/IP. VPN se vzdáleným přístupem (klient-to-site) umožňuje zaměstnancům na cestách nebo pracovníkům pracujícím na dálku bezpečný přístup ke zdrojům firemní sítě. Existuje více typů protokolů/technologií VPN, které lze použít k vytvoření zabezpečeného spojení do podnikové sítě: L2TP, PPTP, SSL, OpenVPN atd. Tato příručka bude odkazovat na protokol IPSec pro vytvoření zabezpečeného tunelu VPN mezi externími hostiteli (uživateli připojenými k internetu mimo strukturu podnikové sítě) a směrovačem ZyWALL. K navázání spojení VPN je zapotřebí software IPSec třetí strany, protože současné operační systémy nemají vestavěného klienta IPSec.

Scenario

1. Brána VPN (fáze 1)
2. Připojení VPN (fáze 2)
3. Zajištění konfigurace
4. Klient VPN ZyWALL
5. Testování a řešení problémů

Brána VPN (fáze 1)

Přihlaste se na webovou konfigurační stránku ZyWALL a přejděte do nabídky Configuration → VPN → IPSec VPN. V nabídce IPSec VPN klikněte na kartu VPN Gateway a přidejte fázi 1 nastavení tunelu. Kliknutím na tlačítko Add vložte nové pravidlo. V levé horní části okna klikněte na tlačítko Show Advanced Settings (Zobrazit rozšířená nastavení) a zobrazte všechny možnosti v nabídce.

  • Zaškrtnutím políčka povolte pravidlo VPN a zadejte jeho název.
  • V rozevíracím poli My Address vyberte rozhraní WAN, které chcete použít pro připojení k síti VPN.
  • Zkontrolujte, zda je v poli Peer Gateway Address nastavena hodnota "Dynamic Address" (Dynamická adresa).
  • Zadejte/vytvořte ověřovací klíč VPN "Pre-Shared Key".
  • V rozevíracím poli Phase 1 Settings (Nastavení fáze 1) nastavte režim vyjednávání na režim "Main" (Hlavní).
  • Nastavte návrh "Encryption" a "Authentication", který chcete použít (možnosti šifrování jsou DES, 3DES, AES128, AES192, AES256) (možnosti ověřování jsou MD5, SHA1, SHA256, SHA512).
  • Vyberte skupinu klíčů Diffie-Hellman (možnosti jsou DH1, DH2, DH5).

    CautionPoznámka: Symbol varování vpravo se zobrazí v oblastech, kde je vyžadováno zadání nebo chyba v zadání, například nepovolené/nepodporované znaky.
    Picture1.png

Připojení VPN (fáze 2)

Nyní, když bylo vytvořeno pravidlo brány VPN (fáze 1), klikněte na kartu VPN Connection a vložte pravidlo fáze 2 pro tunel VPN. Pravidlo vložíte kliknutím na tlačítko Add (Přidat) . V levé horní části okna klikněte na tlačítko Show Advanced Settings (Zobrazit pokročilá nastavení) a zobrazte všechny možnosti v nabídce.

  • Zaškrtnutím políčka povolte pravidlo a pojmenujte ho.
  • Nastavte scénář aplikace VPN Gateway na použití "Vzdáleného přístupu (role serveru)".
  • Pro scénář aplikace nastavte v rozevírací nabídce Brána VPN použití zásady Fáze 1 vytvořené v předchozím kroku. (V tomto příkladu RoadWarrior).
  • Přejděte dolů na možnost Zásady a nastavte místní zásady tak, aby používaly objekt adresy "LAN1_SUBNET". Tím získá uživatel VPN přístup přes všechna zařízení připojená k síti LAN1.
  • Aktivní protokol v části Phase 2 Setting by měl být nastaven na "ESP".
  • Zapouzdření je "Tunel"
  • Nastavte návrh "Encryption" a "Authentication", který chcete použít (možnosti šifrování jsou DES, 3DES, AES128, AES192, AES256) (možnosti ověřování jsou MD5, SHA1, SHA256, SHA512).
  • Perfect Forward Secrecy (PFS) je další úroveň šifrování. Není nutné ji povolovat, ale pokud si přejete přidanou úroveň šifrování použít, jsou k dispozici tyto možnosti: Žádné, DH1, DH2 a/nebo DH5.
  • V části Related Settings (Související nastavení) se ujistěte, že je zóna nastavena na "IPSec_VPN".

    Picture2.png

Nyní, když byla dokončena fáze 1 a fáze 2 pravidla VPN, zrušte zaškrtnutí políčka "Use Policy Route to control dynamic IPSec rules". Zrušením zaškrtnutí této možnosti umožníte, aby síť ZyWALL vytvářela trasy pro připojené uživatele VPN automaticky.
Picture3.png

Zajištění konfigurace

Někteří klienti VPN, například "ZyWALL IPSec VPN Client" a "TheGreenBow VPN Client", mají možnost provisioningu, která jim umožňuje stáhnout nastavení, které jste nakonfigurovali v pravidle VPN, místo abyste museli klienta konfigurovat ručně. Pro nastavení provisioningu VPN pro dynamické pravidlo VPN RoadWarrior jsme právě vytvořili kartu Configuration Provisioning v nabídce IPSec VPN(Configuration → VPN → IPSec VPN).

Před nastavením provisioningu musíme vytvořit uživatelský účet, který umožní stažení nastavení. Přejděte na Configuration → Object → User/Group a kliknutím na tlačítko Add vložte účet úrovně "User". Administrátorské účty nemohou používat možnost stahování konfigurace provisioning.
Picture4.png

Nyní po vytvoření uživatelského účtu přejděte na Configuration → VPN → IPSec VPN a kliknutím na záložku Configuration Provisioning vložte pravidlo umožňující stahování nastavení klienta VPN RoadWarrior VPN.

  • Povolte nabídku Provisioning konfigurace VPN.
  • Klikněte na tlačítko Add (Přidat) a vytvořte pravidlo pro povolení provisioningu "RoadWarrior_Connection" VPN Connection pro "VPN-user" Allowed User (Povolený uživatel). Ujistěte se, že je pravidlo povoleno, a kliknutím na Apply nastavení uložte.
    Picture5.png

Klient VPN ZyWALL

Chcete-li stáhnout nastavení pro poskytování konfigurace VPN nakonfigurované na směrovači, otevřete klientský software, klikněte na nabídku Configuration a vyberte možnost Get from Server (Získat ze serveru).
Picture6.png

Zadejte veřejnou IP adresu, název domény nebo název DDNS spojený se směrovačem ZyWALL. Klient stáhne nastavení prostřednictvím protokolu SSL. Ve výchozím nastavení je server ZyWALL naprogramován tak, aby pro protokol SSL používal port 443. Pokud jste port změnili, uveďte nový port SSL. Zadejte uživatelské jméno a heslo spojené s konfigurací provisioningu a klikněte na Next.

Picture7.png
Poznámka: Tato funkce funguje pouze v případě, že je na směrovači ZyWALL povolena vzdálená správa, pokud byla vzdálená správa zakázána, funkce provisioning konfigurace nebude moci automaticky načíst nastavení konfigurace VPN ze směrovače ZyWALL.

Klient odešle požadavek na stažení konfiguračních nastavení VPN do směrovače ZyWALL.
Picture8.png

Nyní, když byla konfigurace stažena, můžete vytvořit tunel VPN mezi počítačem a směrovačem ZyWALL. Klikněte pravým tlačítkem myši na část konfigurace fáze 2 a výběrem možnosti "Open Tunnel" (Otevřít tunel) spusťte vytáčení VPN.
Picture9.png

Chcete-li nastavit úplné nebo rozdělené tunelování pro provoz VPN, stačí se podívat sem:

VPN Full/Split Tunneling (Plné/rozdělené tunelování VPN)

Testování a řešení problémů

Zkuste navázat připojení VPN ke směrovači. Po navázání spojení zkuste odeslat ping nebo přistupovat k jakýmkoli zdrojům ze vzdálené sítě.

  1. Pokud se vám nepodaří zajistit provoz přes tunel VPN:
  • Vypněte bránu firewall na vzdáleném hostiteli, abyste se ujistili, že neblokuje požadavky.
  • Pokus o přístup ke zdrojům pomocí názvu hostitele počítače? Zkuste místo toho použít IP adresu přidělenou počítači. Použití hostitelského jména počítače vyžaduje protokol NetBIOS broadcast pro překlad IP adresy počítače; standard IPSec broadcast nepodporuje. Protože standard IPSec VPN nepodporuje vysílání, nemůžeme zaručit, že použití hostitelských názvů místo IP adresy bude fungovat. Řešením tohoto omezení standardu IPSec by bylo použití serveru WINS.
  • Vypněte bránu firewall směrovače ZyWALL.
  • Ujistěte se, že nedochází ke konfliktům IP adres. Pokud je síť ZyWALL nakonfigurována tak, aby používala síť 192.168.1.0/24, a vzdálený uživatel používá také stejné schéma IP, nebude provoz přes tunel VPN správně směrován.
  • Zkontrolujte bránu hostitelské sítě, pokud místní směrovač (ne ZyWALL) nemá povolen průchod VPN nebo otevřené potřebné porty, nemusí VPN fungovat správně.
  • Pro další pomoc se obraťte na technickou podporu.
  • Tunel VPN se nenaváže/připojí:
  • Ujistěte se, že síťový směrovač umožňuje průchod portů IPSec (UDP:500 a UDP:4500), nebo nezapomeňte povolit VPN pass-through, pokud směrovač tuto možnost podporuje. Je možné obejít směrovač, abyste se ujistili, že problém nezpůsobuje on.
  • Ujistěte se, že váš poskytovatel internetu neblokuje porty VPN; někteří poskytovatelé blokují porty VPN na své straně.
  • Zkontrolujte, zda brána firewall vašeho počítače povoluje komunikaci z klienta VPN.
  • Aktualizujte ovladače síťových karet (Ethernet a/nebo Wi-Fi).
  • Zkontrolujte nastavení VPN v zařízení ZyWALL a ujistěte se, že odpovídá konfiguraci softwarového klienta.
  • Pro další pomoc se obraťte na technickou podporu.

Video: Zjistěte, zda je v síti ZyWALLWW k dispozici video:

+++ Licence pro klienty Zyxel VPN (SSL VPN, IPsec) můžete zakoupit s okamžitým dodáním jedním kliknutím: Zyxel Webstore +++

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 3 z 7
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.