Tento článek ukazuje, jak nakonfigurovat L2TP přes IPSec v samostatném režimu pro USG FLEX / ATP / VPN sérii a jak nakonfigurovat průvodce, stáhnout konfiguraci, ručně nastavit L2TP pomocí nabídky VPN gateway & connection, co povolit v pravidlech firewallu, jak povolit přístup k internetu pro L2TP (bez internetu), obnovit výchozí konfiguraci, nastavit VPN uživatele, navázat VPN z LAN, používat externí servery k ověřování uživatelů, řešit problémy pomocí logů, konfigurovat MS-CHAPv2.
Co je L2TP přes IPSec VPN?
Než začneme s návodem na konfiguraci, pojďme si představit L2TP přes IPSec VPN.
L2TP přes IPSec kombinuje protokol Layer 2 Tunneling Protocol (L2TP, který poskytuje bod-bodové spojení) s protokolem IPSec. Samotný L2TP neposkytuje žádné šifrování obsahu, a proto je tunel obvykle postaven nad šifrovacím protokolem na vrstvě 3, IPsec, což má za následek takzvanou L2TP přes IPSec VPN.
V tomto manuálu můžete najít veškeré informace potřebné pro L2TP VPN připojení v zařízeních Zyxel Firewall, prozkoumat způsoby konfigurace (pomocí průvodce i ručně), nastavení klienta pro Windows, MAC a Linux; stejně jako pokročilejší nastavení pro autentizaci, různé topologie a řešení problémů na zařízeních firewallu a klientských zařízeních. Je také definován přístup do virtuální laboratoře, kde je možné si prohlédnout naše nastavení, které lze využít při nastavování vzdálené VPN ve vašem zařízení.
Konfigurace L2TP VPN pomocí vestavěného průvodce
Přejděte do Průvodce
a. Otevřete záložku Rychlé nastavení (Quick Setup Tab) a v zobrazeném okně vyberte Nastavení vzdáleného přístupu VPN (Remote Access VPN Setup):
Vyberte scénář L2TP přes IPSec klient
Konfigurace VPN
Zadejte preferovaný Předem sdílený klíč (Pre-Shared Key) a vyberte odpovídající WAN rozhraní (WAN interface).
Konfigurace autentizace uživatelů
Uložení konfigurace a stažení L2TP konfigurace
Konfigurace > Bezpečnostní politika > Řízení politikyRuční nastavení L2TP/IPSec VPN
Následující popisuje kroky potřebné k ruční konfiguraci L2TP přes IPSec VPN. Topologie a aplikace jsou stejné jako při použití průvodce, jediný rozdíl jsou kroky v konfiguraci.
Konfigurace VPN brány
Přejděte na následující cestu a vytvořte novou VPN bránu:
Konfigurace > VPN > IPSEC VPN > VPN GatewayStiskněte "Zobrazit pokročilá nastavení" (Show Advanced Settings). Zadejte název brány, vyberte vaše WAN rozhraní a přidejte předem sdílený klíč:
Nastavte režim vyjednávání na Main a přidejte následující (běžné) návrhy a potvrďte kliknutím na OK:
Konfigurace VPN připojení
Přejděte na následující cestu a vytvořte nové VPN připojení:
Konfigurace > VPN > IPSec VPN > VPN ConnectionStiskněte "Zobrazit pokročilá nastavení" (Show Advanced Settings). Zadejte název připojení, nastavte scénář aplikace na Vzdálený přístup (Remote Access) (Role serveru) a vyberte VPN bránu, kterou jste vytvořili dříve:
Pro lokální politiku vytvořte nový IPv4 adresní objekt (pomocí tlačítka "Vytvořit nový objekt") pro vaši skutečnou WAN IP a poté jej nastavte v VPN připojení jako lokální politiku:
Nastavte zapouzdření na Transport a přidejte následující návrhy a potvrďte kliknutím na OK:
Konfigurace nastavení L2TP VPN
Nyní, když jsou nastavení IPSec hotová, je třeba nastavit L2TP. Přejděte na následující cestu:
Konfigurace -> VPN -> Nastavení L2TP VPNPokud je potřeba, vytvořte nového lokálního uživatele, kterému bude povoleno připojení k VPN:
Vytvořte L2TP IP adresní pool s rozsahem IP adres, které by měly být používány klienty při připojení k L2TP/IPSec VPN.
Poznámka: Toto by nemělo kolidovat s žádnými WAN, LAN, DMZ nebo WLAN podsítěmi, i když nejsou v provozu.
Shrnutí nastavení L2TP
Nyní nastavme L2TP parametry:
- Nastavte VPN připojení vytvořené v 2.2 Konfigurace VPN připojení
- Pro IP adresní pool nastavte L2TP IP rozsah objektu
- Metoda autentizace může být nastavena jako výchozí pro lokální autentizaci uživatelů
- Povolení uživatelé mohou být nastaveni pro uživatele. Pokud je potřeba více uživatelů, lze na stránce Objekt vytvořit skupinu uživatelů.
- DNS a WINS servery lze vybrat jako zařízení firewall (Zywall) nebo vlastní IP adresu serveru.
- Pokud je potřeba přístup k internetu přes zařízení firewall při připojení k L2TP/IPSec VPN, ujistěte se, že je povolena volba "Povolit provoz přes WAN zónu" (Allow Traffic Through WAN Zone).
- Klikněte na "Použít" (Apply) pro uložení nastavení. Tím je L2TP/IPSec VPN připraveno k použití.
Nutná nastavení – Povolení UDP portů 4500 & 500
Ujistěte se, že pravidla firewallu povolují přístup na porty UDP 4500 a 500 z WAN do Zywall a že výchozí zóna IPSec_VPN má přístup k síťovým zdrojům. Toto lze ověřit zde:
Konfigurace > Bezpečnostní politika > Řízení politikyPovolení přístupu k internetu přes L2TP pomocí politik směrování
Pokud musí část provozu z L2TP klientů směřovat na internet, vytvořte politiku směrování, která pošle provoz z L2TP tunelů ven přes WAN trunk.
Konfigurace > Síť > Směrování > Politika směrováníNastavte Příchozí na Tunel a vyberte vaše L2TP VPN připojení. Nastavte Zdrojovou adresu na adresní pool L2TP. Nastavte Typ dalšího hopu na Trunk a vyberte vhodný WAN trunk.
Tipy a řešení problémů – Obnovení výchozí konfigurace L2TP VPN
V některých případech může být potřeba obnovit výchozí nastavení L2TP VPN na stránce:
Konfigurace > VPN > L2TP VPNNastavení L2TP VPN klientů
L2TP přes IPSec je velmi populární a běžně podporovaný na mnoha platformách koncových zařízení s jejich vlastními vestavěnými klienty.
Zde jsou některé z nejběžnějších a jak je nastavit:
Windows/MacOS/Linux:
Pokročilé nastavení: Navázání L2TP VPN z LAN:
VPN je oblíbená funkce pro šifrování paketů při přenosu dat.
V současném designu ZyWALL/USG/ATP, pokud je VPN rozhraní založeno na WAN1 rozhraní, musí VPN požadavek přijít z WAN1 rozhraní (omezené rozhraní), jinak bude požadavek zamítnut. (např. VPN připojení přišlo z LAN1)
Nicméně v některých scénářích může uživatel potřebovat navázat VPN tunel nejen z WAN, ale také z LAN.
Tento scénář je také podporován ZyWALL/USG/ATP. Uživatelé mohou postupovat podle níže uvedeného postupu, aby vypnuli omezení VPN rozhraní, takže VPN připojení může následně přijít z WAN i LAN.
Verze firmwaru USG: 4.32 nebo vyšší
Konfigurace USG:
Pro povolení L2TP z LAN je potřeba přistoupit k zařízení přes terminálové připojení (Serial, Telnet, SSH) a zadat následující příkazy:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Restartujte zařízení.Pokročilé nastavení: Použití externích serverů pro autentizaci uživatelů připojujících se k L2TP VPN
Tato sekce popisuje, jak nakonfigurovat L2TP přes IPSec s MS-CHAPv2 na sérii USG/Zywall. Pro pokročilé implementace lze uživatelskou autentizaci s Active Directory (AD) servery implementovat na autentizaci L2TP/IPSec VPN.
Scénář:
AD doména: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Přejděte do Konfigurace>Objekt>AAA Server. Povolit autentizaci domény pro MSCHAP
Přihlašovací údaje jsou obvykle stejné jako u AD administrátora.
2. Přejděte do Systém>Název hostitele, zadejte název AD domény do pole Název domény
Tento krok umožní USG připojit se k AD doméně. Tunel bude úspěšně navázán pouze pokud tento krok funguje.
3. Ověřte, zda se USG připojilo k doméně. Přejděte do Active Directory Users and Computers>Computers
V tomto případě najdete, že usg110 je připojeno k doméně. Podrobné informace lze také zkontrolovat v záložce Vlastnosti > Objekt pravým kliknutím.
4. Upravte Doménovou zónu, zadejte název domény do Systém> DNS > Přesměrování doménové zóny (Domain Zone Forwarder).
Někdy může dojít k vypršení časového limitu během vytáčení tunelu, proto je potřeba nakonfigurovat následující nastavení, dotazovací rozhraní je tam, kde se nachází váš AD server.
5. Zkontrolujte nastavení připojení ve Windows.
Ujistěte se, že máte povolený (MS-CHAP v2) a zadán předem sdílený klíč v pokročilých nastaveních.
6. Zkontrolujte přihlašovací informace na stránce Monitor>, AD uživatel by měl být na seznamu aktuálních uživatelů, jakmile je tunel úspěšně navázán.
Uživatel je označen jako typ L2TP a informace o uživateli jsou externí uživatel.
Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.