Tento článek ukazuje, jak konfigurovat L2TP přes IPSec v samostatném režimu pro řadu USG FLEX / ATP / VPN a jak konfigurovat Průvodce, stažení konfigurace, ruční konfigurace L2TP pomocí nabídky VPN brány a připojení, Co povolit v pravidlech brány firewall, jak povolit přístup k internetu pro L2TP (bez internetu), obnovení výchozí konfigurace, nastavení uživatelů VPN, vytvoření VPN z LAN, použití externích serverů pro ověřování uživatelů, řešení problémů pomocí protokolů, konfigurace MS-CHAPv2.

Tabulka obsahu

1. Konfigurace sítě L2TP VPN pomocí vestavěného průvodce

1.1 Přejděte na Průvodce

1.2 Vyberte scénář klienta L2TP přes IPSec

1.3 Nakonfigurujte konfiguraci VPN

1.4 Konfigurace ověřování uživatele

1.5 Uložení konfigurace a stažení konfigurace L2TP

2) Ruční nastavení sítě VPN L2TP/IPSec

2.1 Konfigurace brány VPN

2.2 Konfigurace připojení VPN

2.3 Konfigurace nastavení sítě L2TP VPN

2.4 Shrnutí nastavení protokolu L2TP

3) Konfigurace, které musíte mít

3.1 Povolit porty UDP 4500 a 500

3.2 Povolit přístup k internetu přes L2TP prostřednictvím zásad směrování

4. Tipy a řešení problémů

4.1 Obnovení výchozí konfigurace sítě L2TP VPN

4.2 Nastavení klientů L2TP VPN

4.3 Pokročilé nastavení: Vytvoření sítě L2TP VPN ze sítě LAN:

4.4 Pokročilé nastavení: Použití externích serverů k ověřování uživatelů připojujících se k síti L2TP VPN: 4.

4.5 L2TP přes IPSec VPN - virtuální laboratoř

4.6 Řešení problémů

4.7 Konfigurace protokolu L2TP MS-CHAPv2 na zařízeních USG/Zywall Series

Co je to L2TP přes IPSec VPN?

Než začneme s průvodcem konfigurací, pojďme se seznámit s VPN L2TP přes IPSec.

Protokol L2TP over IPSec kombinuje protokol L2TP (Layer 2 Tunneling Protocol), který zajišťuje spojení bod-bod, s protokolem IPSec. Samotný protokol L2TP neposkytuje žádné šifrování obsahu, a proto se tunel běžně staví nad šifrovacím protokolem 3. vrstvy IPsec, čímž vzniká takzvaná L2TP over IPSec VPN.

V této příručce se můžete seznámit se všemi informacemi potřebnými pro připojení L2TP VPN v zařízeních Firewall Zyxel, prozkoumat způsoby konfigurace (pomocí průvodce a ručně), nastavení klienta pro Windows, MAC a Linux; stejně jako pokročilejší nastavení pro ověřování, různé topologie a řešení problémů v zařízeních Firewall a klientských zařízeních. Definován je také přístup do virtuální laboratoře, kde je možné si prohlédnout naše nastavení, které lze využít i při nastavení vzdálené sítě VPN ve vašem zařízení.

1. Konfigurace sítě L2TP VPN pomocí vestavěného průvodce

1.1 Přejděte na Průvodce

a. Otevřetekartu Quick Setup a ve vyskakovacím okně vyberte možnost Remote Access VPN Setup:

1.2 Vyberte scénář klienta L2TP přes IPSec.

1.3 Konfigurace konfigurace VPN

Zadejte preferovaný Pre-Shared Key a vyberte odpovídajícírozhraní WAN.

1.4 Konfigurace ověřování uživatelů

1.5 Uložení konfigurace a stažení konfigurace L2TP

2) Ruční nastavení sítě VPN L2TP/IPSec

V následujícím textu jsou popsány kroky potřebné k ručnímu nastavení sítě VPN L2TP přes IPSec. Topologie a aplikace jsou stejné jako při použití Průvodce, liší se pouze kroky při konfiguraci.

2.1 Konfigurace brány VPN

Přejděte na následující cestu a vytvořte novou bránu VPN:

Stiskněte tlačítko "Zobrazit pokročilá nastavení". Zadejte název brány, vyberte rozhraní WAN a přidejte předsdílený klíč:

Nastavte "Negotiation Mode" na " Main " a přidejte následující (běžné) návrhy a potvrďte stisknutím tlačítka OK:

2.2 Konfigurace připojení VPN

Přejděte na následující cestu a vytvořte nové připojení VPN:

Stiskněte tlačítko "Zobrazit rozšířená nastavení". Zadejte název připojení, nastavte Application Scenario (Scénář aplikace) na Remote Access (Server Role) (Vzdálený přístup (Role serveru)) a vyberte dříve vytvořenou bránu VPN:

Pro místní zásady vytvořte nový objekt IPv4 Address (pomocí tlačítka"Create New Object") pro skutečnou IP adresu WAN a poté ji nastavte na připojení VPN jako místní zásady:

Nastavte zapouzdření na Transport a přidejte následující návrhy a potvrďte kliknutím na tlačítko OK:

2.3 Konfigurace nastavení L2TP VPN

Po dokončení nastavení IPSec je třeba nastavit nastavení L2TP. Přejděte na následující cestu:

V případě potřeby vytvořte nového místního uživatele (uživatele), který se bude moci připojit k síti VPN:

Vytvořte fond IP adres L2TP s rozsahem IP adres, které mají klienti používat při připojení k síti VPN L2TP/IPSec.

Poznámka: Tato adresa by neměla být v konfliktu s žádnou podsítí WAN, LAN, DMZ nebo WLAN, a to ani v případě, že nejsou používány.

2.4 Shrnutí nastavení protokolu L2TP

Nyní nastavíme nastavení L2TP:

• Nastavte připojení VPN vytvořené v části 2.2 Konfigurace připojení VPN
• IP Address Pool můžete nastavit objekt IP rozsahu L2TP
• Authentication Method (Způsob ověřování) můžete nastavit jako výchozí pro místní ověřování uživatelů.
• Allowed users (Povolení uživatelé) lze nastavit pro uživatele. Pokud je potřeba více uživatelů, lze na stránce Objekt vytvořit skupinu uživatelů.
• Server(y) DNS a server WINS lze vybrat jako samotné zařízení Firewall (Zywall) nebo vlastní IP adresu serveru.
• V případě potřeby přístupu k internetu přes zařízení Firewall při připojení k síti L2TP/IPSec VPN se ujistěte, že je povolena možnost "Allow Traffic Through WAN Zone" (Povolit provoz přes zónu WAN).
• Kliknutím na tlačítko "Apply" (Použít) uložte nastavení. Tímto je síť L2TP/IPSec VPN jako taková nyní připravena.

3) Konfigurace, které musíte mít

3.1 Povolení portů UDP 4500 a 500

Ujistěte se, že pravidla brány firewall povolují přístup portů UDP 4500 a 500 z WAN do Zywallu a že výchozí zóna IPSec_VPN má přístup k síťovým prostředkům. To lze ověřit v:

3.2 Povolení přístupu k internetu přes protokol L2TP prostřednictvím zásad směrování

Pokud je třeba, aby část provozu klientů L2TP směřovala do internetu, vytvořte trasu zásad pro odesílání provozu z tunelů L2TP ven přes trunk WAN.

Nastavte příchozí na Tunel a vyberte připojení L2TP VPN. Nastavte zdrojovou adresu jako fond adres L2TP. Nastavte Next-Hop Type na Trunk a vyberte příslušný WAN trunk.

Podrobnější informace o tomto kroku naleznete v článku:

Jak umožnit klientům L2TP surfovat přes USG

4. Tipy a řešení problémů

4.1 Obnovení výchozí konfigurace sítě L2TP VPN

V některých případech může být potřeba obnovit nastavení sítě L2TP VPN na stránce:

V případě potřeby použijte následující článek, který popisuje metody obnovení výchozího nastavení.

ZyWALL USG: Obnovení výchozí konfigurace VPN-L2TP

4.2 Nastavení klientů VPN L2TP

Protokol L2TP přes IPSec je velmi populární a běžně podporovaný mnoha platformami koncových zařízení s vlastními vestavěnými klienty.

Zde jsou uvedeny některé z těch nejběžnějších a návod na jejich nastavení:

• Windows/MacOS/Linux:
  • Nebula VPN - Konfigurace protokolu L2TP na bráně Nebula Firewall pomocí systémů Android, iOS, Windows a Linux Ubuntu

4.3 Pokročilé nastavení: Vytvoření sítě L2TP VPN ze sítě LAN:

VPN je oblíbená funkce pro šifrování paketů při přenosu dat.

V současném provedení systému ZyWALL/USG/ATP, pokud je rozhraní VPN založeno na rozhraní WAN1, musí požadavek na VPN pocházet z rozhraní WAN1 (rozhraní omezeno), jinak bude požadavek odmítnut. (např. připojení VPN přišlo z LAN1).

V některých scénářích však mohou uživatelé potřebovat vytvořit tunel VPN nejen z rozhraní WAN, ale také z LAN.

Tento scénář je také podporován systémem ZyWALL/USG/ATP. Uživatelé mohou podle níže uvedeného pracovního postupu vypnout omezení rozhraní VPN, aby připojení VPN mohlo následně přicházet z obou sítí WAN/LAN.

Topologie:

Verze firmwaru: USG

4.32 nebo vyšší

Konfigurace USG:

Pro zapnutí L2TP ze sítě LAN je třeba přistoupit k zařízení pomocí terminálového připojení (Serial, Telnet, SSH) a zadat následující příkazy:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Restartujte zařízení.

4.4 Pokročilé nastavení: Použití externích serverů k ověřování uživatelů připojujících se k síti L2TP VPN

Tato část popisuje, jak nakonfigurovat L2TP přes IPSec s MS-CHAPv2 na zařízeních řady USG/Zywall. U pokročilých implementací lze na ověřování L2TP/IPSec VPN implementovat ověřování uživatelů pomocí serverů Active Directory (AD).

Scénář:

Doména AD: (10.214.30.72)

USG110: 10.214.30.103

1. Přejděte na Configuration>Object>AAA Server. Povolte ověřování domény pro MSCHAP

Pověření je obvykle stejné jako u správce AD.

2. Přejděte naSystem>Host Name,zadejte dopole Domain Name doménu AD.

Tímto postupem se zařízení USG připojí k doméně AD. Tunel bude úspěšně vytvořen pouze tehdy, pokud tato část funguje.

3. Zkontrolujte, zda se USG připojil k doméně. Přejděte naadresu Uživatelé a počítače služby Active Directory>Počítače

V tomto případě zjistíte, že se počítač usg110 připojil k doméně. Také můžete zkontrolovat podrobné informace na kartě Vlastnosti>Objekt kliknutím pravým tlačítkem myši.

4. Upravte doménovou zónu, název domény vložte do nabídky Systém> DNS >Domain Zone Forwarder.

Někdy se může stát, že během vytáčení tunelu dojde k výpadku, proto je třeba nakonfigurovat následující nastavení, Query interface is where your AD server is located.

5. Zkontrolujte nastavení připojení v systému Windows.

Ujistěte se, že jste povolili (MS-CHAP v2 ) a zadali předsdílený klíč v pokročilém nastavení.

6. Zkontrolujte přihlašovací údaje na stránce Monitor>, Uživatel AD by měl být v seznamu aktuálních uživatelů, jakmile se tunel úspěšně vytočí.

Můžete zjistit, že typ uživatele je L2TP a informace o uživateli je externí uživatel.

V následujícím článku jsou uvedeny podrobnosti o podporovaných ověřeních, která jsou podporována našimi firewally s L2TP/IPSec VPN:

ZyWALL USG - Podporované ověřování přes L2TP

4.5 L2TP přes IPSec VPN - virtuální laboratoř

Neváhejte se podívat na naši virtuální laboratoř pro nastavení L2TP VPN na našich zařízeních Firewall. Díky této virtuální laboratoři se můžete podívat na správnou konfiguraci pro srovnání při nastavování vašeho prostředí:

Virtuální laboratoř - Koncová síť VPN (L2TP)