[VPN] Zyxel USG FLEX/ATP VPN [Rychlé nastavení] - Konfigurace IKEv2 IPSec VPN pomocí průvodce s certifikátem v systému Android / iPhone iOS / Windows / MacOS

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

V této příručce se dozvíte, jak nakonfigurovat IPsec VPN IKEv2 pomocí průvodce nastavením (Quick Setup) na firewallu Zyxel řady VPN/USG FLEX/ATP a jak se k němu připojit na zařízeních se systémem Android, iPhone (iOS), počítačích se systémem Windows a Mac pomocí aplikace Zyxel SecuExtender i nativního klienta. Budeme se zabývat také specifickými úvahami o konfiguraci VPN na zařízeních se systémem iOS, mobilních zařízeních s verzí 18 a vyšší a počítačích s firmwarem Sonoma nebo novějším.

Poznámka: IP adresy na obrázku jsou pouze příkladové a nejsou relevantní pro celý článek. Ve vašem případě se mohou lišit.

Konfigurace sítě VPN prostřednictvím rychlého nastavení

Přihlaste se do WEB GUI brány Firewall, přejděte do Rychlého nastavení a vyberte možnost Vzdálený přístup VPN a poté IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).

Tuto možnost použijte, pokud používáte klienta IPSec VPN Zyxel SecuExtender nebo operační systém počítače, který podporuje IPSec VPN s IKEv2 (klient VPN non-SecuExtender). Pomocí klienta Zyxel SecuExtender VPN můžete vytvořit pravidlo pro úplný tunel nebo rozdělený tunel VPN. Pravidlo Full Tunnel VPN můžete vytvořit pouze s klientem VPN jiným než SecuExtender.

Nakonfigurujte fond IP adres pro klienta.

Fond IP adres bude používat vybranou nepoužívanou podsíť v zařízení, aby se zabránilo nastavení stejné podsítě. Fond IP adres bude začínat na 192.168.50.1 Pokud v nastavení brány existuje podsíť 192.168.50.1, fond IP adres se automaticky změní.

Přidejte nebo vytvořte uživatele, kteří budou mít přístup k síti VPN. Po přidání uživatelů klepněte na tlačítko Další a zkontrolujte všechna nastavení, abyste se ujistili o jejich správnosti. Nyní si můžete stáhnout automatický skript pro konfiguraci sítě VPN nebo ji nakonfigurovat ručně pomocí certifikátu.

Po úspěšné konfiguraci sítě VPN si můžete stáhnout a nainstalovat soubory skriptu do zařízení se systémem Windows, MacOS, iOS nebo Android a automaticky konfigurovat nastavení sítě VPN.

Poznámka: Nastavení VPN pro klienty IPSec VPN, které nejsou součástí aplikace SecuExtender, nepodporují následující funkce:

  • Omezení šířky pásma pro nahrávání
  • Rozdělený tunel
  • Dvoufaktorové ověřování (Google Authenticator)

Důležité: Uživatelé se systémy iOS 18 nebo novějšími a Mac OS 14 Sonoma nemohou skript používat a musí jej nakonfigurovat ručně. V tomto článku v části nastavení pro iPhone a MacOS najdete podrobnější popis potřebných kroků.

Mějte na paměti, že: V případě, že se jedná o systém iPhone, je nutné, abyste se v něm nacházeli: Pro minimalizaci chyb v konfiguraci a dalších možných problémů doporučujeme pro instalaci použít skript. Certifikát však můžete nainstalovat a nakonfigurovat také ručně přímo v koncovém zařízení. Podrobné pokyny pro ruční instalaci certifikátu a konfiguraci VPN najdete v části "Ruční konfigurace certifikátu".

Použití skriptu VPN v systému Windows

Uložte archiv se skriptem do počítače, rozbalte složku a poté spusťte skript pod právy správce (jedná se o soubor s příponou bat).

Po úspěšné instalaci přejděte do nastavení VPN v počítači. Tam najdete vytvořené připojení VPN. Klepněte na tlačítko připojit. Dále zadejte uživatelské jméno a heslo.

Použití skriptu VPN v systému Android

Uživatelé systému Android si nainstalujte program StrongSwan a postupujte podle tohoto článku:

Použití skriptu VPN na iPhonu

Důležité: Uživatelé s iOS 18 nebo novějším a Mac OS 14 Sonoma nemohou skript používat a musí jej nakonfigurovat ručně. Důvodem jsou zvýšené bezpečnostní požadavky společnosti Apple na šifrování IKEv2 VPN. Chcete-li tento problém vyřešit, musíte provést změny Skupiny klíčů a Návrh v Nastavení fáze 1 a Nastavení fáze 2 dříve vytvořeného připojení VPN pomocí Rychlého nastavení (Wizzard).

Chcete-li pokračovat, vraťte se do webového grafického rozhraní brány firewall. V levé nabídce vyberte položku "Konfigurace" a přejděte na položku "VPN". Otevřete nastavení konfigurace příslušného připojení VPN a přidejte návrh s následujícími nastaveními v části Fáze 2 Nastavení :

Návrh

  • Šifrování: AES256
  • Autentizace: A256: SHA256.

Dále přejděte na kartu "VPN Gateway ", kde musíme aktualizovat nastavení fáze 1 následujícím způsobem:

Návrh

  • Šifrování: AES256
  • Ověřování: SHA256

Skupina klíčů: DH2 DH14 DH19

Po provedení změn je nezapomeňte použít kliknutím na tlačítko "Apply" (Použít).

Dalším krokem je stažení certifikátu pro naše připojení VPN a jeho instalace do zařízení.

Jak stáhnout certifikát

Přejděte do nabídky Konfigurace -> Objekt -> Certifikát, vyberte certifikát VPN a stisknutím tlačítka "Stáhnout" certifikát stáhněte.

Nyní se můžete rozhodnout, zda chcete certifikát exportovat s heslem, aby byl bezpečný a nedostal se do nepovolaných rukou, nebo zda jej necháte prázdný, abyste certifikát exportovali bez hesla a nainstalovali.

Nyní můžete tento certifikát přiložit k e-mailu, který pošlete uživatelům, a vysvětlit jim, jak jej nainstalovat a připojit se k síti VPN.

iPhone se systémem iOS 18 a vyšším: Ruční instalace certifikátu a konfigurace VPN

Nyní přejděme k nastavení v samotném iPhonu. Stáhněte si certifikát zaslaný například poštou do iPhonu.

Poznámka: Tyto změny nemají vliv na existující připojení k VPN, bez ohledu na to, jak byla vytvořena, ať už pomocí "Rychlého nastavení", nebo ručně.

Odeslání certifikátu poštou, např. V telefonu Iphone otevřete poštovní zprávu obsahující certifikát a spusťte ji.

Po dokončení certifikátu se v nastavení zařízení objeví nový profil. Chcete-li jej najít, přejděte do nastavení telefonu Iphone.

S klikněte na položku "Stažený profil": Klikněte na "Instalovat": Klikněte na "Instalovat":
Nyní máte ověřený certifikát: Přejděte do Nastavení -> VPN a zařízení Klikněte na "Přidat VPN"
Do polí "Server" a "Remote ID" zadejte IP adresu WAN vašeho firewallu a uživatelské jméno a heslo. Navažte spojení a počkejte, až se zobrazí stav "Připojeno", obvykle to trvá několik sekund.

Systém Windows 10 a vyšší: Ruční instalace certifikátu a konfigurace sítě VPN

Dvakrát klikněte na certifikát levým tlačítkem myši a v nově otevřeném okně klikněte na tlačítko "Otevřít". Klikněte na tlačítko "Instalovat certifikát"

Můžete také zkusit dvakrát kliknout na certifikát, kliknout na "Instalovat certifikát..." a kliknout na "Další".

Vyberte, zda bude certifikát dostupný všem uživatelům počítače, nebo pouze aktuálnímu uživateli. Klikněte na tlačítko "Umístit všechny certifikáty do následujícího úložiště" a vyberte "Důvěryhodné kořenové certifikační autority".
Téměř na místě stiskněte tlačítko "Dokončit" Pak to vezmeme s varováním a je hotovo!

Nyní provedeme konfiguraci samotného profilu VPN. Chcete-li to provést na svém počítači, přejděte do sekce VPN.

Použijte vyhledávání ve Windows a, vyhledejte VPN a z vyhledávacího řádku Windows vyberte "Nastavení VPN": V novém okně, které se otevře, klikněte na "Přidat připojení VPN".

MAC OS 14 Sonoma a vyšší: Ruční instalace certifikátu a konfigurace VPN

Dvakrát klikněte na certifikát a vyberte "keychain" "system". Klikněte na symbol WiFi a na "Nastavení sítě". Poté klikněte na znaménko "+" pod připojením WiFi.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Klikněte na symbol WiFi a "Nastavení sítě". Poté klikněte na znak "+" pod svými WiFi připojeními a Vytvořit IKEv2 VPN, jak je uvedeno níže.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Vyplňte IP adresu / FQDN, Remote ID a poté klikněte na nastavení ověřování níže. Vyberte uživatelské jméno a zadejte své uživatelské jméno a heslo.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender přizpůsobuje princip nulové důvěryhodnosti a pomáhá IT oddělení ověřovat identitu uživatelů a vynucuje kontrolu vstupu pro zvýšení bezpečnosti. K používání nástroje SecuExtender je nutná licence . Můžete si jej však stáhnout zdarma a vyzkoušet bezplatnou zkušební verzi kliknutím zde: SecuExtender VPN Client

Tento článek se bude zabývat konfigurací aplikace Zyxel SecuExtender na příkladu klienta pro systém Windows. Postup pro systém MacOS je však až na drobný rozdíl v designu aplikace totožný.

Otevřete aplikaci a v levém horním rohu klikněte na položku "Configuration" (Konfigurace). V rozevírací nabídce najdete 2 položky "Get from Server" (Získat ze serveru) a "Wizard" (Průvodce).

Obě možnosti jsou velmi jednoduché. Při výběru možnosti "Získat ze serveru" je třeba znát jméno nebo adresu a uživatelské jméno a heslo uživatele VPN. V případě Průvodce můžete během konfigurace provádět další změny.

Stažení profilu VPN proběhlo úspěšně. Nyní přejděte do hlavní nabídky a v seznamu vlevo uvidíte nový profil VPN. Poklepejte na něj vlevo a zadejte své uživatelské jméno a heslo. Hotovo. Připojení je úspěšné!

Upozorňujeme, že "Kontrola certifikátu" by měla být vypnuta, pokud používáte výchozí a vlastnoručně podepsanou certifikační autoritu.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 8 z 22
Sdílet