[VPN] Zyxel USG FLEX/ATP VPN [Rychlé nastavení] - Konfigurace IKEv2 IPSec na Androidu (rychlé nastavení) s firewallem Zyxel

Vytvořeno 3.06. 2022 11:38 - Aktualizováno 3.04. 2025 08:17

Serhii Boiarynov

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Počínaje verzí ZLD 5.20 podporují zařízení USG FLEX a ATP předdefinovaná nastavení jak pro klienty SecuExtender IPSec, tak i pro klienty VPN, kteří nejsou klienty SecuExtender IPSec. V tomto článku vás provedeme použitím průvodce nastavením VPN pro vzdálený přístup (Quick Setup). Ukážeme si také, jak nakonfigurovat StrongSwan v systému Android pomocí skriptu rychlého nastavení, ručně nainstalovat certifikáty a nakonfigurovat StrongSwan pro vytvoření tunelu VPN pomocí IKEv2 s ověřováním EAP-MSCHAPv2.

Poznámka: Tento postup můžete použít i v případě, že byla síť L2TP VPN ve vašem systému Android verze 12+ odstraněna.

Mějte na paměti, že Po konfiguraci VPN pomocí Rychlého nastavení můžete nastavení vždy později upravit. Podle potřeby můžete například přidat nebo změnit skupiny nebo zahrnout další návrhy.

Mějte však na paměti, že ruční změny mohou ovlivnit fungování zařízení původně nakonfigurovaných pomocí skriptu rychlého nastavení.

Pokud budete muset znovu vstoupit do skriptu rychlého nastavení a začít od začátku - například při opětovném stažení skriptu - budou všechny dříve provedené ruční změny přepsány. Nemějte však obavy, tyto ruční změny můžete po spuštění rychlého nastavení jednoduše znovu použít.

Poznámka: IP adresy na obrázku jsou pouze příkladové a nejsou relevantní pro celý článek. Ve vašem případě se mohou lišit.

Konfigurace sítě VPN prostřednictvím rychlého nastavení

Přihlaste se do WEB GUI brány Firewall, přejděte do Rychlého nastavení a vyberte možnost Vzdálený přístup VPN a poté IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).

Tuto možnost použijte, pokud používáte klienta IPSec VPN Zyxel SecuExtender nebo operační systém počítače, který podporuje IPSec VPN s IKEv2 (klient VPN non-SecuExtender). Pomocí klienta Zyxel SecuExtender VPN můžete vytvořit pravidlo pro úplný tunel nebo rozdělený tunel VPN. Pravidlo Full Tunnel VPN můžete vytvořit pouze s klientem VPN jiným než SecuExtender.

Nakonfigurujte fond IP adres pro klienta.

Fond IP adres bude používat vybranou nepoužívanou podsíť v zařízení, aby se zabránilo nastavení stejné podsítě. Fond IP adres bude začínat na 192.168.50.1 Pokud v nastavení brány existuje podsíť 192.168.50.1, fond IP adres se automaticky změní.

Přidejte nebo vytvořte uživatele, kteří budou mít přístup k síti VPN. Po přidání uživatelů klepněte na tlačítko Další a zkontrolujte všechna nastavení, abyste se ujistili o jejich správnosti. Nyní si můžete stáhnout automatický skript pro konfiguraci sítě VPN nebo ji nakonfigurovat ručně pomocí certifikátu.

Po úspěšné konfiguraci sítě VPN můžete stáhnout a nainstalovat soubory skriptu do zařízení se systémem Android, aby se nastavení sítě VPN konfigurovalo automaticky.

Poznámka: Nastavení VPN pro klienty IPSec VPN bez aplikace SecuExtender nepodporují následující funkce:

Omezení šířky pásma pro nahrávání
Rozdělený tunel
Dvoufaktorové ověřování (Google Authenticator)

Podrobnosti o konfiguraci sítě VPN pro zařízení se systémem Windows a Apple naleznete v následujícím článku:

[Rychlé nastavení] - Konfigurace IKEv2 IPSec VPN pomocí průvodce s certifikátem v systému Android / iPhone iOS / Windows / MacOS.

Mějte prosím na paměti: Pro omezení chyb v konfiguraci a dalších možných problémů doporučujeme pro instalaci použít skript. Certifikát však můžete nainstalovat a nakonfigurovat také ručně přímo v koncovém zařízení. Podrobné pokyny pro ruční instalaci certifikátu a konfiguraci VPN naleznete v části "Ruční konfigurace certifikátu".

Konfigurace sítě StrongSwan VPN v systému Android pomocí skriptu rychlého nastavení

Stáhněte si aplikaci StrongSwan z obchodu Google Play
Odeslání skriptu do mobilního zařízení prostřednictvím e-mailu
Uložení skriptu do mobilního zařízení
Otevřete aplikaci StrongSwan
Klikněte na "PŘIDAT PROFIL VPN"

Import profilu VPN
Vyberte dříve uložený skript
Vyplňte uživatelské jméno a heslo a Uložit

Klikněte na vytvořený profil
Počkejte několik sekund na navázání spojení

Konfigurace StrongSwan VPN v systému Android instalací certifikátu a ručním vytvořením profilu VPN

Jak stáhnout certifikát

Přejděte do nabídky Konfigurace -> Objekt -> Certifikát, vyberte certifikát VPN a stisknutím tlačítka "Stáhnout" certifikát stáhněte.

Poznámka: Pole "Heslo" by mělo zůstat prázdné, protože certifikát crt potřebujeme stáhnout, abychom jej mohli používat v klientu StrongSwan v systému Android. Pokud heslo vyplníte, bude mít certifikát formát pfx; to pro náš případ není vhodné.

Pokud máte potíže s výběrem správného certifikátu ze seznamu, můžete požadovaný certifikát pro konkrétní VPN identifikovat kontrolou nastavení VPN.

Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest

V části "Ověřování" uvidíte, který certifikát je pro vaši VPN vybrán.

Nyní můžete tento certifikát připojit k e-mailu, který pošlete uživatelům, a vysvětlit, jak jej nainstalovat a připojit se k síti VPN.

Ruční konfigurace StrongSwan VPN v systému Android (bez skriptu)

Stáhněte si aplikaci StrongSwan z obchodu Google Play
Odešlete certifikát do mobilního zařízení e-mailem
Uložení certifikátu do mobilního zařízení (nepokoušejte se certifikát instalovat přímo z e-mailu; pouze jej uložte).
Otevřete aplikaci StrongSwan
Klikněte na tři žetony v pravém rohu a vyberte "Certifikát certifikační autority".

Vyberte možnost "Importovat certifikát".
Vyberte dříve uložený certifikát a klikněte na "Importovat certifikát".
Klikněte na tři žetony v pravém rohu a vyberte "CA Certificate".
Pokud byl certifikát úspěšně importován, zobrazí se zpráva "Certifikát byl úspěšně importován".