VPN - Konfigurer IKEv2 VPN med certifikat ved hjælp af SecuExtender IPSec VPN Client

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Denne artikel viser dig, hvordan du konfigurerer IKEv2 IPsec VPN med certifikat ved hjælp af SecuExtender på både Windows og MacOS. Den viser dig, hvordan du konfigurerer VPN på firewallen (USG FLEX / ATP / VPN Series i stand-alone / on-premise mode), og hvordan du slipper af med fejlen TGBErrorCodeMgrNotCreated.description på MacOS.

Bemærk: Til IOS 17 bruges en nøglegruppe: DH19 skal bruges

Video:

Indholdsfortegnelse

A) Konfigurer IKEv2 på firewallen

B) Konfigurer SecuExtender-klienten

C) Konfigurer på MacOS

A) Konfigurer IKEv2 på firewallen

  1. Log ind på enheden ved at indtaste dens IP-adresse og legitimationsoplysningerne for en administratorkonto (som standard er brugernavnet "admin" og adgangskoden "1234").

  2. Naviger til Configuration > Object > Address/Geo IP, klik på "Add" for at oprette et objekt af "Address Type" "Range". Navngiv det "IKEv2_Pool" og indtast et IP-område, der ikke overlapper med dine undernetværk
    2.PNG.

  3. Opret et andet IP-adresseobjekt for at give IKEv2-klienterne adgang til internettet gennem VPN-tunnelen senere. Vælg typen "Range", navngiv det for eksempel "All_Traffic", indtast "0.0.0.0" for "Starting IP Address" og "255.255.255.255" for "End IP Address".
    3.PNG

  4. Naviger til Konfiguration > Objekt > Bruger/Gruppe, og klik på "Tilføj" for at oprette nye brugere.
    6.PNG

  5. Klik på fanen "Gruppe", og klik på "Tilføj" for at oprette en "IKEv2_Users"-gruppe, og tilføj de nødvendige brugere ved at markere dem og klikke på pilen, der peger mod højre.
    8.PNG

  6. Naviger til Configuration > Object > Certificate, klik på "Add", vælg "Host Domain Name", indtast domænenavnet eller DynDNS, rul ned til "Extended Key Usage", og sæt kryds i de tre afkrydsningsfelter "Server Authentication", "Client Authentication" og "IKE Intermediate", og klik på "OK".
    8.PNG

  7. Dobbeltklik på dette certifikat, og rul ned for at bruge "Export Certificate Only".
    9.PNG

  8. Naviger til Konfiguration > Netværk > VPN > IPSec VPN, og klik på "Tilføj", klik på "Vis avancerede indstillinger", sæt kryds i "Aktiver", vælg "IKEv2", vælg "Dynamisk adresse" under "Peer Gateway-adresse", sæt kryds i "Certifikat" under "Godkendelse", og vælg dit tidligere oprettede certifikat.
    10.PNG


  9. Rul ned for at vælge de ønskede forslag under "Phase 1 Settings", sæt kryds i "Enable Extended Authentication Protocol", vælg "Server Mode", lad "AAA Method" stå på "default", og vælg din tidligere oprettede "IKEv2_Users"-gruppe under "Allowed Users", før du til sidst klikker på "OK".
    11.PNG

  10. Åbn nu fanen "VPN Connection" ovenfor, klik på "Add", klik på "Show Advanced Settings", sæt flueben i "Enable", vælg "Remote Access (Server Role)" for "Application Scenario", vælg din tidligere oprettede VPN-gateway for "VPN Gateway", under "Local Policy" vælg det tidligere oprettede IP-områdeobjekt "All_Traffic".

  11. Sæt kryds i "Enable Configuration Payload", vælg objektet "IKEv2_Pool" som din "IP Address Pool" (DNS-serverne er valgfri), vælg de ønskede forslag til VPN-forbindelsen, og klik til sidst på "OK" for at afslutte konfigurationen af VPN-forbindelsen.
    12.PNG
    13.PNG

  12. Naviger nu til Configuration > Object > Network > Routing, klik på "Add", sæt flueben i "Enable", vælg "Tunnel" for "Incoming", vælg den tidligere oprettede IPSec-forbindelse for "Please select one member", vælg "IKEv2_Pool" for "Source Address" og vælg til sidst dit WAN Interface eller WAN Trunk som "Next Hop", før du til sidst klikker på "OK".
    14.PNG

B) Konfigurer SecuExtender-klienten

  1. Åbn IPSec-klienten, højreklik på mappen "IKE V2" i venstre side for at tilføje en ny "Ikev2Gateway", indtast det domænenavn, du også indtastede i certifikatet på USG'en for "Remote Gateway", og vælg de matchende forslag under "Cryptography".
    mceclip1.png
  2. Højreklik på VPN-gatewayen i venstre side for at tilføje VPN-forbindelsen, vælg "Address type" "Subnet Address", indtast subnet-adressen og subnet-masken for det lokale subnet på USG-siden, som klienterne skal have adgang til, og vælg de matchende forslag til VPN-forbindelsen.
    mceclip0.png

  3. Hvis "Child SA Life Lifetime" ikke stemmer overens med den, der er konfigureret på USG'en, skal du justere den, før du endelig åbner tunnelen, ved at højreklikke igen på VPN-forbindelsen i venstre side.

C) Kan ikke importere .tgb-fil på MacOS

Hvis du får denne TGB-filfejl "TGBErrorCodeMgrNotCreated.description" på din MacOS, er det relateret til privatlivsindstillinger i MacOS. Du skal tillade SecuExtender at blive betroet i dit operativsystem.

mceclip0.png

Naviger til indstillinger -> Privatliv og sikkerhed -> Sikkerhed, og vælg "App Store og identificerede udviklere". Så skulle "SecuExtender VPN Client" dukke op, og du skal trykke på "Allow":

mceclip1.png

Nu kan du importere .tgb-filen med succes til SecuExtender Client på MacOS for at få din konfiguration.

+++ Du kan købe licenser til dine Zyxel VPN-klienter (SSL VPN, IPsec) med øjeblikkelig levering med 1 klik: Zyxel Webstore +++

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
3 ud af 11 fandt dette nyttigt
Del