Legacy VPN - Konfigurer konfigurationsprovisionering på USG-serien

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Oversigt over VPN

Et VPN (virtuelt privat netværk) giver sikker kommunikation mellem sites uden udgifter til lejede linjer. VPN'er bruges til at transportere trafik over internettet på et usikkert netværk, der bruger TCP/IP-kommunikation. En VPN med fjernadgang (klient-til-site) giver medarbejdere på rejse eller telearbejdere sikker adgang til virksomhedens netværksressourcer. Der er flere typer VPN-protokoller/teknologier, der kan bruges til at etablere et sikkert link til virksomhedens netværk: L2TP, PPTP, SSL, OpenVPN osv. Denne vejledning vil henvise til IPSec-protokollen for at etablere en sikker VPN-tunnel mellem eksterne værter (brugere, der er forbundet til internettet uden for virksomhedens netværksstruktur) og ZyWALL-routeren. Tredjeparts IPSec-software er påkrævet for at etablere VPN-forbindelsen, da de nuværende operativsystemer mangler en indbygget IPSec-klient.

Scenario

1. VPN-gateway (fase 1)
2. VPN-forbindelse (fase 2)
3. Konfigurationsforsyning
4. ZyWALL VPN-klient
5. Test og fejlfinding

VPN-gateway (fase 1)

Log ind på ZyWALL's webkonfigurationsside, og gå til menuen Configuration → VPN → IPSec VPN. I IPSec VPN-menuen skal du klikke på fanen VPN Gateway for at tilføje fase 1 i tunnelopsætningen. Klik på knappen Add for at indsætte en ny regel. Klik på knappen Show Advanced Settings øverst til venstre i vinduet for at se alle indstillingerne i menuen.

  • Markér afkrydsningsfeltet for at aktivere VPN-reglen, og angiv et navn.
  • Vælg den WAN-grænseflade, du vil bruge til at forbinde VPN'en, under My Address dropdown-feltet.
  • Sørg for, at Peer Gateway Address er indstillet til "Dynamisk adresse".
  • Indtast/opret en "Pre-Shared Key" til VPN-godkendelse
  • Under Phase 1 Settings, sæt Negotiation Mode dropdown til at bruge "Main" mode
  • Indstil det "Encryption" og "Authentication" forslag, du ønsker at bruge (Krypteringsmuligheder er DES, 3DES, AES128, AES192, AES256) (Godkendelsesmuligheder er MD5, SHA1, SHA256, SHA512)
  • Vælg Diffie-Hellman-nøglegruppen (valgmulighederne er DH1, DH2, DH5)

    CautionBemærk: Forsigtighedssymbolet til højre vises på områder, hvor input er påkrævet, eller hvor der er en fejl i indtastningen, såsom ulovlige/ikke-understøttede tegn.
    Picture1.png

VPN-forbindelse (fase 2)

Nu hvor reglen for VPN-gateway (fase 1) er oprettet, skal du klikke på fanen VPN Connection for at indsætte fase 2-reglen for VPN-tunnelen. Klik på knappen Add for at indsætte en regel. Klik på knappen Show Advanced Settings øverst til venstre i vinduet for at se alle indstillingerne i menuen.

  • Markér afkrydsningsfeltet for at aktivere reglen, og giv den et navn.
  • Indstil VPN Gateway applikationsscenarie til at bruge "Remote Access (Server Role)"
  • For applikationsscenariet skal du indstille rullemenuen VPN Gateway til at bruge den fase 1-politik, der blev oprettet i det foregående trin. (RoadWarrior i dette eksempel)
  • Rul ned til Policy og indstil Local Policy til at bruge adresseobjektet "LAN1_SUBNET". Dette vil give VPN-brugeren adgang til alle enheder, der er forbundet til LAN1.
  • Active Protocol under Phase 2 Setting skal indstilles til "ESP".
  • Indkapslingen er "Tunnel"
  • Indstil det "Encryption" og "Authentication" forslag, du ønsker at bruge (Encryption options are DES, 3DES, AES128, AES192, AES256) (Authentication options are MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) er et ekstra krypteringsniveau. Det er ikke nødvendigt at aktivere det, men hvis du ønsker at bruge det ekstra krypteringsniveau, er valgmulighederne None, DH1, DH2 og/eller DH5.
  • Under Related Settings, skal du sørge for, at Zone er indstillet til "IPSec_VPN".

    Picture2.png

Nu hvor fase 1 og fase 2 af VPN-reglen er afsluttet, skal du fjerne markeringen i feltet "Use Policy Route to control dynamic IPSec rules". Hvis du fjerner markeringen i dette felt, kan ZyWALL automatisk oprette ruter til tilsluttede VPN-brugere.
Picture3.png

Provisionering af konfiguration

Visse VPN-klienter såsom "ZyWALL IPSec VPN Client" og "TheGreenBow VPN Client" har en provisioneringsmulighed, der gør det muligt for dem at downloade de indstillinger, du har konfigureret VPN-regel i stedet for at skulle konfigurere klienten manuelt. For at opsætte VPN-provisionering for RoadWarriors dynamiske VPN-regel, har vi lige oprettet Configuration Provisioning fanen i IPSec VPN-menuen(Configuration → VPN → IPSec VPN).

Før vi sætter provisioneringen op, skal vi oprette en brugerkonto for at tillade download af indstillinger. Gå til Configuration → Object → User/Group og klik på knappen Add for at indsætte en konto på "User"-niveau. Administrative konti kan ikke bruge downloadmuligheden for konfigurationsprovisionering.
Picture4.png

Nu hvor brugerkontoen er oprettet, skal du gå til Configuration → VPN → IPSec VPN og klikke på Configuration Provisioning fanen for at indsætte en regel, der tillader download af RoadWarrior VPN-indstillingerne VPN-klienten.

  • Aktivér menuen VPN Configuration Provisioning
  • Klik på knappen Add for at oprette en regel, der tillader provisionering af "RoadWarrior_Connection" VPN Connection for "VPN-user" Allowed User. Sørg for, at reglen er aktiveret, og klik på Apply for at gemme indstillingerne.
    Picture5.png

ZyWALL VPN-klient

For at downloade VPN-konfigurationens provisioneringsindstillinger, der er konfigureret på routeren, skal du åbne klientsoftwaren, klikke på menuen Configuration og vælge "Get from Server".
Picture6.png

Indtast den offentlige IP-adresse, domænenavn eller DDNS-navn, der er knyttet til ZyWALL-routeren. Klienten downloader indstillingen via SSL. Som standard er ZyWALL programmeret til at bruge port 443 til SSL. Hvis du har ændret porten, skal du angive den nye SSL-port. Indtast det brugernavn og den adgangskode, der er knyttet til provisioneringskonfigurationen, og klik på Next.

Picture7.png
Bemærk: Dette fungerer kun, når fjernstyring er aktiveret på ZyWALL-routeren. Hvis fjernstyring er deaktiveret, vil konfigurationsindstillingsfunktionen ikke kunne hente VPN-konfigurationsindstillingerne automatisk fra ZyWALL-routeren.

Klienten sender en anmodning om at downloade VPN-konfigurationsindstillingerne til ZyWALL-routeren.
Picture8.png

Nu, hvor konfigurationen er downloadet, kan du etablere en VPN-tunnel mellem din computer og ZyWALL-routeren. Højreklik på fase 2-delen af konfigurationen, og vælg "Open Tunnel" for at starte VPN-dialeren.
Picture9.png

Hvis du vil opsætte fuld eller delt tunnelering til VPN-trafikken, skal du bare kigge her:

VPN Fuld/Split Tunneling

Test og fejlfinding

Forsøg at etablere en VPN-forbindelse til routeren. Når forbindelsen er etableret, så prøv at pinge eller tilgå ressourcer fra det eksterne netværk.

  1. Hvis du ikke kan få trafik gennem VPN-tunnelen:
  • Deaktiver firewallen på fjernværten for at sikre, at den ikke blokerer anmodningen.
  • Forsøger du at få adgang til ressourcer ved hjælp af computerens værtsnavn? Prøv at bruge den IP-adresse, der er tildelt computeren i stedet. Brug af et computer-værtsnavn kræver NetBIOS broadcast-protokollen for at løse computerens IP-adresse; IPSec-standarden understøtter ikke broadcasts. Da IPSec VPN-standarden ikke understøtter broadcasts, kan vi ikke garantere, at brug af værtsnavne i stedet for IP-adresser vil fungere. En workaround for denne begrænsning i IPSec-standarden ville være at bruge en WINS-server.
  • Deaktiver ZyWALL-routerens firewall.
  • Sørg for, at der ikke er nogen IP-konflikter. Hvis ZyWALL-netværket er konfigureret til at bruge 192.168.1.0/24-netværket, og fjernbrugeren også bruger det samme IP-schema, vil trafikken ikke blive dirigeret korrekt gennem VPN-tunnelen.
  • Tjek værtsnetværkets gateway, hvis den lokale router (ikke ZyWALL) ikke har VPN-pass-through aktiveret eller de nødvendige porte åbnet, fungerer VPN'en muligvis ikke korrekt.
  • Kontakt teknisk support for yderligere hjælp.
  • VPN-tunnelen vil ikke etablere/forbinde:
  • Sørg for, at din netværksrouter tillader IPSec-portene (UDP:500 og UDP:4500), eller sørg for at aktivere VPN-pass-through, hvis routeren understøtter denne mulighed. Det er muligt at omgå routeren for at sikre, at den ikke er årsag til problemet.
  • Sørg for, at din internetudbyder ikke blokerer VPN-porte; nogle udbydere vil blokere VPN-porte på deres side.
  • Kontrollér, at din computers firewall tillader kommunikation fra VPN-klienten.
  • Opdater driverne til dine NIC-kort (Ethernet og/eller Wi-Fi).
  • Tjek VPN-indstillingerne på ZyWALL og sørg for, at de matcher softwareklientens konfiguration.
  • Kontakt teknisk support for yderligere hjælp.

Video:

+++ Du kan købe licenser til dine Zyxel VPN-klienter (SSL VPN, IPsec) med øjeblikkelig levering med 1 klik: Zyxel Webstore +++

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
3 ud af 7 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.