Vigtig meddelelse: |
Denne artikel viser, hvordan man konfigurerer L2TP over IPSec i standalone-tilstand for USG FLEX / ATP / VPN-serien, og hvordan man konfigurerer guiden, downloader konfigurationen, konfigurerer L2TP manuelt ved hjælp af VPN-gateway & forbindelsesmenu, hvad der skal tillades i firewallreglerne, hvordan man aktiverer internetadgang for L2TP (intet internet), gendanner standardkonfiguration, opsætter VPN-brugere, opretter en VPN fra LAN, bruger eksterne servere til at godkende brugere, fejlfinding ved hjælp af logfiler, konfigurerer MS-CHAPv2.
Indholdsfortegnelse
1. Konfigurer L2TP VPN ved hjælp af den indbyggede guide
1.2 Vælg L2TP over IPSec-klientscenariet
1.3 Konfigurer VPN-konfigurationen
1.4 Konfigurer brugergodkendelse
1.5 Gem konfigurationen og download L2TP-konfigurationen
2) Manuel opsætning af L2TP/IPSec VPN
2.2 Konfigurer VPN-forbindelse
2.3 Konfigurer L2TP VPN-indstillinger
2.4 Opsummer L2TP-indstillingerne
3) Must-Have-konfigurationer
3.1 Tillad UDP-porte 4500 og 500
3.2 Aktivér internetadgang via L2TP via politikruter
4. Tips og fejlfinding
4.1 Gendannelse af L2TP VPN-standardkonfiguration
4.2 Opsætning af L2TP VPN-klienter
4.3 Avanceret opsætning: Etablering af en L2TP VPN fra LAN:
4.5 L2TP over IPSec VPN - virtuelt laboratorium
4.7 Konfigurer L2TP MS-CHAPv2 på USG/Zywall-serien
Hvad er L2TP over IPSec VPN?
Før vi går i gang med konfigurationsguiden, skal vi lige have en introduktion til L2TP over IPSec VPN.
L2TP over IPSec kombinerer Layer 2 Tunneling Protocol (L2TP, som giver en punkt-til-punkt-forbindelse) med IPSec-protokollen. L2TP alene giver ikke nogen kryptering af indhold, og derfor bygges tunnelen ofte over en Layer 3-krypteringsprotokol IPsec, hvilket resulterer i den såkaldte L2TP over IPSec VPN.
I denne håndbog kan du udforske alle de oplysninger, der er nødvendige for L2TP VPN-forbindelser i Zyxel Firewall-enhederne, udforske konfigurationsmetoderne (via guiden og manuelt), klientopsætningen til Windows, MAC og Linux; samt mere avancerede opsætninger til godkendelse, forskellige topologier og fejlfinding på Firewall-enhederne og klientenhederne. Der er også defineret virtuel laboratorieadgang, hvor det er muligt at gennemgå vores opsætning, som også kan bruges, når du opsætter fjern-VPN på din enhed.
1. Konfigurer L2TP VPN ved hjælp af den indbyggede Wizard
1.1 Naviger til guiden
a. Åbnfanen Quick Setup , og vælg Remote Access VPN Setup i pop op-vinduet:
1.2 Vælg L2TP over IPSec-klientscenariet
1.3 Konfigurer VPN-konfiguration
Indtast en foretrukken Pre-Shared Key , og vælg den tilsvarende WAN-grænseflade.
1.4 Konfigurer brugerautentificering
1.5 Gem konfigurationen og download L2TP-konfigurationen
Configuration > Security Policy > Policy Control
2) Opsætning af L2TP/IPSec VPN manuelt
I det følgende beskrives de trin, der er nødvendige for manuelt at konfigurere en L2TP over IPSec VPN. Topologien og applikationen er den samme, som når du bruger guiden, den eneste forskel er trinene i konfigurationen.
2.1 Konfigurer VPN-gateway
Gå til følgende sti, og opret en ny VPN-gateway:
Configuration > VPN > IPSEC VPN > VPN Gateway
Tryk på "Vis avancerede indstillinger". Indtast et navn til gatewayen, vælg dit WAN-interface, og tilføj en forhåndsdelt nøgle:
Indstil Negotiation Mode til Main, og tilføj følgende (almindelige) forslag, og bekræft ved at klikke på OK:
2.2 Konfigurer VPN-forbindelse
Gå til følgende sti, og opret en ny VPN-forbindelse:
dyn_repppp_2Tryk på "Vis avancerede indstillinger". Indtast et navn på forbindelsen, indstil Application Scenario til Remote Access (Server Role), og vælg den VPN-gateway, du oprettede før:
For den lokale politik skal du oprette et nyt IPv4-adresseobjekt (fra knappen"Opret nyt objekt") til din rigtige WAN-IP og derefter indstille den til VPN-forbindelsen som lokal politik:
Indstil Encapsulation til Transport, og tilføj følgende forslag, og bekræft ved at klikke på OK:
2.3 Konfigurer indstillinger for L2TP VPN
Nu hvor IPSec-indstillingerne er færdige, skal L2TP-indstillingerne sættes op. Gå til følgende sti:
Configuration -> VPN -> L2TP VPN Settings
Hvis det er nødvendigt, skal du oprette en eller flere nye lokale brugere, som får lov til at oprette forbindelse til VPN'en:
Opret en L2TP IP-adressepulje med en række IP-adresser, der skal bruges af klienterne, mens de er forbundet til L2TP/IPSec VPN.
Bemærk: Dette bør ikke være i konflikt med nogen WAN-, LAN-, DMZ- eller WLAN-subnet, heller ikke når de ikke er i brug.
2.4 Opsummering af L2TP-indstillingerne
Lad os nu indstille L2TP-indstillingerne:
- Indstil den VPN-forbindelse, der blev oprettet i 2.2 Konfigurer VPN-forbindelse
- En IP-adressepulje, hvor du kan indstille L2TP-IP-områdeobjektet
- Godkendelsesmetoden kan indstilles som standard for lokal brugergodkendelse.
- De tilladte brugere kan indstilles for brugeren. Hvis der er brug for flere brugere, kan der oprettes en gruppe af brugere på siden Objekt.
- DNS-server(e) og WINS-server kan vælges til at være selve firewall-enheden (Zywall) eller en tilpasset server-IP-adresse.
- Hvis der er brug for internetadgang gennem firewall-enheden, mens den er tilsluttet L2TP/IPSec VPN, skal du sørge for, at indstillingen "Tillad trafik gennem WAN-zone" er aktiveret.
- Klik på "Apply" for at gemme indstillingerne. Med dette er L2TP/IPSec VPN som sådan nu klar.
3) Must-have-konfigurationer
3.1 Tillad UDP-porte 4500 og 500
Sørg for, at firewallreglerne tillader adgang til UDP-portene 4500 og 500 fra WAN til Zywall, og at standardzonen IPSec_VPN har adgang til netværksressourcerne. Dette kan verificeres i:
Configuration > Security Policy > Policy Control
3.2 Aktivér internetadgang over L2TP via politikruter
Hvis noget af trafikken fra L2TP-klienterne skal gå til internettet, skal du oprette en policy-rute til at sende trafik fra L2TP-tunnellerne ud gennem en WAN-trunk.
Configuration > Network > Routing > Policy Route
Indstil Incoming til Tunnel, og vælg din L2TP VPN-forbindelse. Indstil Source Address til at være L2TP-adressepuljen. Indstil Next-Hop Type til Trunk, og vælg den relevante WAN-trunk.
For flere detaljer om dette trin, se venligst artiklen:
Sådan lader du L2TP-klienter surfe via USG
4. Tips og fejlfinding
4.1 Gendannelse af L2TP VPN-standardkonfiguration
I nogle tilfælde kan det være nødvendigt at give en frisk start til dine L2TP VPN-indstillinger på siden:
Configuration > VPN > L2TP VPNNår det er nødvendigt, kan du bruge følgende artikel, der beskriver metoderne til at bringe standardindstillingerne tilbage.
ZyWALL USG: Gendan VPN-L2TP standardkonfiguration
4.2 Opsætning af L2TP VPN-klienter
L2TP over IPSec er meget populært og understøttes ofte af mange slutenhedsplatforme med deres egne indbyggede klienter.
Her er nogle af de mest almindelige, og hvordan man sætter dem op:
4.3 Avanceret opsætning: Etablering af en L2TP VPN fra LAN:
VPN er en populær funktion til kryptering af pakker, når man overfører data.
I ZyWALL/USG/ATP's nuværende design, når VPN-grænsefladen er baseret på WAN1-grænsefladen, skal VPN-anmodningen komme fra WAN1-grænsefladen (grænsefladen er begrænset), ellers vil anmodningen blive afvist. (f.eks. VPN-forbindelse kom fra LAN1)
I nogle scenarier kan brugerne dog have brug for at etablere VPN-tunnelen fra ikke kun WAN, men også LAN.
Dette scenarie understøttes også af ZyWALL/USG/ATP. Brugere kan følge betjeningsproceduren nedenfor for at slå VPN-grænsefladebegrænsningen fra, så VPN-forbindelsen kan komme fra både WAN/LAN bagefter.
Topologi:
USG Firmware-version:
4.32 eller nyere
USG-konfiguration:
For at aktivere L2TP fra LAN, skal du tilgå din enhed med en terminalforbindelse (Serial, Telnet, SSH) og indtaste følgende kommandoer:
Router> configure terminal.
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Genstart enheden
4.4 Avanceret opsætning: Brug af eksterne servere til at autentificere brugere, der opretter forbindelse til L2TP VPN
Dette afsnit beskriver, hvordan du konfigurerer L2TP over IPSec med MS-CHAPv2 på USG/Zywall-serien. For avancerede implementeringer kan brugerautentificering med Active Directory (AD)-servere implementeres på L2TP/IPSec VPN-godkendelsen.
Scenarie:
AD-domæne: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Naviger til Configuration>Object>AAA Server. Aktivér domæneautentificering for MSCHAP
Legitimationsoplysningerne er normalt de samme som for AD-administratoren.
2. Gå tilSystem>Host Name,skriv AD-domæneti Domain Name
Dette flow får USG til at slutte sig til AD-domænet. Tunnelen vil først blive etableret, når denne del fungerer.
3. Bekræft, om USG er blevet medlem af domænet. Naviger til Active Directory Users and Computers>Computers
I dette tilfælde kan du se, at usg110 har sluttet sig til domænet. Du kan også tjekke de detaljerede oplysninger i fanen Egenskaber>Objekt ved at højreklikke.
4. Rediger domænezone, sæt domænenavn i System> DNS>Domænezoneforwarder.
Nogle gange kan den gå i stå under opkaldet til tunnelen, så du skal konfigurere følgende indstilling, Query interface er der, hvor din AD-server er placeret.
5. Tjek forbindelsesindstillingerne på din Windows.
Sørg for, at du har aktiveret (MS-CHAP v2) og indtastet pre-shared key i Advanced settings.
6. Tjek loginoplysningerne på Monitor page>, AD-brugeren bør være på Current User List, når tunnelen er ringet op med succes.
Du kan se, at brugertypen er L2TP, og at brugeroplysningerne er ekstern bruger.
Som yderligere information beskriver følgende artikel, hvilke understøttede godkendelser der understøttes af vores firewalls med L2TP/IPSec VPN:
ZyWALL USG - Understøttet autentificering via L2TP
4.5 L2TP over IPSec VPN - virtuelt laboratorium
Du er velkommen til at tage et kig på vores virtuelle laboratorium til L2TP VPN-opsætning på vores firewall-enheder. Med dette virtuelle laboratorium kan du se den korrekte konfiguration til sammenligning, mens du opsætter dit miljø:
Virtuelt laboratorium - End-to-Site VPN (L2TP)
Kommentarer
0 kommentarerLog ind for at kommentere.