Denne artikel viser, hvordan man konfigurerer L2TP over IPSec i Standalone-tilstand for USG FLEX / ATP / VPN-serien, og hvordan man konfigurerer guiden, downloader konfigurationen, konfigurerer L2TP manuelt ved hjælp af VPN-gateway- og forbindelsesmenuen, hvad der skal tillades i firewall-reglerne, hvordan man aktiverer internetadgang for L2TP (ingen internet), gendanner standardkonfiguration, opsætter VPN-brugere, etablerer en VPN fra LAN, bruger eksterne servere til at godkende brugere, fejlfinder ved hjælp af logs, konfigurerer MS-CHAPv2.
Hvad er L2TP over IPSec VPN?
Før vi begynder med konfigurationsguiden, lad os give en introduktion til L2TP over IPSec VPN.
L2TP over IPSec kombinerer Layer 2 Tunneling Protocol (L2TP, som leverer en punkt-til-punkt forbindelse) med IPSec-protokollen. L2TP alene giver ikke nogen kryptering af indholdet, og derfor bygges tunnelen almindeligvis ovenpå en Layer 3 krypteringsprotokol, IPsec, hvilket resulterer i den såkaldte L2TP over IPSec VPN.
I denne håndbog kan du udforske alle de nødvendige oplysninger for L2TP VPN-forbindelser i Zyxel Firewall-enheder, udforske konfigurationsmetoderne (via guiden og manuelt), klientopsætning for Windows, MAC og Linux; samt mere avancerede opsætninger for autentificering, forskellige topologier og fejlfinding på Firewall-enhederne og klientenhederne. Adgang til virtuelt laboratorium er også defineret, hvor det er muligt at gennemgå vores opsætning, som også kan bruges ved opsætning af den fjernbetjente VPN i din enhed.
Konfigurer L2TP VPN ved hjælp af den indbyggede guide
Naviger til guiden
a. Åbn Quick Setup-fanen og i pop-up vinduet vælg Remote Access VPN Setup:
Vælg L2TP over IPSec Client-scenariet
Konfigurer VPN-konfiguration
Indtast en foretrukken Pre-Shared Key og vælg den tilsvarende WAN-interface.
Konfigurer brugerautentificering
Gem konfigurationen & download L2TP-konfiguration
Configuration > Security Policy > Policy Control Opsætning af L2TP/IPSec VPN manuelt
Følgende beskriver de nødvendige trin for manuelt at konfigurere en L2TP over IPSec VPN. Topologien og anvendelsen er den samme som ved brug af guiden, den eneste forskel er trinnene i konfigurationen.
Konfigurer VPN Gateway
Gå til følgende sti og opret en ny VPN Gateway:
Configuration > VPN > IPSEC VPN > VPN GatewayTryk på "Show Advanced Settings". Indtast et navn for gatewayen, vælg din WAN-interface og tilføj en pre-shared key:
Sæt forhandlingsmode til Main og tilføj følgende (almindelige) forslag og bekræft ved at klikke OK:
Konfigurer VPN-forbindelse
Gå til følgende sti og opret en ny VPN-forbindelse:
Configuration > VPN > IPSec VPN > VPN ConnectionTryk på "Show Advanced Settings". Indtast navnet på forbindelsen, sæt Application Scenario til Remote Access (Server Role) og vælg den VPN Gateway, du oprettede før:
For Local Policy, opret et nyt IPv4 Address Object (fra knappen "Create New Object") for din rigtige WAN IP og sæt det derefter til VPN-forbindelsen som Local Policy:
Sæt Encapsulation til Transport og tilføj følgende forslag og bekræft ved at klikke OK:
Konfigurer L2TP VPN-indstillinger
Nu hvor IPSec-indstillingerne er færdige, skal L2TP-indstillingerne opsættes. Gå til følgende sti:
Configuration -> VPN -> L2TP VPN SettingsHvis nødvendigt, opret en ny lokal bruger(e), som får lov til at forbinde til VPN'en:
Opret en L2TP IP-adressepulje med et interval af IP-adresser, som klienterne skal bruge, mens de er forbundet til L2TP/IPSec VPN.
Bemærk: Dette bør ikke konflikte med nogen WAN, LAN, DMZ eller WLAN-subnet, selv når de ikke er i brug.
Opsummer L2TP-indstillingerne
Lad os nu sætte L2TP-indstillingerne:
- Sæt VPN-forbindelsen oprettet i punkt 2.2 Konfigurer VPN-forbindelse
- En IP-adressepulje, hvor du kan sætte L2TP IP-intervalobjektet
- Godkendelsesmetoden kan sættes som standard for lokal brugerautentificering
- De tilladte brugere kan sættes for brugeren. Hvis flere brugere er nødvendige, kan en gruppe brugere oprettes på Objekt-siden.
- DNS-server(e) og WINS-server kan vælges til at være Firewall-enheden selv (Zywall) eller en tilpasset server-IP-adresse.
- Hvis internetadgang er nødvendig gennem Firewall-enheden, mens der er forbindelse til L2TP/IPSec VPN, skal du sørge for, at muligheden "Allow Traffic Through WAN Zone" er aktiveret.
- Klik på "Apply" for at gemme indstillingerne. Hermed er L2TP/IPSec VPN nu klar.
Nødvendige konfigurationer - Tillad UDP-porte 4500 & 500
Sørg for, at firewall-reglerne tillader adgang til porte UDP 4500 og 500 fra WAN til Zywall, og at standardzonen IPSec_VPN har adgang til netværksressourcerne. Dette kan verificeres i:
Configuration > Security Policy > Policy Control Aktiver internetadgang over L2TP via politikruter
Hvis noget af trafikken fra L2TP-klienterne skal gå til internettet, opret en politikrute for at sende trafik fra L2TP-tunnelerne ud gennem en WAN-trunk.
Configuration > Network > Routing > Policy RouteSæt Incoming til Tunnel og vælg din L2TP VPN-forbindelse. Sæt Source Address til at være L2TP-adressepuljen. Sæt Next-Hop Type til Trunk og vælg den passende WAN-trunk.
Tips & fejlfinding - Gendannelse af L2TP VPN standardkonfiguration
I nogle tilfælde kan det være nødvendigt at give en frisk start til dine L2TP VPN-indstillinger på siden:
Configuration > VPN > L2TP VPNOpsætning af L2TP VPN-klienter
L2TP over IPSec er meget populært og understøttes almindeligvis af mange slut-enhedsplatforme med deres egne indbyggede klienter.
Her er nogle af de mest almindelige og hvordan man sætter dem op:
Windows/MacOS/Linux:
Avanceret opsætning: Etablering af en L2TP VPN fra LAN:
VPN er en populær funktion til kryptering af pakker ved dataoverførsel.
I ZyWALL/USG/ATP’s nuværende design, når VPN-interfacet er baseret på WAN1-interfacet, skal VPN-anmodningen komme fra WAN1-interfacet (interfacebegrænset), ellers vil anmodningen blive afvist. (f.eks. VPN-forbindelse kom fra LAN1)
Dog kan brugere i nogle scenarier have behov for at etablere VPN-tunnelen ikke kun fra WAN men også LAN.
Denne situation understøttes også af ZyWALL/USG/ATP. Brugere kan følge nedenstående procedure for at deaktivere VPN-interfacebegrænsningen, så VPN-forbindelsen efterfølgende kan komme fra både WAN/LAN.
USG Firmware Version: 4.32 eller nyere
USG konfiguration:
For at aktivere L2TP fra LAN skal du tilgå din enhed via terminalforbindelse (Serial, Telnet, SSH) og indtaste følgende kommandoer:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Avanceret opsætning: Brug af eksterne servere til at godkende brugere, der forbinder til L2TP VPN
Denne sektion beskriver, hvordan man konfigurerer L2TP over IPSec med MS-CHAPv2 på USG/Zywall-serien. For avancerede implementeringer kan brugerautentificering med Active Directory (AD) servere implementeres på L2TP/IPSec VPN autentificeringen.
Scenario:
AD-domæne: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Naviger til Configuration>Object>AAA Server. Aktiver domæneautentificering for MSCHAP
Legitimationsoplysningerne er normalt de samme som AD-administratorens.
2. Gå til System>Host Name, indtast AD-domænet i Domænenavn
Denne proces får USG til at tilslutte sig AD-domænet. Tunnelen vil kun blive oprettet succesfuldt, hvis denne del fungerer.
3. Bekræft om USG har tilsluttet domænet. Naviger til Active Directory Users and Computers>Computers
I dette tilfælde kan du se, at usg110 har tilsluttet domænet. Du kan også tjekke detaljerede oplysninger under fanen Egenskaber > Objekt ved højreklik.
4. Rediger domænezonen, indsæt domænenavnet under System> DNS >Domain Zone Forwarder.
Nogle gange kan det timeout under opkald af tunnelen, så du skal konfigurere følgende indstilling, hvor forespørgselsinterfacet er der, hvor din AD-server er placeret.
5. Tjek forbindelsesindstillingerne på din Windows.
Sørg for, at du har aktiveret (MS-CHAP v2) og indtastet pre-shared key under Avancerede indstillinger.
6. Tjek loginoplysningerne på overvågningssiden>. AD-brugeren skal være på den aktuelle brugerliste, når tunnelen er opkaldt succesfuldt.
Du kan se, at brugertypen er L2TP, og brugerinfo er ekstern bruger.
Kommentarer
0 kommentarerLog ind for at kommentere.