[VPN] Zyxel USG FLEX/ATP VPN [Hurtig opsætning] - Konfigurer IKEv2 IPSec VPN via guiden med certifikat på Android / iPhone iOS / Windows / MacOS

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

I denne vejledning lærer du, hvordan du konfigurerer en IKEv2 IPsec VPN ved hjælp af opsætningsguiden (Quick Setup) på Zyxel Firewall VPN/USG FLEX/ATP-serien, og hvordan du opretter forbindelse til den på Android, iPhone (iOS), Windows-pc'er og Mac-computere ved hjælp af både Zyxel SecuExtender og den oprindelige klient. Vi kommer også ind på specifikke overvejelser i forbindelse med konfiguration af VPN på iOS-enheder, mobile enheder, der kører version 18 eller nyere, og pc'er med Sonoma-firmware eller nyere.

Bemærk: IP-adresserne i figuren er kun et eksempel og er ikke relevante for artiklen som helhed. De kan være anderledes i dit tilfælde.

Konfiguration af VPN via hurtig opsætning

Log ind på din Firewall WEB GUI og gå ind i Quick Setup, og vælg Remote Access VPN og derefter IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).

Brug dette, hvis du bruger Zyxel SecuExtender IPSec VPN-klient eller et computeroperativsystem, der understøtter IPSec VPN med IKEv2 (ikke-SecuExtender VPN-klient). Du kan oprette en VPN-regel med fuld tunnel eller delt tunnel med Zyxel SecuExtender VPN-klient. Du kan kun oprette en VPN-regel med fuld tunnel med en VPN-klient, der ikke er SecuExtender.

Konfigurer IP-adressepuljen for klienten.

IP-adressepuljen bruger et udvalgt ikke-brugt undernet på enheden for at undgå at opsætte det samme undernet. IP-adressepuljen begynder på 192.168.50.1 Hvis undernettet 192.168.50.1 findes i gatewayindstillingerne, ændres IP-adressepuljen automatisk.

Tilføj eller opret brugere, som skal have VPN-adgang. Når brugerne er tilføjet, skal du klikke på Next og gennemgå alle indstillinger for at sikre, at de er korrekte. Du kan nu enten downloade et automatiseret script til at konfigurere VPN'en eller konfigurere den manuelt ved hjælp af et certifikat.

Efter en vellykket VPN-konfiguration kan du downloade og installere scriptfilerne på Windows-, MacOS-, iOS- eller Android-enheder for automatisk at konfigurere VPN-indstillingerne.

Bemærk: VPN-indstillingerne for Non-SecuExtender IPSec VPN-klienter understøtter ikke følgende funktioner:

  • Grænse for upload-båndbredde
  • Spilt tunnel
  • To-faktor-autentificering (Google Authenticator)

Vigtigt: Brugere på iOS 18 eller nyere og Mac OS 14 Sonoma kan ikke bruge scriptet og skal konfigurere det manuelt. I denne artikel, i afsnittet om indstillinger for iPhone og MacOS, finder du en mere detaljeret beskrivelse af de nødvendige trin.

Vær opmærksom på dette: For at minimere konfigurationsfejl og andre potentielle problemer anbefaler vi at bruge et script til installationen. Du kan dog også installere og konfigurere certifikatet manuelt direkte på din endpoint-enhed. Detaljerede instruktioner til manuel certifikatinstallation og VPN-konfiguration kan findes i afsnittet "Manuel certifikatkonfiguration".

Brug af VPN-script på Windows

Gem arkivet med scriptet på din computer, pak mappen ud, og kør derefter scriptet med administratorrettigheder (det er en fil med bat-udvidelse).

Når installationen er gennemført, skal du gå til VPN-indstillingerne på din pc. Der finder du den oprettede VPN-forbindelse. Klik på connect. Indtast derefter brugernavn og adgangskode.

Brug af VPN-script på Android

For Android-brugere skal du installere StrongSwan og følge denne artikel:

Brug af VPN-script på iPhone

Vigtigt: Brugere på iOS 18 eller nyere og Mac OS 14 Sonoma kan ikke bruge scriptet og skal konfigurere det manuelt. Dette skyldes Apples øgede sikkerhedskrav til IKEv2 VPN-kryptering. For at løse dette problem skal du foretage ændringer af Key Group og Proposal i Phase 1 Settings og Phase 2 Settings for den tidligere oprettede VPN-forbindelse ved hjælp af Quick Setup (Wizzard).

For at fortsætte skal du gå tilbage til din firewalls web-GUI. Vælg "Konfiguration" i menuen til venstre, og naviger derefter til "VPN". Åbn konfigurationsindstillingerne for den relevante VPN-forbindelse, og tilføj et forslag med følgende indstillinger i Phase 2 Setting :

Forslag

  • Kryptering: AES256
  • Godkendelse: SHA256.

Gå derefter til fanen "VPN Gateway", hvor vi skal opdatere fase 1-indstillingerne som følger:

Forslag

  • Kryptering: AES256
  • Autentificering: SHA256

Nøglegruppe: DH2 DH14 DH19

Når du har foretaget ændringer, skal du ikke glemme at anvende dem ved at klikke på knappen "Anvend".

Næste skridt er at downloade certifikatet til vores VPN-forbindelse og installere det på din enhed.

Sådan downloader du et certifikat

Naviger til Konfiguration -> Objekt -> Certifikat, vælg VPN-certifikatet, og tryk på "Download" for at downloade certifikatet.

Nu kan du enten beslutte at eksportere certifikatet med en adgangskode for at gøre det sikkert og sikre, at det ikke kommer i de forkerte hænder, eller lade det være tomt for at eksportere certifikatet uden en adgangskode til installation.

Nu kan du vedhæfte certifikatet til en e-mail, du sender til brugerne, og forklare, hvordan de installerer det og opretter forbindelse til VPN'en.

iPhone iOS 18 og nyere: Manuel certifikatinstallation og VPN-konfiguration

Lad os nu gå videre til indstillingerne på selve iPhonen. Download f.eks. certifikatet, der er sendt med posten, til din iPhone.

Bemærk: Disse ændringer påvirker ikke eksisterende VPN-forbindelser, uanset hvordan de blev oprettet, enten via "Quick Setup" eller manuelt.

Send f.eks. certifikatet via mail. Åbn e-mailen med certifikatet på din Iphone, og udfør det.

Når du har udfyldt certifikatet, vises en ny profil i enhedens indstillinger. For at finde den skal du gå til indstillingerne på din Iphone

Klik på "Profil downloadet": Klik på "Installer": Klik på "Installer":
Nu har du et verificeret certifikat: Gå til Indstillinger -> VPN & enhed Klik på "Tilføj VPN"
Indtast WAN-IP-adressen på din firewall i felterne "Server" og "Remote ID" samt brugernavn og adgangskode. Opret forbindelsen, og vent, indtil status er "Forbundet", det tager normalt et par sekunder.

Windows 10 og nyere: Manuel certifikatinstallation og VPN-konfiguration

Dobbeltklik på certifikatet med venstre museknap, og klik på "Åbn" i det nye vindue, der åbnes. Klik på knappen "Installer certifikat"

Du kan også prøve at dobbeltklikke på certifikatet, klikke på "Installer certifikat..." og klikke på "Næste"

Vælg, om certifikatet skal være tilgængeligt for alle brugere på computeren eller kun for den aktuelle bruger. Klik på "Placer alle certifikater i følgende lager", og vælg "Trusted Root Certification Authorities".
Når du er næsten færdig, trykker du på "Finish" Så tager vi det med en advarsel, og vi er færdige!

Lad os nu konfigurere selve VPN-profilen. For at gøre dette på din pc skal du gå til VPN-sektionen.

Brug Windows-søgningen og søg efter VPN, og vælg "VPN-indstillinger" fra Windows-søgefeltet: I det nye vindue, der åbnes, skal du klikke på "Tilføj en VPN-forbindelse".

MAC OS 14 Sonoma og nyere: Manuel certifikatinstallation og VPN-konfiguration

Dobbeltklik på certifikatet, og vælg "nøglering" "system". Klik på WiFi-symbolet og "Netværksindstillinger". Klik derefter på "+"-tegnet under dine WiFi-forbindelser.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Klik på WiFi-symbolet og "Netværksindstillinger". Klik derefter på "+"-tegnet under dine WiFi-forbindelser, og opret en IKEv2 VPN som vist nedenfor.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Udfyld IP-adresse / FQDN, Remote ID, og klik derefter på godkendelsesindstillinger nedenfor. Vælg et brugernavn, og indtast dit brugernavn og din adgangskode.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender tilpasser Zero Trust-princippet for at hjælpe IT med at verificere brugernes identitet og håndhæve adgangskontrol for at øge sikkerheden. Der kræves en licens for at bruge SecuExtender. Men du kan downloade den gratis og teste den gratis prøveversion ved at klikke her: SecuExtender VPN-klient

Denne artikel ser på konfiguration af Zyxel SecuExtender ved hjælp af Windows-klienten som et eksempel. MacOS-proceduren er dog identisk med undtagelse af en lille forskel i applikationens design.

Åbn appen, og klik på "Configuration" i øverste venstre hjørne. I rullemenuen finder du 2 "Get from Server" og "Wizard".

Begge muligheder er meget enkle. Når du vælger "Get from Server", skal du kende VPN-brugerens navn eller adresse samt brugernavn og adgangskode. I tilfælde af Wizard kan du foretage yderligere ændringer under konfigurationen.

Download af VPN-profilen var vellykket. Gå nu til hovedmenuen, og du vil se den nye VPN-profil på listen til venstre. Dobbeltklik til venstre, og indtast dit brugernavn og din adgangskode. Nu er det gjort. Forbindelsen er vellykket!

Bemærk , at "Certificate check" skal deaktiveres, hvis du bruger en standard og selvsigneret CA.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
8 ud af 22 fandt dette nyttigt
Del