Vigtig meddelelse: |
Fra og med ZLD 5.20 understøtter USG FLEX- og ATP-enheder foruddefinerede indstillinger for både SecuExtender IPSec- og ikke-SecuExtender IPSec VPN-klienter. I denne artikel vil vi guide dig gennem brugen af guiden til VPN-opsætning for fjernadgang (hurtig opsætning). Vi vil også demonstrere, hvordan man konfigurerer StrongSwan på Android ved hjælp af scriptet til hurtig opsætning, manuelt installerer certifikater og konfigurerer StrongSwan til at etablere en VPN-tunnel ved hjælp af IKEv2 med EAP-MSCHAPv2-godkendelse.
Bemærk: Du kan også bruge dette, hvis L2TP VPN er blevet fjernet på din Android version 12+.
Vær opmærksom på dette: Når du har konfigureret VPN'en ved hjælp af Quick Setup, kan du altid ændre indstillingerne senere. Du kan f.eks. tilføje eller ændre grupper eller inkludere yderligere forslag efter behov.
Vær dog opmærksom på, at manuelle ændringer kan påvirke driften af enheder, der oprindeligt blev konfigureret ved hjælp af Quick Setup-scriptet.
Hvis du er nødt til at gå ind i Quick Setup-scriptet igen og starte forfra - f.eks. når du downloader scriptet igen - vil alle manuelle ændringer, du tidligere har foretaget, blive overskrevet. Men bare rolig, du kan bare anvende de manuelle ændringer igen, når du har kørt opsætningen.
Bemærk: IP-adresserne i figuren er kun et eksempel og er ikke relevante for artiklen som helhed. De kan være anderledes i dit tilfælde.
Konfiguration af VPN via hurtig opsætning
Log ind på din Firewall WEB GUI og gå ind i Quick Setup, og vælg Remote Access VPN og derefter IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).
Brug dette, hvis du bruger Zyxel SecuExtender IPSec VPN-klient eller et computeroperativsystem, der understøtter IPSec VPN med IKEv2 (ikke-SecuExtender VPN-klient). Du kan oprette en VPN-regel med fuld tunnel eller delt tunnel med Zyxel SecuExtender VPN-klient. Du kan kun oprette en VPN-regel med fuld tunnel med en VPN-klient, der ikke er SecuExtender.
Konfigurer IP-adressepuljen for klienten.
IP-adressepuljen bruger et udvalgt ikke-brugt undernet på enheden for at undgå at opsætte det samme undernet. IP-adressepuljen begynder på 192.168.50.1 Hvis undernettet 192.168.50.1 findes i gatewayindstillingerne, ændres IP-adressepuljen automatisk.
Tilføj eller opret brugere, som skal have VPN-adgang. Når brugerne er tilføjet, skal du klikke på Next og gennemgå alle indstillinger for at sikre, at de er korrekte. Du kan nu enten downloade et automatiseret script til at konfigurere VPN'en eller konfigurere den manuelt ved hjælp af et certifikat.
Efter en vellykket VPN-konfiguration kan du downloade og installere scriptfilerne på Android-enheder for at konfigurere VPN-indstillingerne automatisk.
Bemærk: VPN-indstillingerne for ikke-SecuExtender IPSec VPN-klienter understøtter ikke følgende funktioner:
- Grænse for upload-båndbredde
- Spilt tunnel
- To-faktor-autentificering (Google Authenticator)
Detaljer om konfiguration af en VPN til Windows- og Apple-enheder kan findes i følgende artikel:
Vær opmærksom på dette: For at reducere konfigurationsfejl og andre potentielle problemer anbefaler vi at bruge et script til installationen. Du kan dog også installere og konfigurere certifikatet manuelt direkte på din slutpunktsenhed. Detaljerede instruktioner til manuel certifikatinstallation og VPN-konfiguration kan findes i afsnittet "Manuel certifikatkonfiguration".
Konfiguration af StrongSwan VPN på Android via Quick Setup Script
- Download StrongSwan fra Google Play Store
- Send scriptet til den mobile enhed via e-mail
- Gem scriptet på din mobile enhed
- Åbn StrongSwan-appen
- Klik på "TILFØJVPN-PROFIL"
- Importer VPN-profil
- Vælg et tidligere gemt script
- Udfyld brugernavn og adgangskode, og gem
- Klik på den oprettede profil
- Vent et par sekunder på, at forbindelsen bliver etableret
Konfiguration af StrongSwan VPN på Android ved at installere et certifikat og manuelt oprette en VPN-profil
Sådan downloader du et certifikat
Naviger til Konfiguration -> Objekt -> Certifikat, vælg VPN-certifikatet, og tryk på "Download" for at downloade certifikatet.
Bemærk: Feltet "Password" skal være tomt, da vi skal downloade crt-certifikatet for at bruge det i StrongSwan-klienten på Android. Hvis du udfylder adgangskoden, vil certifikatformatet være pfx; det er ikke egnet til vores tilfælde.
Hvis du har problemer med at vælge det rigtige certifikat fra din liste, kan du identificere det nødvendige certifikat for en bestemt VPN ved at tjekke VPN-indstillingerne.
Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest
I afsnittet "Authentication" kan du se, hvilket certifikat der er valgt til din VPN.
Nu kan du vedhæfte dette certifikat til en e-mail, du sender til brugerne, og forklare, hvordan de skal installere det og oprette forbindelse til VPN'en.
Manuel konfiguration af StrongSwan VPN på Android (uden script)
- Download StrongSwan fra Google Play Store
- Send certifikatet til den mobile enhed via e-mail
- Gem certifikatet på den mobile enhed (prøv ikke at installere certifikatet direkte fra mailen; bare gem det)
- Åbn StrongSwan-appen
- Klik på de tre symboler i højre hjørne, og vælg "CA-certifikat".
- Vælg "Importer certifikat".
- Vælg et tidligere gemt certifikat, og klik på "Importér certifikat".
- Klik på de tre symboler i højre hjørne, og vælg "CA Certificate".
- Hvis certifikatet er blevet importeret, vil du se meddelelsen "Certificate successfullyimported."
- Gå derefter tilbage til StrongSwan-hovedmenuen og klik på "Tilføj VPN-profil".
I den VPN-profilkonfigurationsformular, der vises, skal du udfylde alle obligatoriske felter:
- Server - offentlig IP-adresse på din firewall
- VPN-type - IKEv2 EAP (brugernavn/adgangskode)
- CA-certifikat - vælges automatisk
- Profilnavn (valgfrit) - ethvert brugervenligt navn
|
|