Dieser Artikel zeigt Ihnen, wie Sie IKEv2 IPsec VPN mit Zertifikat mit SecuExtender sowohl unter Windows als auch unter MacOS konfigurieren. Es zeigt Ihnen, wie Sie das VPN auf der Firewall (USG FLEX / ATP / VPN-Serie im eigenständigen / On-Premise-Modus) konfigurieren und wie Sie den TGBErrorCodeMgrNotCreated.description-Fehler unter MacOS beseitigen.

Video:

Inhaltsverzeichnis

A) Konfigurieren Sie IKEv2 auf dem Firewall

B) SecuExtender-Client konfigurieren

C) Auf MacOS konfigurieren

A) Konfigurieren Sie IKEv2 auf dem Firewall

1. Melden Sie sich beim Gerät an, indem Sie seine IP-Adresse und die Anmeldeinformationen für ein Administratorkonto eingeben (standardmäßig ist der Benutzername „admin“ und das Passwort „1234“)
   
   
2. Navigieren Sie zu Konfiguration > Objekt > Adresse/Geo-IP, klicken Sie auf „Hinzufügen“, um ein Objekt des „Adresstyps“ „Bereich“ zu erstellen. Nennen Sie es „IKEv2_Pool“ und geben Sie einen IP-Bereich ein, der sich nicht mit Ihren Subnetzen überschneidet
   .
   
   
3. Erstellen Sie ein weiteres IP-Adressobjekt, um den IKEv2-Clients später den Zugriff auf das Internet über den VPN-Tunnel zu ermöglichen. Wählen Sie den Typ „Range“, nennen Sie ihn beispielsweise „All_Traffic“, geben Sie „0.0.0.0“ als „Starting IP Address“ und „255.255.255.255“ als „End IP Address“ ein.
   
   
   
4. Navigieren Sie zu Konfiguration > Objekt > Benutzer/Gruppe und klicken Sie auf „Hinzufügen“, um neue Benutzer zu erstellen.
   
   
   
5. Klicken Sie auf die Registerkarte „Gruppe“ und klicken Sie auf „Hinzufügen“, um eine „IKEv2_Users“-Gruppe zu erstellen und fügen Sie die benötigten Benutzer hinzu, indem Sie sie markieren und auf den Pfeil nach rechts klicken.
   
   
   
6. Navigieren Sie zu Konfiguration > Objekt > Zertifikat, klicken Sie auf „Hinzufügen“, wählen Sie „Host-Domänenname“, geben Sie den Domänennamen oder DynDNS ein, scrollen Sie nach unten zu „Erweiterte Schlüsselverwendung“ und aktivieren Sie die drei Kontrollkästchen „Server-Authentifizierung“, „Client-Authentifizierung“. und „IKE Intermediate“ und klicken Sie auf „OK“.
   
   
   
7. Doppelklicken Sie auf dieses Zertifikat und scrollen Sie nach unten, um „Nur Zertifikat exportieren“ zu verwenden.
   
   
   
8. Navigieren Sie zu Konfiguration > Netzwerk > VPN > IPSec VPN und klicken Sie auf „Hinzufügen“, klicken Sie auf „Erweiterte Einstellungen anzeigen“, aktivieren Sie „Aktivieren“, wählen Sie „IKEv2“, wählen Sie „Dynamische Adresse“ unter „Peer-Gateway-Adresse“, aktivieren Sie „Zertifikat“ darunter „Authentifizierung“ und wählen Sie Ihr zuvor erstelltes Zertifikat aus.
   
   
   
   
9. Scrollen Sie nach unten, um unter „Phase 1 Settings“ Ihre gewünschten Vorschläge auszuwählen, aktivieren Sie „Enable Extended Authentication Protocol“, wählen Sie „Server Mode“, lassen Sie „AAA Method“ auf „default“ und wählen Sie Ihre zuvor erstellte „IKEv2_Users“-Gruppe für „Allowed Users“. “, bevor Sie schließlich auf „OK“ klicken.
   
   
   
10. Öffnen Sie nun die Registerkarte „VPN-Verbindung“ oben, klicken Sie auf „Hinzufügen“, klicken Sie auf „Erweiterte Einstellungen anzeigen“, aktivieren Sie „Aktivieren“, wählen Sie „Remotezugriff (Serverrolle)“ für das „Anwendungsszenario“, wählen Sie Ihr zuvor erstelltes VPN-Gateway für aus „VPN Gateway“, wählen Sie unter „Lokale Richtlinie“ das zuvor erstellte IP-Bereichsobjekt „All_Traffic“ aus.
    
    
11. Aktivieren Sie „Enable Configuration Payload“, wählen Sie das Objekt „IKEv2_Pool“ als Ihren „IP Address Pool“ (Die DNS-Server sind optional), wählen Sie Ihre gewünschten Vorschläge für die VPN-Verbindung und klicken Sie abschließend auf „OK“, um die Konfiguration der VPN-Verbindung abzuschließen .
    
    
    
    
12. Navigieren Sie nun zu Konfiguration > Objekt > Netzwerk > Routing, klicken Sie auf „Hinzufügen“, aktivieren Sie „Aktivieren“, wählen Sie „Tunnel“ für „Eingehend“, wählen Sie die zuvor erstellte IPSec-Verbindung für „Bitte wählen Sie ein Mitglied aus“, wählen Sie den „IKEv2_Pool“ für die „Quelladresse“ und wählen Sie schließlich Ihre WAN-Schnittstelle oder den WAN-Trunk als „Nächster Hop“ aus, bevor Sie abschließend auf „OK“ klicken.
    

B) SecuExtender-Client konfigurieren

1. Öffnen Sie den IPSec-Client, klicken Sie mit der rechten Maustaste auf den Ordner „IKE V2“ auf der linken Seite, um ein neues „Ikev2Gateway“ hinzuzufügen, geben Sie den Domänennamen ein, den Sie auch im Zertifikat auf der USG für die „Remote Gateway“ eingetragen haben, und wählen Sie aus die passenden Vorschläge unter „Kryptografie“.
   
2. Klicken Sie mit der rechten Maustaste auf das VPN Gateway auf der linken Seite, um die VPN-Verbindung hinzuzufügen, wählen Sie den „Adresstyp“ „Subnetzadresse“, geben Sie die Subnetzadresse und Subnetzmaske des lokalen Subnetzes auf der USG-Site ein, zu der die Clients sollten Zugriff auf die passenden Vorschläge für die VPN-Verbindung haben und diese auswählen können.
   
   
   
3. Wenn die „Child SA Life Lifetime“ nicht mit der auf der USG konfigurierten übereinstimmt, passen Sie sie bitte an, bevor Sie den Tunnel endgültig öffnen, indem Sie erneut mit der rechten Maustaste auf die VPN-Verbindung auf der linken Seite klicken.

C) Kann keine .tgb-Datei auf MacOS importieren

Wenn Sie diesen TGB-Dateifehler „TGBErrorCodeMgrNotCreated.description“ auf Ihrem MacOS erhalten, hängt dies mit den Datenschutzeinstellungen in MacOS zusammen. Sie müssen zulassen, dass SecuExtender in Ihrem Betriebssystem vertrauenswürdig ist.

Navigieren Sie zu Einstellungen -> Datenschutz & Sicherheit -> Sicherheit und wählen Sie „App Store und identifizierte Entwickler“. Dann sollte "SecuExtender VPN Client" erscheinen und Sie müssen auf "Zulassen" klicken:

Jetzt können Sie die .tgb-Datei erfolgreich in den SecuExtender Client auf MacOS importieren, um Ihre Konfiguration zu erhalten.

+++ Lizenzen für Ihre Zyxel VPN-Clients (SSL VPN, IPsec) kaufen Sie mit sofortiger Lieferung per 1-Klick: Zyxel Webstore +++