Wichtiger Hinweis: |
Dieser Artikel zeigt Ihnen, wie Sie IKEv2 IPsec VPN mit Zertifikat mit dem SecuExtender unter Windows und MacOS konfigurieren können. Er zeigt Ihnen, wie Sie das VPN auf der Firewall (USG FLEX / ATP / VPN Series im Stand-alone- / On-Premise-Modus) konfigurieren und wie Sie den Fehler TGBErrorCodeMgrNotCreated.description unter MacOS loswerden.
Hinweis: Für IOS 17 wird eine Schlüsselgruppe verwendet: DH19 muss verwendet werden
Video:
Inhaltsverzeichnis
A) Konfigurieren Sie IKEv2 auf der Firewall
B) Konfigurieren Sie den SecuExtender-Client
C) Auf MacOS konfigurieren
A) Konfigurieren Sie IKEv2 auf der Firewall
- Melden Sie sich am Gerät an, indem Sie seine IP-Adresse und die Anmeldedaten für ein Admin-Konto eingeben (standardmäßig lautet der Benutzername "admin" und das Passwort "1234")
- Navigieren Sie zu Konfiguration > Objekt > Adresse/Geo IP, klicken Sie auf "Hinzufügen", um ein Objekt des "Adresstyps" "Bereich" zu erstellen. Nennen Sie es "IKEv2_Pool" und geben Sie einen IP-Bereich ein, der sich nicht mit Ihren Subnetzen überschneidet
.
- Erstellen Sie ein weiteres IP-Adress-Objekt, um den IKEv2-Clients später den Zugang zum Internet über den VPN-Tunnel zu ermöglichen. Wählen Sie den Typ "Bereich", nennen Sie es z.B. "All_Traffic", geben Sie "0.0.0.0" für die "Start-IP-Adresse" und "255.255.255.255" für die "End-IP-Adresse" ein.
- Navigieren Sie zu Konfiguration > Objekt > Benutzer/Gruppe und klicken Sie auf "Hinzufügen", um neue Benutzer anzulegen.
- Klicken Sie auf die Registerkarte "Gruppe" und klicken Sie auf "Hinzufügen", um eine "IKEv2_Users"-Gruppe zu erstellen, und fügen Sie die benötigten Benutzer hinzu, indem Sie sie markieren und auf den nach rechts zeigenden Pfeil klicken.
- Navigieren Sie zu Konfiguration > Objekt > Zertifikat, klicken Sie auf "Hinzufügen", wählen Sie "Host-Domänenname", geben Sie den Domänennamen oder DynDNS ein, scrollen Sie nach unten zu "Erweiterte Schlüsselverwendung" und markieren Sie die drei Kontrollkästchen "Server-Authentifizierung", "Client-Authentifizierung" und "IKE-Intermediate" und klicken Sie auf "OK".
- Doppelklicken Sie auf dieses Zertifikat und scrollen Sie nach unten, um "Nur Zertifikat exportieren" zu verwenden.
- Navigieren Sie zu Konfiguration > Netzwerk > VPN > IPSec VPN und klicken Sie auf "Hinzufügen", klicken Sie auf "Erweiterte Einstellungen anzeigen", kreuzen Sie "Aktivieren" an, wählen Sie "IKEv2", wählen Sie "Dynamische Adresse" unter "Peer-Gateway-Adresse", kreuzen Sie "Zertifikat" unter "Authentifizierung" an und wählen Sie Ihr zuvor erstelltes Zertifikat.
- Scrollen Sie nach unten, um unter "Phase 1-Einstellungen" die gewünschten Vorschläge auszuwählen, kreuzen Sie "Erweitertes Authentifizierungsprotokoll aktivieren" an, wählen Sie "Servermodus", lassen Sie "AAA-Methode" auf "Standard" und wählen Sie Ihre zuvor erstellte Gruppe "IKEv2_Users" für "Erlaubte Benutzer", bevor Sie schließlich auf "OK" klicken.
- Öffnen Sie nun oben die Registerkarte "VPN-Verbindung", klicken Sie auf "Hinzufügen", klicken Sie auf "Erweiterte Einstellungen anzeigen", setzen Sie ein Häkchen bei "Aktivieren", wählen Sie für das "Anwendungsszenario" "Fernzugriff (Serverrolle)", wählen Sie für "VPN-Gateway" Ihr zuvor erstelltes VPN-Gateway, wählen Sie unter "Lokale Richtlinie" das zuvor erstellte IP-Bereichsobjekt "All_Traffic".
- Setzen Sie ein Häkchen bei "Enable Configuration Payload", wählen Sie als "IP Address Pool" das Objekt "IKEv2_Pool" (die DNS-Server sind optional), wählen Sie die gewünschten Vorschläge für die VPN-Verbindung und klicken Sie schließlich auf "OK", um die Konfiguration der VPN-Verbindung abzuschließen.
- Navigieren Sie nun zu Konfiguration > Objekt > Netzwerk > Routing, klicken Sie auf "Hinzufügen", setzen Sie ein Häkchen bei "Aktivieren", wählen Sie "Tunnel" für "Eingehend", wählen Sie die zuvor erstellte IPSec-Verbindung für "Bitte wählen Sie ein Mitglied aus", wählen Sie den "IKEv2_Pool" für die "Quelladresse" und wählen Sie schließlich Ihre WAN-Schnittstelle oder den WAN-Trunk als "Nächster Hop", bevor Sie abschließend auf "OK" klicken.
B) Konfigurieren Sie den SecuExtender-Client
- Öffnen Sie den IPSec-Client, klicken Sie mit der rechten Maustaste auf den Ordner "IKE V2" auf der linken Seite, um ein neues "Ikev2Gateway" hinzuzufügen, geben Sie den Domänennamen ein, den Sie auch im Zertifikat auf dem USG für das "Remote Gateway" eingetragen haben, und wählen Sie die passenden Vorschläge unter "Cryptography".
- Klicken Sie mit der rechten Maustaste auf das VPN-Gateway auf der linken Seite, um die VPN-Verbindung hinzuzufügen, wählen Sie als "Adresstyp" "Subnetzadresse", geben Sie die Subnetzadresse und Subnetzmaske des lokalen Subnetzes am USG-Standort ein, auf das die Clients Zugriff haben sollen, und wählen Sie die passenden Vorschläge für die VPN-Verbindung.
- Sollte die "Child SA Life Lifetime" nicht mit der auf der USG konfigurierten übereinstimmen, passen Sie diese bitte vor dem endgültigen Öffnen des Tunnels an, indem Sie erneut einen Rechtsklick auf die VPN-Verbindung auf der linken Seite ausführen.
C) .tgb-Datei kann unter MacOS nicht importiert werden
Wenn Sie auf Ihrem MacOS den TGB-Fehler "TGBErrorCodeMgrNotCreated.description" erhalten, hängt dies mit den Datenschutzeinstellungen im MacOS zusammen. Sie müssen dem SecuExtender erlauben, in Ihrem Betriebssystem vertrauenswürdig zu sein.
Navigieren Sie zu Einstellungen -> Datenschutz & Sicherheit -> Sicherheit und wählen Sie "App Store und identifizierte Entwickler". Dann sollte "SecuExtender VPN Client" erscheinen, und Sie müssen auf "Zulassen" drücken:
Nun können Sie die .tgb-Datei erfolgreich in den SecuExtender Client auf MacOS importieren, um Ihre Konfiguration zu erhalten.
+++ Sie können Lizenzen für Ihre Zyxel VPN Clients (SSL VPN, IPsec) mit sofortiger Lieferung per 1-Klick kaufen: Zyxel Webstore +++