Überblick

Ein VPN (virtuelles privates Netzwerk) ermöglicht eine sichere Kommunikation zwischen Standorten ohne die Kosten für Standleitungen. VPNs werden verwendet, um Datenverkehr über das Internet eines unsicheren Netzwerks zu transportieren, das TCP/IP-Kommunikation verwendet. Ein Remote-Access-VPN (Client-to-Site) ermöglicht reisenden Mitarbeitern oder Telearbeitern einen sicheren Zugang zu den Netzwerkressourcen des Unternehmens. Es gibt mehrere Arten von VPN-Protokollen/Technologien, die verwendet werden können, um eine sichere Verbindung zum Unternehmensnetz herzustellen: L2TP, PPTP, SSL, OpenVPN usw. Dieser Leitfaden bezieht sich auf das IPSec-Protokoll, um einen sicheren VPN-Tunnel zwischen externen Hosts (Benutzer, die außerhalb der Unternehmensnetzwerkstruktur mit dem Internet verbunden sind) und dem ZyWALL-Router aufzubauen. Für den Aufbau der VPN-Verbindung ist eine IPSec-Software eines Drittanbieters erforderlich, da aktuelle Betriebssysteme über keinen integrierten IPSec-Client verfügen.

1. VPN-Gateway (Phase 1)
2. VPN-Verbindung (Phase 2)
3. Bereitstellung der Konfiguration
4. ZyWALL VPN-Client
5. Testen und Fehlerbehebung

VPN-Gateway (Phase 1)

Melden Sie sich auf der ZyWALL Web-Konfigurationsseite an und gehen Sie zum Menü Konfiguration → VPN → IPSec VPN. Klicken Sie im Menü IPSec VPN auf die Registerkarte VPNGateway , um Phase 1 des Tunnelaufbaus hinzuzufügen. Klicken Sie auf die Schaltfläche Hinzufügen , um eine neue Regel einzufügen. Klicken Sie oben links im Fenster auf die Schaltfläche Erweiterte Einstellungen anzeigen , um alle Optionen des Menüs anzuzeigen.

• Aktivieren Sie das Kästchen, um die VPN-Regel zu aktivieren, und geben Sie einen Namen ein.
• Wählen Sie im Dropdown-Feld Meine Adresse die WAN-Schnittstelle aus, die Sie für die VPN-Verbindung verwenden möchten.
• Vergewissern Sie sich, dass die Peer-Gateway-Adresse auf "Dynamische Adresse" eingestellt ist.
• Geben Sie einen "Pre-Shared Key" für die VPN-Authentifizierung ein bzw. erstellen Sie einen solchen.
• Stellen Sie unter Phase 1 Settings, das Dropdown-Feld "Negotiation Mode" auf den Modus "Main" ein.
• Legen Sie den Vorschlag für "Verschlüsselung" und "Authentifizierung" fest, den Sie verwenden möchten (Verschlüsselungsoptionen sind DES, 3DES, AES128, AES192, AES256) (Authentifizierungsoptionen sind MD5, SHA1, SHA256, SHA512)
• Wählen Sie die Diffie-Hellman-Schlüsselgruppe (Optionen sind DH1, DH2, DH5)
  
  Hinweis: Das Warnsymbol auf der rechten Seite erscheint an Stellen, an denen eine Eingabe erforderlich ist oder ein Fehler bei der Eingabe vorliegt, z. B. illegale/ununterstützte Zeichen.
  

VPN-Verbindung (Phase 2)

Nachdem Sie die Regel für das VPN-Gateway (Phase 1) erstellt haben, klicken Sie auf die Registerkarte VPN-Verbindung , um die Regel für die Phase 2 des VPN-Tunnels einzufügen. Klicken Sie auf die Schaltfläche Hinzufügen , um eine Regel einzufügen. Klicken Sie oben links im Fenster auf die Schaltfläche Erweiterte Einstellungen anzeigen , um alle Optionen im Menü anzuzeigen.

• Aktivieren Sie das Kontrollkästchen, um die Regel zu aktivieren, und geben Sie ihr einen Namen.
• Legen Sie für das VPNGateway Anwendungsszenario die Option "Remote Access (Server Role)" fest.
• Legen Sie für das Anwendungsszenario das Dropdown-Menü VPN Gateway so fest, dass die im vorherigen Schritt erstellte Phase-1-Richtlinie verwendet wird. (RoadWarrior für dieses Beispiel)
• Blättern Sie nach unten zur Option Policy und stellen Sie die Local Policy so ein, dass sie das Adressobjekt "LAN1_SUBNET" verwendet. Dadurch erhält der VPN-Benutzer Zugriff auf alle Geräte, die mit LAN1
• Das aktive Protokoll unter der Phase 2 Einstellung sollte auf "ESP" gesetzt werden.
• Die Verkapselung ist "Tunnel".
• Stellen Sie den Vorschlag für "Verschlüsselung" und "Authentifizierung" ein, den Sie verwenden möchten (Verschlüsselungsoptionen sind DES, 3DES, AES128, AES192, AES256) (Authentifizierungsoptionen sind MD5, SHA1, SHA256, SHA512)
• Perfect Forward Secrecy (PFS) ist eine zusätzliche Verschlüsselungsstufe. Es ist nicht notwendig, sie zu aktivieren, aber wenn Sie die zusätzliche Verschlüsselungsstufe verwenden möchten, sind die Optionen Keine, DH1, DH2 und/oder DH5.
• Stellen Sie unter Verwandte Einstellungen, sicher, dass die Zone auf "IPSec_VPN" eingestellt ist.
  
  

Nachdem Phase 1 und Phase 2 der VPN-Regel abgeschlossen sind, deaktivieren Sie das Kontrollkästchen "Use Policy Route to control dynamic IPSec rules". Wenn Sie diese Option deaktivieren, kann die ZyWALL automatisch Routen für verbundene VPN-Benutzer erstellen.

Bereitstellung der Konfiguration

Bestimmte VPN-Clients wie der "ZyWALL IPSec VPN Client" und der "TheGreenBow VPN Client" verfügen über eine Provisioning-Option, die es ihnen ermöglicht, die von Ihnen konfigurierten VPN-Regeln herunterzuladen, anstatt den Client manuell konfigurieren zu müssen. Um das VPN-Provisioning für die dynamische VPN-Regel von RoadWarrior einzurichten, haben wir die Registerkarte Configuration Provisioning im IPSec VPN-Menü erstellt(Konfiguration → VPN → IPSec VPN).

Bevor wir das Provisioning einrichten, müssen wir ein Benutzerkonto erstellen, um den Download der Einstellungen zu ermöglichen. Gehen Sie zu Konfiguration → Objekt → Benutzer/Gruppe und klicken Sie auf die Schaltfläche Hinzufügen , um ein Konto der Ebene "Benutzer" einzufügen. Administrative Konten können die Download-Option für die Konfigurationsbereitstellung nicht nutzen.

Nachdem das Benutzerkonto erstellt wurde, gehen Sie zu Konfiguration → VPN → IPSec VPN und klicken Sie auf die Registerkarte Konfigurationsbereitstellung , um eine Regel einzufügen, die den Download der RoadWarrior VPN-Einstellungen für den VPN-Client erlaubt.

• Aktivieren Sie das Menü VPN Configuration Provisioning
• Klicken Sie auf die Schaltfläche Hinzufügen , um eine Regel zu erstellen, die die Bereitstellung derVPN-Verbindung "RoadWarrior_Connection" für den "VPN-user" Allowed User erlaubt. Stellen Sie sicher, dass die Regel aktiviert ist, und klicken Sie auf Anwenden , um die Einstellungen zu speichern.
  

ZyWALL VPN-Client

Um die auf dem Router konfigurierten Einstellungen für die VPN-Konfiguration herunterzuladen, öffnen Sie die Client-Software, klicken Sie auf das Menü Configuration und wählen Sie die Option "Get from Server".

Geben Sie die öffentliche IP-Adresse, den Domänennamen oder den DDNS-Namen ein, die mit dem ZyWALL-Router verbunden sind. Der Client lädt die Einstellung über SSL herunter. Standardmäßig ist die ZyWALL so programmiert, dass sie Port 443 für SSL verwendet. Wenn Sie den Port geändert haben, geben Sie bitte den neuen SSL-Port an. Geben Sie den Benutzernamen und das Kennwort ein, die mit der Provisioning-Konfiguration verknüpft sind, und klicken Sie auf Next.

Hinweis: Dies funktioniert nur, wenn die Remote-Verwaltung auf dem ZyWALL-Router aktiviert ist. Wenn die Remote-Verwaltung deaktiviert ist, kann die Konfigurationsbereitstellungsfunktion die VPN-Konfigurationseinstellungen nicht automatisch vom ZyWALL-Router abrufen.

Der Client sendet die Anforderung zum Herunterladen der VPN-Konfigurationseinstellungen an den ZyWALL-Router.

Nachdem die Konfiguration heruntergeladen wurde, können Sie nun einen VPN-Tunnel zwischen Ihrem Computer und dem ZyWALL-Router einrichten. Klicken Sie mit der rechten Maustaste auf den Phase-2-Teil der Konfiguration und wählen Sie "Open Tunnel", um den VPN-Dialer zu starten.

Um Full- oder Split-Tunneling für den VPN-Verkehr einzurichten, schauen Sie einfach hier nach:

VPN Voll-/Splittunneling

Testen & Fehlerbehebung

Versuchen Sie, eine VPN-Verbindung zum Router aufzubauen. Sobald die Verbindung hergestellt ist, versuchen Sie, das entfernte Netzwerk anzupingen oder auf beliebige Ressourcen zuzugreifen.

1. Wenn Sie den Datenverkehr nicht durch den VPN-Tunnel leiten können:

• Deaktivieren Sie die Firewall auf dem Remote-Host, um sicherzustellen, dass sie die Anfrage nicht blockiert.
• Versuchen Sie, über den Hostnamen des Computers auf Ressourcen zuzugreifen? Versuchen Sie stattdessen, die dem Computer zugewiesene IP-Adresse zu verwenden. Die Verwendung eines Computer-Hostnamens erfordert das NetBIOS-Broadcast-Protokoll, um die IP-Adresse des Computers aufzulösen; der IPSec-Standard unterstützt keine Broadcasts. Da der IPSec-VPN-Standard keine Broadcasts unterstützt, können wir nicht garantieren, dass die Verwendung von Hostnamen anstelle von IP-Adressen funktioniert. Ein Workaround für diese Einschränkung des IPSec-Standards wäre die Verwendung eines WINS-Servers.
• Deaktivieren Sie die Firewall des ZyWALL-Routers.
• Stellen Sie sicher, dass es keine IP-Konflikte gibt. Wenn das ZyWALL-Netzwerk für die Verwendung des Netzwerks 192.168.1.0/24 konfiguriert ist und der Remote-Benutzer das gleiche IP-Schema verwendet, wird der Datenverkehr nicht ordnungsgemäß durch den VPN-Tunnel geleitet.
• Überprüfen Sie das Gateway des Host-Netzwerks. Wenn auf dem lokalen Router (nicht auf der ZyWALL) der VPN-Pass-Through nicht aktiviert oder die erforderlichen Ports nicht geöffnet sind, funktioniert das VPN möglicherweise nicht richtig.
• Wenden Sie sich für weitere Unterstützung an den technischen Support.
• VPN-Tunnel wird nicht aufgebaut/verbunden:

• Vergewissern Sie sich, dass Ihr Netzwerkrouter die IPSec-Ports durchlässt (UDP:500 und UDP:4500), oder stellen Sie sicher, dass VPN-Pass-Through aktiviert ist, wenn der Router diese Option unterstützt. Es ist möglich, den Router zu umgehen, um sicherzustellen, dass er nicht die Ursache des Problems ist.
• Vergewissern Sie sich, dass Ihr ISP die VPN-Ports nicht blockiert; einige Provider blockieren die VPN-Ports auf ihrer Seite.
• Vergewissern Sie sich, dass die Firewall Ihres Computers die Kommunikation mit dem VPN-Client zulässt.
• Aktualisieren Sie die Treiber Ihrer NIC-Karten (Ethernet und/oder Wi-Fi).
• Überprüfen Sie die VPN-Einstellungen auf der ZyWALL und stellen Sie sicher, dass diese mit der Konfiguration des Software-Clients übereinstimmen.
• Wenden Sie sich für weitere Unterstützung an den technischen Support.

Video:

+++ Sie können Lizenzen für Ihre Zyxel VPN Clients (SSL VPN, IPsec) mit sofortiger Lieferung per 1-Klick kaufen: Zyxel Webstore +++