Wir haben unser SSO (Single Sign On) aktualisiert – Melden Sie sich bei allen Zyxel-Systemen mit einem MyZyxel-Konto an! Erfahren Sie mehr!

Artikel öffnen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

VPN-Konfigurationsbereitstellung auf einem USG-Firewall IPsec icon

Avatar
  • Aktualisiert
Zurück nach oben

Überblick

Ein VPN (Virtual Private Network) bietet eine sichere Kommunikation zwischen Standorten ohne die Kosten von Standleitungen. VPNs werden verwendet, um Datenverkehr über das Internet eines unsicheren Netzwerks zu transportieren, das TCP/IP-Kommunikation verwendet. Ein Remote-Access-VPN (Client-to-Site) ermöglicht reisenden Mitarbeitern oder Telearbeitern den sicheren Zugriff auf Unternehmensnetzwerkressourcen. Es gibt mehrere Arten von VPN-Protokollen/-Technologien, die verwendet werden können, um eine sichere Verbindung zum Firmennetzwerk herzustellen, L2TP, PPTP, SSL, OpenVPN usw. Dieses Handbuch bezieht sich auf das IPSec-Protokoll, um einen sicheren VPN-Tunnel zwischen externen Hosts aufzubauen ( Benutzer, die außerhalb der Unternehmensnetzwerkstruktur mit dem Internet verbunden sind) und den ZyWALL-Router. Zum Herstellen der VPN-Verbindung ist IPSec-Software von Drittanbietern erforderlich, da aktuelle Betriebssysteme keinen integrierten IPSec-Client haben.

Szenario

1. VPN Gateway (Phase 1)
2. VPN-Verbindung (Phase 2)
3. Konfigurationsbereitstellung
4. ZyWALL VPN-Client
5. Testen & Fehlerbehebung

VPN Gateway (Phase 1)

Melden Sie sich auf der ZyWALL-Webkonfigurationsseite an und gehen Sie zum Menü Konfiguration → VPN → IPSec-VPN . Klicken Sie im IPSec-VPN-Menü auf das VPN Gateway Registerkarte, um Phase 1 des Tunnelaufbaus hinzuzufügen. Drücke den Hinzufügen Schaltfläche, um eine neue Regel einzufügen. Klicken Sie oben links im Fenster auf das Erweiterte Einstellungen anzeigen um alle Optionen im Menü anzuzeigen.

  • Aktivieren Sie das Kontrollkästchen, um die VPN-Regel zu aktivieren und einen Namen anzugeben
  • Wählen Sie unter die WAN-Schnittstelle aus, über die Sie das VPN verbinden möchten Meine Adresse Dropdown-Feld
  • Stellen Sie sicher, dass Peer Gateway Adresse ist auf „Dynamische Adresse“ eingestellt
  • Geben Sie eine VPN-Authentifizierung "Pre-Shared Key" ein/erstellen Sie sie
  • Unter dem Einstellungen für Phase 1, Stellen Sie das Dropdown-Menü „Negotiation Mode“ ein, um den „Main“-Modus zu verwenden
  • Legen Sie den Vorschlag für „Verschlüsselung“ und „Authentifizierung“ fest, den Sie verwenden möchten (Verschlüsselungsoptionen sind DES, 3DES, AES128, AES192, AES256) (Authentifizierungsoptionen sind MD5, SHA1, SHA256, SHA512)
  • Wählen Sie die Diffie-Hellman-Schlüsselgruppe (Optionen sind DH1, DH2, DH5)

    Vorsicht Hinweis: Das Warnsymbol rechts erscheint in Bereichen, in denen eine Eingabe erforderlich ist oder ein Fehler bei der Eingabe vorliegt, wie z. B. unzulässige/nicht unterstützte Zeichen.
    Bild1.png

 

VPN-Verbindung (Phase 2)

Nachdem die VPN-Regel Gateway (Phase 1) erstellt wurde, klicken Sie auf das VPN-Verbindung Registerkarte, um die Phase-2-Regel für den VPN-Tunnel einzufügen. Drücke den Hinzufügen Schaltfläche, um eine Regel einzufügen. Klicken Sie oben links im Fenster auf das Erweiterte Einstellungen anzeigen um alle Optionen im Menü anzuzeigen.

  • Aktivieren Sie das Kontrollkästchen, um die Regel zu aktivieren, und geben Sie ihr einen Namen.
  • Stellen Sie die VPN Gateway Anwendungsszenario zur Nutzung von „Remote Access (Server Role)“
  • Legen Sie für das Anwendungsszenario die Dropdown-Liste VPN Gateway fest, um die im vorherigen Schritt erstellte Phase-1-Richtlinie zu verwenden. (RoadWarrior für dieses Beispiel)
  • Scrollen Sie nach unten zum Politik Option und legen Sie die lokale Richtlinie so fest, dass das Adressobjekt „LAN1_SUBNET“ verwendet wird. Dadurch erhält der VPN-Benutzer Zugriff über alle an LAN1 angeschlossenen Geräte
  • Aktives Protokoll unter dem Phase 2 Einstellung sollte auf „ESP“ stehen
  • Die Kapselung ist „Tunnel“
  • Legen Sie den Vorschlag für „Verschlüsselung“ und „Authentifizierung“ fest, den Sie verwenden möchten (Verschlüsselungsoptionen sind DES, 3DES, AES128, AES192, AES256) (Authentifizierungsoptionen sind MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) ist eine zusätzliche Verschlüsselungsstufe. Es ist nicht erforderlich, es zu aktivieren, aber wenn Sie die hinzugefügte Verschlüsselungsstufe verwenden möchten, sind die Optionen Keine, DH1, DH2 und/oder DH5.
  • Unter Zugehörige Einstellungen, Stellen Sie sicher, dass die Zone auf „IPSec_VPN“ eingestellt ist

    Picture2.png

Nachdem Phase 1 und Phase 2 der VPN-Regel abgeschlossen sind, deaktivieren Sie das Kontrollkästchen „Richtlinienroute zur Steuerung dynamischer IPSec-Regeln verwenden“. Wenn Sie diese Option deaktivieren, kann die ZyWALL automatisch Routen für verbundene VPN-Benutzer erstellen.
Picture3.png

 

Konfigurationsbereitstellung

Bestimmte VPN-Clients wie der „ZyWALL IPSec VPN Client“ und „TheGreenBow VPN Client“ verfügen über eine Bereitstellungsoption, die es ihnen ermöglicht, die von Ihnen konfigurierten VPN-Regeleinstellungen herunterzuladen, anstatt den Client manuell konfigurieren zu müssen. Um die VPN-Bereitstellung für die dynamische VPN-Regel RoadWarrior einzurichten, haben wir gerade die Konfigurationsbereitstellung Registerkarte im IPSec VPN-Menü ( Konfiguration → VPN → IPSec VPN ).

Bevor wir die Bereitstellung einrichten, müssen wir ein Benutzerkonto erstellen, um das Herunterladen von Einstellungen zu ermöglichen. Gehe zu Konfiguration → Objekt → Benutzer/Gruppe und klicke auf Hinzufügen Schaltfläche zum Einfügen eines Kontos auf Benutzerebene. Administratorkonten können die Downloadoption für die Konfigurationsbereitstellung nicht verwenden.
Picture4.png

Nachdem das Benutzerkonto erstellt wurde, gehen Sie zu Konfiguration → VPN → IPSec-VPN und klicke auf Konfigurationsbereitstellung Registerkarte, um eine Regel einzufügen, um das Herunterladen des VPN-Clients der RoadWarrior VPN-Einstellungen zuzulassen.

  • Aktivieren Sie das Menü VPN-Konfigurationsbereitstellung
  • Drücke den Hinzufügen Schaltfläche, um eine Regel zu erstellen, um die Bereitstellung der „RoadWarrior_Connection“ zu ermöglichen VPN-Verbindung für den „VPN-Benutzer“ Zulässiger Benutzer . Stellen Sie sicher, dass die Regel aktiviert ist, und klicken Sie auf Anwenden um die Einstellungen zu speichern.
    Picture5.png

 

ZyWALL VPN-Client

Um die auf dem Router konfigurierten Provisioning-Einstellungen für die VPN-Konfiguration herunterzuladen, öffnen Sie die Client-Software, klicken Sie auf Aufbau Menü und wählen Sie die Option "Vom Server abrufen".
Picture6.png

Geben Sie die öffentliche IP-Adresse, den Domänennamen oder den DDNS-Namen ein, die mit dem ZyWALL-Router verknüpft sind. Der Client lädt die Einstellung über SSL herunter. Standardmäßig ist die ZyWALL so programmiert, dass sie Port 443 für SSL verwendet. Wenn Sie den Port geändert haben, geben Sie bitte den neuen SSL-Port an. Geben Sie den Benutzernamen und das Kennwort für die Bereitstellungskonfiguration ein und klicken Sie auf Weiter .

Bild7.png
Hinweis: Dies funktioniert nur, wenn die Fernverwaltung auf dem ZyWALL-Router aktiviert ist. Wenn die Fernverwaltung deaktiviert wurde, kann die Konfigurationsbereitstellungsfunktion die VPN-Konfigurationseinstellungen nicht automatisch vom ZyWALL-Router abrufen.

 

Der Client sendet die Anfrage zum Herunterladen der VPN-Konfigurationseinstellungen an den ZyWALL-Router.
Bild8.png

 

Nachdem die Konfiguration heruntergeladen wurde, können Sie einen VPN-Tunnel zwischen Ihrem Computer und dem ZyWALL-Router einrichten. Klicken Sie mit der rechten Maustaste auf den Phase-2-Teil der Konfiguration und wählen Sie „Open Tunnel“, um den VPN-Dialer zu starten.
Bild9.png

 

 

Um Full- oder Split-Tunneling für den VPN-Traffic einzurichten, schauen Sie einfach hier:

VPN-Voll-/Split-Tunneling

 

 

Testen & Fehlerbehebung

Versuchen Sie, eine VPN-Verbindung zum Router aufzubauen. Sobald die Verbindung hergestellt ist; Versuchen Sie, einen Ping-Befehl zu senden oder auf Ressourcen aus dem Remote-Netzwerk zuzugreifen.

  1. Wenn Sie keinen Datenverkehr durch den VPN-Tunnel erhalten:
  • Deaktivieren Sie die Firewall auf dem Remote-Host, um sicherzustellen, dass die Anforderung nicht blockiert wird.
  • Versuchen Sie, mit dem Hostnamen des Computers auf Ressourcen zuzugreifen? Versuchen Sie stattdessen, die dem Computer zugewiesene IP-Adresse zu verwenden. Die Verwendung eines Computer-Hostnamens erfordert das NetBIOS-Broadcast-Protokoll, um die IP-Adresse des Computers aufzulösen; der IPSec-Standard unterstützt keine Broadcasts. Da der IPSec-VPN-Standard keine Broadcasts unterstützt, können wir nicht garantieren, dass die Verwendung von Hostnamen anstelle von IPs funktioniert. Eine Problemumgehung für diese Einschränkung des IPSec-Standards wäre die Verwendung eines WINS-Servers.
  • Deaktivieren Sie die Firewall des ZyWALL-Routers.
  • Stellen Sie sicher, dass keine IP-Konflikte vorliegen. Wenn das ZyWALL-Netzwerk für die Verwendung des Netzwerks 192.168.1.0/24 konfiguriert ist und der Remote-Benutzer ebenfalls dasselbe IP-Schema verwendet, wird der Datenverkehr nicht ordnungsgemäß durch den VPN-Tunnel geleitet.
  • Überprüfen Sie das Host-Netzwerk-Gateway. Wenn der lokale Router (nicht die ZyWALL) VPN-Pass-Through aktiviert oder die erforderlichen Ports nicht geöffnet hat, funktioniert das VPN möglicherweise nicht richtig.
  • Wenden Sie sich an den technischen Support, um weitere Unterstützung zu erhalten.
  • VPN-Tunnel wird nicht hergestellt/verbindet:
  • Stellen Sie sicher, dass Ihr Netzwerkrouter die IPSec-Ports (UDP:500 und UDP:4500) zulässt, oder stellen Sie sicher, dass VPN-Passthrough aktiviert ist, wenn der Router diese Option unterstützt. Es ist möglich, den Router zu umgehen, um sicherzustellen, dass er das Problem nicht verursacht.
  • Stellen Sie sicher, dass Ihr ISP keine VPN-Ports blockiert. Einige Anbieter blockieren die VPN-Ports auf ihrer Seite.
  • Stellen Sie sicher, dass die Firewall Ihres Computers die Kommunikation vom VPN-Client zulässt.
  • Aktualisieren Sie Ihre NIC-Kartentreiber (Ethernet und/oder Wi-Fi).
  • Überprüfen Sie die VPN-Einstellungen auf der ZyWALL und stellen Sie sicher, dass sie mit der Software-Client-Konfiguration übereinstimmen.
  • Wenden Sie sich an den technischen Support, um weitere Unterstützung zu erhalten.

Video:

 

+++ Sie können Lizenzen für Ihre Zyxel VPN-Clients (SSL VPN, IPsec) mit sofortiger Lieferung per 1-Klick kaufen: Zyxel Webstore +++

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version, lesen Sie bitte den Originalartikel hier: Originalversion

https://support.zyxel.eu/hc/requests/new?ticket_form_id=114093996354
War dieser Beitrag hilfreich?
2 von 5 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.