VPN - Konfigurieren Sie L2TP über IPSec VPN mit PSK [Stand-alone-Modus]

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel zeigt, wie L2TP über IPSec im Standalone-Modus für die USG FLEX / ATP / VPN-Serie konfiguriert wird, wie der Assistent konfiguriert wird, wie die Konfiguration heruntergeladen wird, wie L2TP manuell über das Menü "VPN-Gateway & Verbindung" konfiguriert wird, was in den Firewall-Regeln zugelassen werden soll, wie der Internetzugang für L2TP (kein Internet) aktiviert wird, wie die Standardkonfiguration wiederhergestellt wird, wie VPN-Benutzer eingerichtet werden, wie ein VPN vom LAN aus eingerichtet wird, wie externe Server zur Authentifizierung von Benutzern verwendet werden, wie Fehler mithilfe von Protokollen behoben werden, wie MS-CHAPv2 konfiguriert wird.

Inhaltsübersicht

1. L2TP VPN mit dem integrierten Assistenten konfigurieren

1.1 Navigieren Sie zum Assistenten

1.2 Wählen Sie das Szenario L2TP über IPSec-Client

1.3 Konfigurieren Sie die VPN-Konfiguration

1.4 Konfigurieren Sie die Benutzerauthentifizierung

1.5 Speichern der Konfiguration und Herunterladen der L2TP-Konfiguration

2) L2TP/IPSec VPN manuell einrichten

2.1 VPN-Gateway konfigurieren

2.2 VPN-Verbindung konfigurieren

2.3 L2TP-VPN-Einstellungen konfigurieren

2.4 Zusammenfassen der L2TP-Einstellungen

3) Unerlässliche Konfigurationen

3.1 UDP-Ports 4500 und 500 zulassen

3.2 Aktivieren Sie den Internetzugang über L2TP via Policy Routes

4. Tipps & Fehlerbehebung

4.1 L2TP-VPN-Standardkonfiguration wiederherstellen

4.2 Einrichten der L2TP-VPN-Clients

4.3 Erweiterte Einrichtung: Aufbau eines L2TP-VPNs aus dem LAN:

4.4 Erweiterte Einrichtung: Verwendung externer Server zur Authentifizierung von Benutzern, die sich mit L2TP VPN verbinden

4.5 L2TP über IPSec VPN - Virtuelles Labor

4.6 Fehlersuche

4.7 Konfigurieren von L2TP MS-CHAPv2 auf USG/Zywall-Serie

Was ist L2TP über IPSec VPN?

Bevor wir mit der Konfigurationsanleitung beginnen, möchten wir Ihnen eine Einführung in L2TP over IPSec VPN geben.

L2TP over IPSec kombiniert das Layer 2 Tunneling Protocol (L2TP, das eine Punkt-zu-Punkt-Verbindung ermöglicht) mit dem IPSec-Protokoll. L2TP allein bietet keine Verschlüsselung von Inhalten, und daher wird der Tunnel üblicherweise über ein Layer-3-Verschlüsselungsprotokoll (IPsec) aufgebaut, wodurch das sogenannte L2TP over IPSec VPN entsteht.

In diesem Handbuch finden Sie alle Informationen, die für L2TP-VPN-Verbindungen in den Zyxel-Firewall-Geräten erforderlich sind. Sie können die Konfigurationsmethoden (über den Assistenten und manuell), das Client-Setup für Windows, MAC und Linux sowie fortgeschrittene Setups für die Authentifizierung, verschiedene Topologien und die Fehlersuche auf den Firewall-Geräten und den Client-Geräten erkunden. Es wird auch ein virtueller Laborzugang definiert, in dem es möglich ist, unsere Einrichtung zu überprüfen, die auch für die Einrichtung des Remote-VPN in Ihrem Gerät verwendet werden kann.

1. Konfigurieren Sie L2TP VPN mit dem integrierten Assistenten

1.1 Navigieren Sie zum Assistenten

a. Öffnen Sie dieRegisterkarte Quick Setup und wählen Sie im Pop-up-Fenster Remote Access VPN Setup:

mceclip0.png

1.2 Wählen Sie das L2TP over IPSec Client-Szenario

mceclip1.png

1.3 Konfigurieren Sie die VPN-Konfiguration

Geben Sie einen bevorzugten Pre-Shared Key ein und wählen Sie die entsprechende WAN-Schnittstelle aus.

Hier können Sie auch festlegen, ob der Datenverkehr vom Client-Gerät zum Internet durch die Firewall geleitet werden darf (Firewall-Regeln und -Routen), falls das Client-Gerät nicht über ein Split-Tunneling-Set verfügt.
mceclip2.png
Definieren Sie den Adresspool für die L2TP-Benutzer, wenn diese mit dem VPN verbunden sind. Sie können hier auch den vordefinierten Bereich 192.168.51.1-250 wählen.
Hinweis: Er sollte sich nicht mit einem bestehenden Netzwerk auf Ihrem Gerät überschneiden.
Für DNS wählen Sie entweder ZyWALL oder geben Sie einen Server manuell ein.
mceclip3.png

1.4 Konfigurieren der Benutzerauthentifizierung

Wählen Sie ein bestehendes Benutzerobjekt aus, um es zur L2TP-Mitgliederliste hinzuzufügen, oder erstellen Sie einen neuen Benutzer über die Schaltfläche"Add New User".
mceclip4.png

1.5 Speichern Sie die Konfiguration und laden Sie die L2TP-Konfiguration herunter

Nach einem Klick auf "Speichern" ist der L2TP-Tunnel einsatzbereit.
mceclip5.png
g. Stellen Sie sicher, dass die Firewall-Regeln den Zugriff auf die Ports UDP 4500 und 500 vom WAN zu Zywall erlauben und dass die Standardzone IPSec_VPN Zugriff auf die Netzwerkressourcen hat. Dies kann in überprüft werden:
Configuration  > Security Policy > Policy Control 

2) Manuelles Einrichten des L2TP/IPSec-VPN

Im Folgenden werden die Schritte beschrieben, die für die manuelle Konfiguration eines L2TP-over-IPSec-VPNs erforderlich sind. Die Topologie und die Anwendung sind die gleichen wie bei der Verwendung des Assistenten, der einzige Unterschied sind die Schritte bei der Konfiguration.

2.1 VPN-Gateway konfigurieren

Rufen Sie den folgenden Pfad auf und erstellen Sie ein neues VPN-Gateway:

Configuration > VPN > IPSEC VPN > VPN Gateway

Bitte klicken Sie auf "Erweiterte Einstellungen anzeigen". Geben Sie einen Namen für das Gateway ein, wählen Sie Ihre WAN-Schnittstelle und fügen Sie einen Pre-Shared Key hinzu:

L2TP_1.PNG

Setzen Sie den Aushandlungsmodus auf " Main" und fügen Sie die folgenden (allgemeinen) Vorschläge hinzu und bestätigen Sie mit "OK":

L2TP_2.PNG

2.2 VPN-Verbindung konfigurieren

Rufen Sie den folgenden Pfad auf und erstellen Sie eine neue VPN-Verbindung:

 Configuration > VPN > IPSec VPN > VPN Connection

Bitte klicken Sie auf "Erweiterte Einstellungen anzeigen". Geben Sie einen Namen für die Verbindung ein, setzen Sie das Anwendungsszenario auf Remote Access (Server Role) und wählen Sie das zuvor erstellte VPN Gateway aus:

L2TP_3.PNG

Für die Lokale Richtlinie erstellen Sie ein neues IPv4-Adressobjekt (über die Schaltfläche"Neues Objekt erstellen") für Ihre reale WAN-IP und setzen es dann auf die VPN-Verbindung als Lokale Richtlinie:

L2TP_5.PNG

L2TP_6.PNG

Setzen Sie die Encapsulation auf Transport und fügen Sie die folgenden Vorschläge hinzu und bestätigen Sie mit OK:

L2TP_7.PNG

2.3 L2TP-VPN-Einstellungen konfigurieren

Nachdem die IPSec-Einstellungen vorgenommen wurden, müssen nun die L2TP-Einstellungen eingerichtet werden. Rufen Sie den folgenden Pfad auf:

Configuration -> VPN -> L2TP VPN Settings

Legen Sie bei Bedarf neue lokale Benutzer an, die sich mit dem VPN verbinden dürfen:
L2TP_8.PNG

L2TP_9.PNG

Erstellen Sie einen L2TP-IP-Adresspool mit einem Bereich von IP-Adressen, die von den Clients verwendet werden sollen, während sie mit dem L2TP/IPSec-VPN verbunden sind.

Hinweis: Dieser sollte nicht mit WAN-, LAN-, DMZ- oder WLAN-Subnetzen kollidieren, selbst wenn diese nicht verwendet werden.

L2TP_8.PNG

L2TP_10.PNG

2.4 Zusammenfassen der L2TP-Einstellungen

Lassen Sie uns nun die L2TP-Einstellungen vornehmen:

  • Stellen Sie die VPN-Verbindung ein, die Sie unter 2.2 VPN-Verbindung konfigurieren erstellt haben
  • Als IP-Adress-Pool können Sie das L2TP-IP-Bereichsobjekt einstellen
  • Die Authentifizierungsmethode kann als Standard für die lokale Benutzerauthentifizierung eingestellt werden
  • Die zulässigen Benutzer können für den Benutzer festgelegt werden. Wenn mehrere Benutzer benötigt werden, kann auf der Seite Objekt eine Benutzergruppe erstellt werden.
  • Als DNS-Server und WINS-Server kann entweder das Firewall-Gerät selbst (Zywall) oder eine benutzerdefinierte Server-IP-Adresse gewählt werden.
  • Falls ein Internetzugang über das Firewall-Gerät benötigt wird, während es mit dem L2TP/IPSec-VPN verbunden ist, stellen Sie sicher, dass die Option "Verkehr über die WAN-Zone zulassen" aktiviert ist.
  • Klicken Sie auf "Übernehmen", um die Einstellungen zu speichern. Damit ist das L2TP/IPSec VPN als solches nun fertig.

L2TP_11.PNG

3) Must-Have-Konfigurationen

3.1 UDP-Ports 4500 und 500 zulassen

Stellen Sie sicher, dass die Firewall-Regeln den Zugriff auf die Ports UDP 4500 und 500 vom WAN zu Zywall erlauben und dass die Standardzone IPSec_VPN Zugriff auf die Netzwerkressourcen hat. Dies kann in überprüft werden:

Configuration  > Security Policy > Policy Control 

3.2 Aktivieren Sie den Internetzugang über L2TP über Policy Routes

Wenn ein Teil des Datenverkehrs von den L2TP-Clients ins Internet gehen muss, erstellen Sie eine Policy-Route, um den Datenverkehr von den L2TP-Tunneln über einen WAN-Trunk zu senden.

Rufen Sie den folgenden Pfad auf und fügen Sie eine neue Policy Route hinzu:
Configuration > Network > Routing > Policy Route

Setzen Sie Incoming auf Tunnel und wählen Sie Ihre L2TP-VPN-Verbindung aus. Setzen Sie die Quelladresse auf den L2TP-Adresspool. Setzen Sie den Next-Hop Type auf Trunk und wählen Sie den entsprechenden WAN-Trunk.

L2TP_12.PNG

Weitere Einzelheiten zu diesem Schritt finden Sie in diesem Artikel:

Wie man L2TP-Clients über USG surfen lässt

4. Tipps & Fehlerbehebung

4.1 L2TP-VPN-Standardkonfiguration wiederherstellen

In manchen Fällen kann es erforderlich sein, die L2TP-VPN-Einstellungen auf der Seite neu zu starten:

Configuration > VPN > L2TP VPN

Verwenden Sie bei Bedarf den folgenden Artikel, der die Methoden zur Wiederherstellung der Standardeinstellungen beschreibt.

ZyWALL USG: VPN-L2TP-Standardkonfiguration wiederherstellen

4.2 Einrichten derL2TP-VPN-Clients

L2TP über IPSec ist sehr populär und wird von vielen Endgeräteplattformen mit ihren eigenen integrierten Clients unterstützt.

Hier sind einige der gängigsten und wie man sie einrichtet:

4.3 Erweiterte Einrichtung: Aufbau eines L2TP-VPNs aus dem LAN:

Das VPN ist eine beliebte Funktion zur Verschlüsselung von Paketen bei der Datenübertragung.

Wenn das aktuelle Design von ZyWALL/USG/ATP auf der WAN1-Schnittstelle basiert, muss die VPN-Anfrage von der WAN1-Schnittstelle kommen (eingeschränkte Schnittstelle), andernfalls wird die Anfrage abgelehnt. (z. B.: VPN-Verbindung kommt von LAN1)

In einigen Szenarien kann es jedoch vorkommen, dass Benutzer den VPN-Tunnel nicht nur über das WAN, sondern auch über das LAN aufbauen müssen.

Auch dieses Szenario wird von ZyWALL/USG/ATP unterstützt. Die Benutzer können wie folgt vorgehen, um die VPN-Schnittstellenbeschränkung zu deaktivieren, so dass die VPN-Verbindung anschließend sowohl über das WAN als auch über das LAN aufgebaut werden kann.

Topologie:

mceclip6.png

USG Firmware-Version:

4.32 oder höher

USG-Konfiguration:

Um L2TP vom LAN aus zu aktivieren, müssen Sie über eine Terminalverbindung (seriell, Telnet, SSH) auf Ihr Gerät zugreifen und die folgenden Befehle eingeben:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
 Gerätneu starten.

4.4 Erweiterte Einstellungen: Verwendung externer Server zur Authentifizierung von Benutzern, die sich mit L2TP VPN verbinden

In diesem Abschnitt wird beschrieben, wie Sie L2TP über IPSec mit MS-CHAPv2 auf der USG/Zywall-Serie konfigurieren. Bei erweiterten Implementierungen kann die Benutzerauthentifizierung mit Active Directory (AD)-Servern in die L2TP/IPSec-VPN-Authentifizierung integriert werden.

Szenario:

AD-Domäne: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Navigieren Sie zu Konfiguration>Objekt>AAA-Server. Aktivieren Sie die Domänenauthentifizierung für MSCHAP

Die Anmeldeinformationen sind normalerweise dieselben wie die des AD-Administrators.

mceclip11.png

2. Gehen Sie zuSystem>Host Name,geben Sie die AD-Domänein Domain Name ein

Mit diesem Ablauf wird die USG mit der AD-Domäne verbunden. Der Tunnel wird nur dann erfolgreich aufgebaut, wenn dieser Teil funktioniert.

mceclip12.png

3. Überprüfen Sie, ob USG der Domäne beigetreten ist. Navigieren Sie zu Active Directory-Benutzer und -Computer>Computer

In diesem Fall können Sie feststellen, dass usg110 der Domäne beigetreten ist. Sie können auch die detaillierten Informationen auf der Registerkarte Eigenschaften>Objekt durch Rechtsklick überprüfen.

mceclip13.png

4. Domain-Zone bearbeiten, Domain-Name in System> DNS >Domain Zone Forwarder eingeben .

Manchmal kann es während der Einwahl in den Tunnel zu Zeitüberschreitungen kommen, daher müssen Sie die folgende Einstellung konfigurieren: Query interface ist der Ort, an dem sich Ihr AD-Server befindet.

mceclip15.png

5. Überprüfen Sie die Verbindungseinstellungen in Ihrem Windows.

Vergewissern Sie sich, dass Sie (MS-CHAP v2) aktiviert und den Pre-Shared Key in den erweiterten Einstellungen eingegeben haben.

mceclip16.png

6. Überprüfen Sie die Anmeldeinformationen auf der Seite Monitor>. Der AD-Benutzer sollte in der Liste Aktueller Benutzer erscheinen, sobald die Einwahl in den Tunnel erfolgreich verlaufen ist.

Sie können feststellen, dass der Benutzertyp L2TP ist und die Benutzerinformation externer Benutzer lautet.

mceclip17.png

Als weitere Information finden Sie im folgenden Artikel Details zu den unterstützten Authentifizierungen, die von unseren Firewalls mit L2TP/IPSec VPN unterstützt werden:

ZyWALL USG - Unterstützte Authentifizierung über L2TP

4.5 L2TP über IPSec VPN - Virtuelles Labor

Werfen Sie einen Blick auf unser Virtual Lab für die L2TP-VPN-Einrichtung auf unseren Firewall-Geräten. Mit diesem virtuellen Labor können Sie sich die korrekte Konfiguration zum Vergleich ansehen, während Sie Ihre Umgebung einrichten:

Virtuelles Labor - End-to-Site VPN (L2TP)

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
5 von 10 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.