Dieser Artikel zeigt, wie man L2TP über IPSec im Standalone-Modus für USG FLEX / ATP / VPN-Serie konfiguriert, wie man den Assistenten verwendet, die Konfiguration herunterlädt, L2TP manuell über das VPN-Gateway- und Verbindungsmenü einrichtet, was in den Firewall-Regeln erlaubt werden muss, wie man den Internetzugang für L2TP (kein Internet) aktiviert, die Standardkonfiguration wiederherstellt, VPN-Benutzer einrichtet, eine VPN-Verbindung vom LAN herstellt, externe Server zur Benutzerauthentifizierung verwendet, Fehlerbehebung mit Protokollen durchführt und MS-CHAPv2 konfiguriert.
Was ist L2TP über IPSec VPN?
Bevor wir mit der Konfigurationsanleitung beginnen, geben wir eine Einführung in das L2TP über IPSec VPN.
L2TP über IPSec kombiniert das Layer 2 Tunneling Protocol (L2TP, das eine Punkt-zu-Punkt-Verbindung bereitstellt) mit dem IPSec-Protokoll. L2TP allein bietet keine Verschlüsselung des Inhalts, daher wird der Tunnel üblicherweise über ein Layer-3-Verschlüsselungsprotokoll IPsec aufgebaut, was zum sogenannten L2TP über IPSec VPN führt.
In diesem Handbuch finden Sie alle notwendigen Informationen für L2TP VPN-Verbindungen in Zyxel Firewall-Geräten, einschließlich der Konfigurationsmethoden (über den Assistenten und manuell), der Client-Einrichtung für Windows, MAC und Linux sowie fortgeschrittenere Einstellungen für Authentifizierung, unterschiedliche Topologien und Fehlerbehebung auf den Firewall- und Client-Geräten. Ein virtueller Laborzugang ist ebenfalls definiert, wo Sie unsere Einrichtung prüfen können, die auch beim Einrichten des Remote-VPN auf Ihrem Gerät verwendet werden kann.
L2TP VPN mit dem integrierten Assistenten konfigurieren
Navigieren Sie zum Assistenten
a. Öffnen Sie den Quick Setup Tab und wählen Sie im Pop-up-Fenster Remote Access VPN Setup:
Wählen Sie das Szenario L2TP über IPSec Client
VPN-Konfiguration einrichten
Geben Sie einen bevorzugten Pre-Shared Key ein und wählen Sie die entsprechende WAN-Schnittstelle.
Benutzerauthentifizierung konfigurieren
Konfiguration speichern & L2TP-Konfiguration herunterladen
Configuration > Security Policy > Policy Control L2TP/IPSec VPN manuell einrichten
Im Folgenden werden die Schritte beschrieben, die zum manuellen Konfigurieren eines L2TP über IPSec VPN erforderlich sind. Topologie und Anwendung sind die gleichen wie beim Einsatz des Assistenten, der einzige Unterschied liegt in den Konfigurationsschritten.
VPN-Gateway konfigurieren
Gehen Sie zum folgenden Pfad und erstellen Sie ein neues VPN-Gateway:
Configuration > VPN > IPSEC VPN > VPN GatewayBitte klicken Sie auf "Erweiterte Einstellungen anzeigen". Geben Sie einen Namen für das Gateway ein, wählen Sie Ihre WAN-Schnittstelle und fügen Sie einen Pre-Shared Key hinzu:
Stellen Sie den Aushandlungsmodus auf Main und fügen Sie die folgenden (üblichen) Vorschläge hinzu, bestätigen Sie mit OK:
VPN-Verbindung konfigurieren
Gehen Sie zum folgenden Pfad und erstellen Sie eine neue VPN-Verbindung:
Configuration > VPN > IPSec VPN > VPN ConnectionBitte klicken Sie auf "Erweiterte Einstellungen anzeigen". Geben Sie den Namen der Verbindung ein, setzen Sie das Anwendungsszenario auf Remote Access (Server Role) und wählen Sie das zuvor erstellte VPN-Gateway aus:
Erstellen Sie für die lokale Richtlinie ein neues IPv4-Adressobjekt (über die Schaltfläche "Neues Objekt erstellen") für Ihre reale WAN-IP und weisen Sie es dann der VPN-Verbindung als Local Policy zu:
Setzen Sie die Kapselung auf Transport und fügen Sie die folgenden Vorschläge hinzu, bestätigen Sie mit OK:
L2TP VPN-Einstellungen konfigurieren
Nachdem die IPSec-Einstellungen abgeschlossen sind, müssen die L2TP-Einstellungen vorgenommen werden. Gehen Sie zum folgenden Pfad:
Configuration -> VPN -> L2TP VPN SettingsErstellen Sie bei Bedarf neue lokale Benutzer, die sich mit dem VPN verbinden dürfen:
Erstellen Sie einen L2TP-IP-Adresspool mit einem Bereich von IP-Adressen, die von den Clients während der Verbindung zum L2TP/IPSec VPN verwendet werden sollen.
Hinweis: Dieser sollte nicht mit WAN-, LAN-, DMZ- oder WLAN-Subnetzen kollidieren, auch wenn diese nicht in Gebrauch sind.
L2TP-Einstellungen zusammenfassen
Jetzt setzen wir die L2TP-Einstellungen:
- Setzen Sie die in 2.2 Konfigurieren der VPN-Verbindung erstellte VPN-Verbindung
- Für den IP-Adresspool können Sie das L2TP-IP-Bereichsobjekt festlegen
- Die Authentifizierungsmethode kann standardmäßig auf lokale Benutzerauthentifizierung gesetzt werden
- Die erlaubten Benutzer können für den Benutzer festgelegt werden. Wenn mehrere Benutzer benötigt werden, kann auf der Objektseite eine Benutzergruppe erstellt werden.
- Der DNS-Server bzw. die DNS-Server und der WINS-Server können entweder das Firewall-Gerät selbst (Zywall) oder eine benutzerdefinierte Server-IP-Adresse sein.
- Falls Internetzugang über das Firewall-Gerät während der Verbindung zum L2TP/IPSec VPN benötigt wird, stellen Sie sicher, dass die Option „Traffic durch WAN-Zone erlauben“ aktiviert ist.
- Klicken Sie auf „Übernehmen“, um die Einstellungen zu speichern. Damit ist das L2TP/IPSec VPN nun einsatzbereit.
Unverzichtbare Konfigurationen - UDP-Ports 4500 & 500 erlauben
Stellen Sie sicher, dass die Firewall-Regeln den Zugriff auf die Ports UDP 4500 und 500 vom WAN zur Zywall erlauben und dass die Standardzone IPSec_VPN Zugriff auf die Netzwerkressourcen hat. Dies kann überprüft werden unter:
Configuration > Security Policy > Policy Control Internetzugang über L2TP mittels Richtlinienrouten aktivieren
Wenn ein Teil des Datenverkehrs von den L2TP-Clients ins Internet gehen soll, erstellen Sie eine Richtlinienroute, um den Verkehr aus den L2TP-Tunneln über einen WAN-Trunk zu senden.
Configuration > Network > Routing > Policy RouteSetzen Sie Incoming auf Tunnel und wählen Sie Ihre L2TP-VPN-Verbindung. Setzen Sie die Quelladresse auf den L2TP-Adresspool. Setzen Sie den Next-Hop-Typ auf Trunk und wählen Sie den entsprechenden WAN-Trunk.
Tipps & Fehlerbehebung - Wiederherstellen der L2TP VPN-Standardkonfiguration
In manchen Fällen kann es nötig sein, Ihre L2TP VPN-Einstellungen auf der Seite neu zu starten:
Configuration > VPN > L2TP VPNEinrichten der L2TP VPN-Clients
L2TP über IPSec ist sehr beliebt und wird von vielen Endgeräteplattformen mit eigenen integrierten Clients unterstützt.
Hier sind einige der häufigsten und wie man sie einrichtet:
Windows/MacOS/Linux:
Erweiterte Einrichtung: Aufbau eines L2TP VPN vom LAN aus:
Das VPN ist eine beliebte Funktion zur Verschlüsselung von Paketen bei der Datenübertragung.
Im aktuellen Design von ZyWALL/USG/ATP muss, wenn die VPN-Schnittstelle auf der WAN1-Schnittstelle basiert, die VPN-Anfrage von der WAN1-Schnittstelle kommen (schnittstellenbeschränkt), andernfalls wird die Anfrage abgelehnt. (z.B. VPN-Verbindung kam von LAN1)
In manchen Szenarien kann es jedoch erforderlich sein, den VPN-Tunnel nicht nur vom WAN, sondern auch vom LAN aus aufzubauen.
Dieses Szenario wird von ZyWALL/USG/ATP ebenfalls unterstützt. Benutzer können der folgenden Vorgehensweise folgen, um die VPN-Schnittstellenbeschränkung auszuschalten, sodass die VPN-Verbindung zukünftig sowohl vom WAN als auch vom LAN kommen kann.
USG-Firmware-Version: 4.32 oder höher
USG-Konfiguration:
Um L2TP vom LAN zu aktivieren, müssen Sie mit einer Terminalverbindung (seriell, Telnet, SSH) auf Ihr Gerät zugreifen und folgende Befehle eingeben:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Gerät neu starten.Erweiterte Einrichtung: Verwendung externer Server zur Authentifizierung von Benutzern, die sich mit L2TP VPN verbinden
Dieser Abschnitt beschreibt, wie man L2TP über IPSec mit MS-CHAPv2 auf USG/Zywall-Serien konfiguriert. Für fortgeschrittene Implementierungen kann die Benutzerauthentifizierung mit Active Directory (AD)-Servern auf der L2TP/IPSec VPN-Authentifizierung implementiert werden.
Szenario:
AD-Domäne: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navigieren Sie zu Configuration>Object>AAA Server. Aktivieren Sie die Domänen-Authentifizierung für MSCHAP
Die Zugangsdaten sind üblicherweise dieselben wie die des AD-Administrators.
2. Gehen Sie zu System>Host Name, geben Sie die AD-Domäne im Domain Name ein
Dieser Vorgang sorgt dafür, dass sich der USG der AD-Domäne anschließt. Der Tunnel wird nur erfolgreich aufgebaut, wenn dieser Teil funktioniert.
3. Bestätigen Sie, ob der USG der Domäne beigetreten ist. Navigieren Sie zu Active Directory Users and Computers>Computers
In diesem Fall sehen Sie, dass der usg110 der Domäne beigetreten ist. Detaillierte Informationen können Sie im Tab Eigenschaften>Objekt per Rechtsklick prüfen.
4. Bearbeiten Sie die Domain Zone, tragen Sie den Domänennamen unter System> DNS >Domain Zone Forwarder ein.
Manchmal kommt es beim Aufbau des Tunnels zu Timeouts, deshalb müssen Sie folgende Einstellung vornehmen. Die Abfrage-Schnittstelle ist dort, wo sich Ihr AD-Server befindet.
5. Prüfen Sie die Verbindungseinstellungen auf Ihrem Windows.
Stellen Sie sicher, dass (MS-CHAP v2) aktiviert ist und der Pre-Shared Key in den Erweiterten Einstellungen eingetragen wurde.
6. Prüfen Sie die Anmeldeinformationen auf der Monitor-Seite. Der AD-Benutzer sollte in der Liste der aktuellen Benutzer erscheinen, sobald der Tunnel erfolgreich aufgebaut wurde.
Sie können sehen, dass der Benutzertyp L2TP ist und die Benutzerinformationen als externer Benutzer angezeigt werden.
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.