Wichtiger Hinweis: |
In diesem Leitfaden erfahren Sie, wie Sie ein IKEv2 IPsec VPN mithilfe des Einrichtungsassistenten (Quick Setup) auf der Zyxel Firewall VPN/USG FLEX/ATP-Serie konfigurieren und wie Sie sich mit Android, iPhone (iOS), Windows-PCs und Mac-Computern sowohl mit dem Zyxel SecuExtender als auch mit dem nativen Client damit verbinden. Wir werden auch spezielle Überlegungen zur Konfiguration von VPNs auf iOS-Geräten, mobilen Geräten mit Version 18 und höher sowie PCs mit Sonoma-Firmware oder höher behandeln.
Hinweis: Die IP-Adressen in der Abbildung dienen nur als Beispiel und sind für den Artikel als Ganzes nicht relevant. Sie können in Ihrem Fall anders lauten.
VPN über Quick Setup konfigurieren
Loggen Sie sich in die WEB-GUI Ihrer Firewall ein und gehen Sie zu Quick Setup, wählen Sie Remote Access VPN und dann IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender)
Verwenden Sie diese Option, wenn Sie den Zyxel SecuExtender IPSec VPN-Client oder ein Computerbetriebssystem verwenden, das IPSec VPN mit IKEv2 unterstützt (Nicht-SecuExtender-VPN-Client). Sie können mit dem Zyxel SecuExtender VPN-Client eine Full Tunnel oder Split Tunnel VPN-Regel erstellen. Sie können nur eine Full Tunnel VPN-Regel mit einem Nicht-SecuExtender VPN-Client erstellen.
Konfigurieren Sie den IP-Adress-Pool für den Client.
Der IP-Adress-Pool verwendet ein ausgewähltes, nicht verwendetes Subnetz auf dem Gerät, um die Einrichtung desselben Subnetzes zu vermeiden. Der IP-Adress-Pool beginnt bei 192.168.50.1. Wenn das Subnetz 192.168.50.1 in den Gateway-Einstellungen vorhanden ist, wird der IP-Adress-Pool automatisch geändert.
Fügen Sie Benutzer hinzu oder erstellen Sie Benutzer, die VPN-Zugang haben werden. Klicken Sie nach dem Hinzufügen der Benutzer auf Weiter und überprüfen Sie alle Einstellungen, um die Richtigkeit sicherzustellen. Sie können nun entweder ein automatisches Skript herunterladen, um das VPN zu konfigurieren, oder es manuell mithilfe eines Zertifikats konfigurieren.
Nach erfolgreicher VPN-Konfiguration können Sie die Skriptdateien herunterladen und auf Windows-, MacOS-, iOS- oder Android-Geräten installieren, um die VPN-Einstellungen automatisch zu konfigurieren.
Hinweis: Die VPN-Einstellungen für Nicht-SecuExtender IPSec VPN Clients unterstützen die folgenden Funktionen nicht:
- Upload-Bandbreitenbegrenzung
- Verteilter Tunnel
- Zwei-Faktoren-Authentifizierung (Google Authenticator)
Wichtig: Benutzer von iOS 18 oder höher und Mac OS 14 Sonoma können das Skript nicht verwenden und müssen es manuell konfigurieren. In diesem Artikel finden Sie im Abschnitt Einstellungen für iPhone und MacOS eine genauere Beschreibung der notwendigen Schritte.
Bitte beachten Sie: Um Konfigurationsfehler und andere potenzielle Probleme zu minimieren, empfehlen wir, ein Skript für die Installation zu verwenden. Sie können das Zertifikat jedoch auch manuell direkt auf Ihrem Endgerät installieren und konfigurieren. Eine ausführliche Anleitung zur manuellen Zertifikatsinstallation und VPN-Konfiguration finden Sie im Abschnitt "Manuelle Zertifikatskonfiguration".
Verwendung des VPN-Skripts unter Windows
Speichern Sie das Archiv mit dem Skript auf Ihrem Computer, entpacken Sie den Ordner, und führen Sie das Skript mit Administratorrechten aus (es handelt sich um eine Datei mit der Erweiterung bat).
Nach erfolgreicher Installation gehen Sie zu den VPN-Einstellungen auf Ihrem PC. Dort finden Sie die erstellte VPN-Verbindung. Klicken Sie auf Verbinden. Geben Sie anschließend den Benutzernamen und das Passwort ein.
VPN-Skript auf Android verwenden
Für Android Benutzer installieren Sie bitte StrongSwan und folgen Sie diesem Artikel:
VPN-Skript auf dem iPhone verwenden
Wichtig: Benutzer auf iOS 18 oder später und Mac OS 14 Sonoma können das Skript nicht verwenden und müssen es manuell konfigurieren. Dies liegt an den erhöhten Sicherheitsanforderungen von Apple für IKEv2 VPN Verschlüsselung. Um dieses Problem zu lösen, müssen Sie Änderungen an der Schlüsselgruppe und den Vorschlägen in den Phase-1- und Phase-2-Einstellungen der zuvor erstellten VPN-Verbindung mit Quick Setup (Wizzard) vornehmen.
Um fortzufahren, kehren Sie bitte zur Web-GUI Ihrer Firewall zurück. Wählen Sie im linken Menü "Konfiguration" und navigieren Sie dann zu "VPN". Öffnen Sie die Konfigurationseinstellungen für die entsprechende VPN-Verbindung und fügen Sie in Phase 2 Setting einen Vorschlag mit den folgenden Einstellungen hinzu:
Vorschlag
- Verschlüsselung: AES256
- Authentifizierung: SHA256.
Wechseln Sie dann zur Registerkarte "VPN-Gateway", wo Sie die Phase-1-Einstellungen wie folgt aktualisieren müssen:
Vorschlag
- Verschlüsselung: AES256
- Authentifizierung: SHA256
Schlüsselgruppe: DH2 DH14 DH19
Nachdem Sie die Änderungen vorgenommen haben, vergessen Sie nicht, sie durch Klicken auf die Schaltfläche "Übernehmen" zu übernehmen.
Der nächste Schritt besteht darin, das Zertifikat für unsere VPN-Verbindung herunterzuladen und auf Ihrem Gerät zu installieren.
So laden Sie ein Zertifikat herunter
Navigieren Sie zu Konfiguration -> Objekt -> Zertifikat, wählen Sie das VPN-Zertifikat aus, und klicken Sie auf "Herunterladen", um das Zertifikat herunterzuladen.
Nun können Sie entweder entscheiden, ob Sie das Zertifikat mit einem Kennwort exportieren möchten, um es sicher zu machen und sicherzustellen, dass es nicht in falsche Hände gerät, oder ob Sie es leer lassen möchten, um das Zertifikat ohne Kennwort zu exportieren und zu installieren.
Nun können Sie dieses Zertifikat an eine E-Mail anhängen, die Sie an die Benutzer senden und in der Sie erklären, wie man es installiert und sich mit dem VPN verbindet.
iPhone iOS 18 und höher: Manuelle Zertifikatsinstallation und VPN-Konfiguration
Kommen wir nun zu den Einstellungen auf dem iPhone selbst. Laden Sie das Zertifikat, das Sie z. B. per E-Mail erhalten haben, auf Ihr iPhone herunter.
Hinweis: Diese Änderungen wirken sich nicht auf bestehende VPN-Verbindungen aus, unabhängig davon, wie sie hergestellt wurden, entweder durch "Quick Setup" oder manuell.
| Senden Sie das Zertifikat z. B. per E-Mail. Öffnen Sie auf Ihrem iPhone die E-Mail-Nachricht mit dem Zertifikat und führen Sie es aus. | ||
Nachdem Sie das Zertifikat erstellt haben, erscheint ein neues Profil in den Einstellungen Ihres Geräts. Um es zu finden, gehen Sie zu den Einstellungen Ihres Iphones
| Сklicken Sie auf "Profil heruntergeladen": | Klicken Sie auf "Installieren": | Klicken Sie auf "Installieren": |
| Sie haben jetzt ein verifiziertes Zertifikat: | Gehen Sie zu Einstellungen -> VPN & Gerät | Klicken Sie auf "VPN hinzufügen". |
| Geben Sie die WAN-IP-Adresse Ihrer Firewall in die Felder "Server" und "Remote ID" ein, sowie den Benutzernamen und das Passwort. | Stellen Sie die Verbindung her und warten Sie, bis der Status "Verbunden" lautet; dies dauert in der Regel einige Sekunden. |
Windows 10 und höher: Manuelle Zertifikatsinstallation und VPN-Konfiguration
| Doppelklicken Sie mit der linken Maustaste auf das Zertifikat und klicken Sie im neu geöffneten Fenster auf "Öffnen". | Klicken Sie auf die Schaltfläche "Zertifikat installieren". |
Sie können auch versuchen, mit einem Doppelklick auf das Zertifikat auf "Zertifikat installieren..." und "Weiter" zu klicken
| Wählen Sie, ob das Zertifikat für alle Benutzer des Computers oder nur für den aktuellen Benutzer verfügbar sein soll. | Klicken Sie auf "Alle Zertifikate im folgenden Speicher ablegen" und wählen Sie "Vertrauenswürdige Stammzertifizierungsstellen". |
| Fast fertig, klicken Sie auf "Fertigstellen". | Dann kommt eine Warnung und wir sind fertig! |
Konfigurieren wir nun das VPN-Profil selbst. Um dies auf Ihrem PC zu tun, gehen Sie in den VPN-Bereich.
| Verwenden Sie die Windows-Suche und suchen Sie nach VPN, und wählen Sie die "VPN-Einstellungen" aus der Windows-Suchleiste: | Klicken Sie in dem neuen Fenster, das sich öffnet, auf "VPN-Verbindung hinzufügen". |
MAC OS 14 Sonoma und höher: Manuelle Zertifikatsinstallation und VPN-Konfiguration
| Doppelklicken Sie auf das Zertifikat und wählen Sie den "Schlüsselbund" "System". | Klicken Sie auf das WiFi-Symbol und "Netzwerkeinstellungen". Klicken Sie dann auf das "+"-Zeichen unter Ihren WiFi-Verbindungen. |
Klicken Sie auf das WiFi-Symbol und auf "Netzwerkeinstellungen". Klicken Sie dann auf das "+"-Zeichen unter Ihren WiFi-Verbindungen und erstellen Sie ein IKEv2-VPN wie unten gezeigt.
Geben Sie die IP-Adresse / den FQDN und die Remote-ID ein, und klicken Sie dann unten auf die Authentifizierungseinstellungen. Wählen Sie einen Benutzernamen und geben Sie Ihren Benutzernamen und Ihr Passwort ein.
Zyxel SecuExtender
SecuExtender nutzt das Zero-Trust-Prinzip, um die IT-Abteilung bei der Überprüfung der Benutzeridentität zu unterstützen und eine Zugangskontrolle zur Erhöhung der Sicherheit durchzusetzen. Für die Nutzung von SecuExtender ist eine Lizenz erforderlich . Sie können ihn jedoch kostenlos herunterladen und die kostenlose Testversion testen, indem Sie hier klicken: SecuExtender VPN-Client
In diesem Artikel wird die Konfiguration von Zyxel SecuExtender am Beispiel des Windows-Clients erläutert. Die Vorgehensweise für macOS ist jedoch identisch, abgesehen von einem kleinen Unterschied im Design der Anwendung.
Öffnen Sie die Anwendung und klicken Sie auf "Konfiguration" in der oberen linken Ecke. Im Dropdown-Menü finden Sie 2 Optionen: "Vom Server abrufen" und "Assistent".
Beide Optionen sind sehr einfach. Wenn Sie "Vom Server abrufen" wählen, müssen Sie den Namen oder die Adresse sowie den Benutzernamen und das Passwort des VPN-Benutzers kennen. Bei der Option "Wizard" können Sie während der Konfiguration zusätzliche Änderungen vornehmen.
Der Download des VPN-Profils war erfolgreich. Gehen Sie nun in das Hauptmenü und Sie sehen das neue VPN-Profil in der Liste links. Bitte doppelklicken Sie auf links und geben Sie Ihren Benutzernamen und Ihr Passwort ein. Geschafft! Die Verbindung ist erfolgreich!
Bitte beachten Sie , dass die "Zertifikatsprüfung" deaktiviert werden sollte, wenn Sie eine standardmäßige und selbstsignierte CA verwenden.