Aviso importante: |
Este artículo muestra cómo configurar L2TP sobre IPSec en modo autónomo para USG FLEX / ATP / VPN Series y cómo configurar el Asistente, descargar la configuración, la configuración de L2TP manualmente utilizando la puerta de enlace VPN y el menú de conexión, Lo que hay que permitir en las reglas del firewall, cómo habilitar el acceso a Internet para L2TP (sin Internet), la restauración de la configuración por defecto, la creación de usuarios VPN, establecer una VPN desde LAN, utilizando servidores externos para autenticar a los usuarios, solucionar problemas utilizando los registros, configurar MS-CHAPv2.
Tabla de contenido
1. Configurar VPN L2TP utilizando el Asistente incorporado
1.1 Navegar hasta el Asistente
1.2 Seleccione el Escenario de Cliente L2TP sobre IPSec
1.3 Establezca la configuración de la VPN
1.4 Configurar la autenticación de usuario
1.5 Guardar la configuración y descargar la configuración de L2TP
2) Configuración manual de la VPN L2TP/IPSec
2.1 Configurar la puerta de enlace VPN
2.2 Configurar la conexión VPN
2.3 Configurar los ajustes de VPN L2TP
2.4 Resumir la configuración de L2TP
3) Configuraciones Obligatorias
3.1 Permitir puertos UDP 4500 y 500
3.2 Habilitar el acceso a Internet a través de L2TP mediante rutas de políticas
4. Consejos y resolución de problemas
4.1 Restaurar la configuración por defecto de L2TP VPN
4.2 Configuración de los clientes VPN L2TP
4.3 Configuración avanzada: Establecimiento de una VPN L2TP desde la LAN:
4.5 VPN L2TP sobre IPSec - Laboratorio virtual
4.7 Configurar L2TP MS-CHAPv2 en USG/Zywall Series
¿Qué es L2TP sobre IPSec VPN?
Antes de empezar con la guía de configuración, vamos a dar una introducción a la VPN L2TP sobre IPSec.
L2TP sobre IPSec combina el Protocolo de Túnel de Capa 2 (L2TP, que proporciona una conexión punto a punto) con el protocolo IPSec. L2TP por sí solo no proporciona ninguna encriptación de contenido, y por lo tanto el túnel se construye comúnmente sobre un protocolo de encriptación de Capa 3 IPsec, teniendo como resultado la llamada VPN L2TP sobre IPSec.
En este manual podrás explorar toda la información necesaria para las conexiones VPN L2TP en los dispositivos Firewall Zyxel, explorando los métodos de configuración (a través del asistente y manualmente), la configuración del cliente para Windows, MAC y Linux; así como configuraciones más avanzadas para la autenticación, diferentes topologías y resolución de problemas en los dispositivos Firewall y los dispositivos cliente. También se define el acceso al laboratorio virtual donde es posible revisar nuestra configuración que también se puede utilizar al configurar la VPN remota en su dispositivo.
1. Configurar VPN L2TP utilizando el Asistente incorporado
1.1 Navegue hasta el Asistente
a. Abra lapestaña Quick Setup Tab y en la ventana emergente, seleccione Remote Access VPN Setup:
1.2 Seleccione el Escenario de Cliente L2TP sobre IPSec
1.3 Establezca la configuración de la VPN
Introduzca una Pre-Shared Key preferida y seleccione lainterfaz WAN correspondiente.
1.4 Configurar la autenticación de usuario
1.5 Guardar la configuración y descargar la configuración L2TP
Configuration > Security Policy > Policy Control
2) Configurar la VPN L2TP/IPSec manualmente
A continuación se describen los pasos necesarios para configurar manualmente una VPN L2TP sobre IPSec. La topología y la aplicación son las mismas que cuando se utiliza el Asistente, la única diferencia son los pasos de la configuración.
2.1 Configurar la puerta de enlace VPN
Vaya a la siguiente ruta y cree un nuevo VPN Gateway:
Configuration > VPN > IPSEC VPN > VPN Gateway
Pulse en "Mostrar configuración avanzada". Introduzca un nombre para la pasarela, elija su interfaz WAN y añada una clave precompartida:
Establezca el Modo de Negociación en Principal y añada las siguientes propuestas (comunes) y confirme pulsando OK:
2.2 Configurar la conexión VPN
Vaya a la siguiente ruta y cree una nueva Conexión VPN:
Configuration > VPN > IPSec VPN > VPN Connection
Pulse en "Mostrar configuración avanzada". Introduzca un nombre para la conexión, configure el Escenario de Aplicación como Acceso Remoto (Rol de Servidor) y seleccione la Puerta de Enlace VPN que creó anteriormente:
Para la Política Local, cree un nuevo Objeto de Dirección IPv4 (desde el botón"Crear Nuevo Objeto") para su IP WAN real y luego establézcalo en la Conexión VPN como Política Local:
Establezca la Encapsulación en Transporte y añada las siguientes propuestas y confirme pulsando OK:
2.3 Configurar los ajustes de VPN L2TP
Ahora que la configuración IPSec está hecha, la configuración L2TP necesita ser configurada. Vaya a la siguiente ruta:
Configuration -> VPN -> L2TP VPN Settings
Si es necesario, cree un nuevo usuario(s) local(es) al que se le permitirá conectarse a la VPN:
Cree un grupo de direcciones IP L2TP con un intervalo de direcciones IP que deberán utilizar los clientes mientras estén conectados a la VPN L2TP/IPSec.
Nota: Esto no debe entrar en conflicto con ninguna subred WAN, LAN, DMZ o WLAN, incluso cuando no estén en uso.
2.4 Resumir la configuración de L2TP
Ahora vamos a establecer la configuración de L2TP:
- Configurar la Conexión VPN creada en 2.2 Configurar la Conexión VPN
- Un IP Address Pool puede establecer el objeto de rango IP L2TP
- El método de autenticación se puede establecer como predeterminado para la autenticación de usuario local.
- Los Usuarios permitidos se pueden establecer para el usuario. Si se necesitan varios usuarios, se puede crear un grupo de usuarios en la página Objeto.
- Los servidores DNS y WINS pueden seleccionarse para que sean el propio dispositivo cortafuegos (Zywall) o una dirección IP de servidor personalizada.
- En caso de que se necesite acceso a Internet a través del dispositivo Firewall mientras está conectado a la VPN L2TP/IPSec, asegúrese de que la opción "Permitir tráfico a través de la zona WAN" está activada.
- Haga clic en "Aplicar" para guardar la configuración. Con esto, la VPN L2TP/IPSec como tal ya está lista.
3) Configuraciones imprescindibles
3.1 Permitir puertos UDP 4500 y 500
Asegúrate de que las reglas del cortafuegos permiten el acceso de los puertos UDP 4500 y 500 desde la WAN al Zywall, y que la Zona por defecto IPSec_VPN tiene acceso a los recursos de red. Esto se puede verificar en:
Configuration > Security Policy > Policy Control
3.2 Habilitar el Acceso a Internet sobre L2TP a través de Rutas de Políticas
Si parte del tráfico de los clientes L2TP necesita ir a Internet, crea una ruta de política para enviar el tráfico de los túneles L2TP a través de un troncal WAN.
Configuration > Network > Routing > Policy Route
Establezca Entrante en Túnel y seleccione su conexión VPN L2TP. Establezca la dirección de origen como el grupo de direcciones L2TP. Establezca Next-Hop Type en Trunk y seleccione la troncal WAN apropiada.
Para más detalles sobre este paso, consulte el artículo:
Cómo dejar que los clientes L2TP naveguen a través de la USG
4. Consejos y resolución de problemas
4.1 Restaurar la configuración por defecto de L2TP VPN
En algunos casos, puede ser necesario para dar un nuevo comienzo a su configuración de VPN L2TP en la página:
Configuration > VPN > L2TP VPNCuando sea necesario, utilice el siguiente artículo que describe los métodos para restablecer la configuración por defecto.
ZyWALL USG: Restaurar la configuración por defecto de VPN-L2TP
4.2 Configuración de los clientes VPN L2TP
L2TP sobre IPSec es muy popular y comúnmente soportado por muchas plataformas de dispositivos finales con sus propios clientes incorporados.
A continuación se muestran algunos de los más comunes y cómo configurarlos:
4.3 Configuración avanzada: Establecer una VPN L2TP desde la LAN:
La VPN es una función muy popular para encriptar paquetes cuando se transmiten datos.
En el diseño actual de ZyWALL/USG/ATP, cuando la interfaz VPN está basada en la interfaz WAN1, la petición VPN debe venir de la interfaz WAN1 (interfaz restringida), de lo contrario, la petición será denegada. (por ejemplo, la conexión VPN procede de LAN1)
Sin embargo, en algunos escenarios, los usuarios pueden necesitar establecer el túnel VPN no sólo desde la WAN sino también desde la LAN.
Este escenario también está soportado por ZyWALL/USG/ATP. Los usuarios pueden seguir el siguiente procedimiento para desactivar la restricción de la interfaz VPN, de forma que la conexión VPN pueda provenir tanto de la WAN como de la LAN.
Topología:
USG Firmware Version:
4.32 o superior
Configuración USG:
Para habilitar L2TP desde LAN, necesita acceder a su dispositivo con una conexión de terminal (Serial, Telnet, SSH) e introducir los siguientes comandos:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reinicie el dispositivo.
4.4 Configuración avanzada: Uso de servidores externos para autenticar a los usuarios que se conectan a la VPN L2TP
Esta sección describe cómo configurar L2TP sobre IPSec con MS-CHAPv2 en la serie USG/Zywall. Para implementaciones avanzadas, se puede implementar la autenticación de usuario con servidores Active Directory (AD) en la autenticación VPN L2TP/IPSec.
Escenario:
Dominio AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Vaya a Configuration>Object>AAA Server. Habilitar autenticación de dominio para MSCHAP
La credencial suele ser la misma que la del administrador de AD.
2. Vaya aSistema>Nombre de host,escriba el dominio ADen Nombre de dominio
Este flujo hace que el USG se una al dominio AD. El túnel sólo se establecerá correctamente cuando esta parte funcione.
3. Confirme si USG se ha unido al dominio. Vaya a Usuarios y equipos de Active Directory>Ordenadores
En este caso, usted puede encontrar el usg110 se ha unido al dominio. También puede comprobar la información detallada en la pestaña Propiedades>Objeto haciendo clic con el botón derecho.
4. Editar Zona de Dominio, Poner nombre de dominio en Sistema> DNS >Reenviador de Zona de Dominio.
A veces puede que se agote el tiempo de espera durante la marcación del túnel, por lo que es necesario configurar los siguientes ajustes, la interfaz de consulta es donde se encuentra el servidor AD.
5. Compruebe la configuración de conexión en su Windows.
Asegúrese de haber activado (MS-CHAP v2) e introducido la clave precompartida en la configuración avanzada.
6. Compruebe la información de inicio de sesión en la página Monitor>, El usuario AD debería aparecer en la Lista de usuarios actuales una vez que el túnel se haya marcado correctamente.
El tipo de usuario es L2TP y la información de usuario es usuario externo.
Como información adicional, el siguiente artículo detalla cuáles son las autenticaciones soportadas por nuestros Firewalls con VPN L2TP/IPSec:
ZyWALL USG - Autenticación soportada sobre L2TP
4.5 L2TP sobre VPN IPSec - Laboratorio Virtual
No dude en echar un vistazo a nuestro Laboratorio Virtual para la configuración de VPN L2TP en nuestros dispositivos Firewall. Con este laboratorio virtual puede echar un vistazo a la configuración correcta para comparar mientras configura su entorno:
Laboratorio virtual - VPN de extremo a extremo (L2TP)
Comentarios
0 comentariosInicie sesión para dejar un comentario.