Este artículo muestra cómo configurar L2TP sobre IPSec en modo independiente para las series USG FLEX / ATP / VPN y cómo configurar el asistente, descargar la configuración, configurar L2TP manualmente usando el menú de puerta de enlace VPN y conexión, qué permitir en las reglas del firewall, cómo habilitar el acceso a Internet para L2TP (sin Internet), restaurar la configuración predeterminada, configurar usuarios VPN, establecer una VPN desde LAN, usar servidores externos para autenticar usuarios, solucionar problemas usando registros, configurar MS-CHAPv2.
¿Qué es una VPN L2TP sobre IPSec?
Antes de comenzar con la guía de configuración, vamos a dar una introducción a la VPN L2TP sobre IPSec.
L2TP sobre IPSec combina el Protocolo de Túnel de Capa 2 (L2TP, que proporciona una conexión punto a punto) con el protocolo IPSec. L2TP por sí solo no ofrece ninguna encriptación del contenido, por lo que el túnel comúnmente se construye sobre un protocolo de encriptación de Capa 3, IPsec, resultando en la llamada VPN L2TP sobre IPSec.
En este manual puede explorar toda la información necesaria para conexiones VPN L2TP en los dispositivos Zyxel Firewall, explorando los métodos de configuración (a través del asistente y manualmente), la configuración del cliente para Windows, MAC y Linux; así como configuraciones más avanzadas para autenticación, diferentes topologías y solución de problemas en los dispositivos Firewall y en los dispositivos cliente. También se define el acceso a un laboratorio virtual donde es posible revisar nuestra configuración, la cual también puede usarse al configurar la VPN remota en su dispositivo.
Configurar VPN L2TP usando el asistente incorporado
Navegar al Asistente
a. Abra la Pestaña de Configuración Rápida y en la ventana emergente, seleccione Configuración de VPN de Acceso Remoto:
Seleccione el escenario Cliente L2TP sobre IPSec
Configurar la configuración VPN
Ingrese una Clave Precompartida preferida y seleccione la interfaz WAN correspondiente.
Configurar autenticación de usuario
Guardar la configuración y descargar configuración L2TP
Configuración > Política de Seguridad > Control de PolíticasConfiguración manual de la VPN L2TP/IPSec
Lo siguiente describe los pasos necesarios para configurar manualmente una VPN L2TP sobre IPSec. La topología y aplicación son las mismas que al usar el asistente, la única diferencia son los pasos en la configuración.
Configurar puerta de enlace VPN
Vaya a la siguiente ruta y cree una nueva puerta de enlace VPN:
Configuración > VPN > VPN IPSEC > Puerta de enlace VPNPresione en "Mostrar configuración avanzada". Ingrese un nombre para la puerta de enlace, elija su interfaz WAN y agregue una clave precompartida:
Establezca el modo de negociación a Main y agregue las siguientes propuestas (comunes) y confirme haciendo clic en OK:
Configurar conexión VPN
Vaya a la siguiente ruta y cree una nueva conexión VPN:
Configuración > VPN > VPN IPSec > Conexión VPNPresione en "Mostrar configuración avanzada". Ingrese el nombre de la conexión, establezca el Escenario de Aplicación a Acceso Remoto (Rol Servidor) y seleccione la puerta de enlace VPN creada anteriormente:
Para la Política Local, cree un nuevo Objeto de Dirección IPv4 (desde el botón "Crear nuevo objeto") para su IP WAN real y luego asígnelo a la Conexión VPN como Política Local:
Establezca la encapsulación a Transporte y agregue las siguientes propuestas y confirme haciendo clic en OK:
Configurar ajustes VPN L2TP
Ahora que los ajustes de IPSec están hechos, los ajustes de L2TP deben configurarse. Vaya a la siguiente ruta:
Configuración -> VPN -> Ajustes VPN L2TPSi es necesario, cree uno o más usuarios locales que tendrán permiso para conectarse a la VPN:
Cree un pool de direcciones IP L2TP con un rango de direcciones IP que deben ser usadas por los clientes mientras estén conectados a la VPN L2TP/IPSec.
Nota: Esto no debe entrar en conflicto con ninguna subred WAN, LAN, DMZ o WLAN, incluso cuando no estén en uso.
Resumen de los ajustes L2TP
Ahora configuremos los ajustes L2TP:
- Establezca la Conexión VPN creada en 2.2 Configurar conexión VPN
- En un Pool de Direcciones IP puede establecer el objeto de rango IP L2TP
- El Método de Autenticación puede configurarse por defecto para autenticación de usuario local
- Los usuarios permitidos pueden establecerse para el usuario. Si se necesitan múltiples usuarios, puede crearse un grupo de usuarios en la página de Objetos.
- El servidor(es) DNS y servidor WINS pueden seleccionarse para que sea el propio dispositivo Firewall (Zywall) o una dirección IP de servidor personalizada.
- En caso de que se necesite acceso a internet a través del dispositivo Firewall mientras está conectado a la VPN L2TP/IPSec, asegúrese de que la opción "Permitir tráfico a través de la zona WAN" esté habilitada.
- Haga clic en "Aplicar" para guardar los ajustes. Con esto, la VPN L2TP/IPSec estará lista.
Configuraciones imprescindibles - Permitir puertos UDP 4500 y 500
Asegúrese que las reglas del firewall permitan el acceso a los puertos UDP 4500 y 500 desde WAN hacia Zywall, y que la Zona predeterminada IPSec_VPN tenga acceso a los recursos de red. Esto puede verificarse en:
Configuración > Política de Seguridad > Control de PolíticasHabilitar acceso a Internet sobre L2TP mediante rutas de políticas
Si parte del tráfico de los clientes L2TP necesita ir a Internet, cree una ruta de política para enviar el tráfico de los túneles L2TP a través de un trunk WAN.
Configuración > Red > Enrutamiento > Ruta de PolíticaEstablezca Entrante a Túnel y seleccione su conexión VPN L2TP. Establezca la Dirección de Origen como el pool de direcciones L2TP. Establezca el Tipo de Siguiente Salto a Trunk y seleccione el trunk WAN apropiado.
Consejos y solución de problemas - Restaurar configuración predeterminada de VPN L2TP
En algunos casos, puede ser necesario reiniciar la configuración de su VPN L2TP en la página:
Configuración > VPN > VPN L2TPConfigurar los clientes VPN L2TP
L2TP sobre IPSec es muy popular y comúnmente soportado por muchas plataformas de dispositivos finales con sus propios clientes integrados.
Aquí están algunos de los más comunes y cómo configurarlos:
Windows/MacOS/Linux:
Configuración avanzada: Establecer una VPN L2TP desde la LAN:
La VPN es una función popular para cifrar paquetes al transmitir datos.
En el diseño actual de ZyWALL/USG/ATP, cuando la interfaz VPN se basa en la interfaz WAN1, la solicitud VPN debe venir de la interfaz WAN1 (interfaz restringida), de lo contrario, la solicitud será denegada. (por ejemplo, conexión VPN proveniente de LAN1)
Sin embargo, en algunos escenarios, los usuarios pueden necesitar establecer el túnel VPN no solo desde WAN sino también desde LAN.
Este escenario también es soportado por ZyWALL/USG/ATP. Los usuarios pueden seguir el procedimiento operativo a continuación para desactivar la restricción de interfaz VPN para que la conexión VPN pueda venir tanto de WAN como de LAN posteriormente.
Versión de Firmware USG: 4.32 o superior
Configuración USG:
Para habilitar L2TP desde LAN, debe acceder a su dispositivo con una conexión de terminal (Serial, Telnet, SSH) e ingresar los siguientes comandos:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reinicie el dispositivo.Configuración avanzada: Usar servidores externos para autenticar usuarios que se conectan a VPN L2TP
Esta sección describe cómo configurar L2TP sobre IPSec con MS-CHAPv2 en la serie USG/Zywall. Para implementaciones avanzadas, la autenticación de usuarios con servidores Active Directory (AD) puede implementarse en la autenticación VPN L2TP/IPSec.
Escenario:
Dominio AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navegue a Configuración>Objeto>Servidor AAA. Habilite la Autenticación de Dominio para MSCHAP
Las credenciales suelen ser las mismas que el administrador de AD.
2. Vaya a Sistema>Nombre del Host, escriba el dominio AD en Nombre de Dominio
Este flujo hace que USG se una al dominio AD. El túnel solo se establecerá exitosamente si esta parte funciona.
3. Confirme si USG se ha unido al dominio. Navegue a Usuarios y Equipos de Active Directory>Equipos
En este caso, puede encontrar que usg110 se ha unido al dominio. También puede verificar la información detallada en la pestaña Propiedades>Objeto haciendo clic derecho.
4. Edite la Zona de Dominio, coloque el nombre del dominio en Sistema> DNS > Reenviador de Zona de Dominio.
A veces puede haber un tiempo de espera durante el marcado del túnel, por lo que debe configurar el siguiente ajuste, la interfaz de consulta es donde se encuentra su servidor AD.
5. Verifique la configuración de conexión en su Windows.
Asegúrese de haber habilitado (MS-CHAP v2) y de haber ingresado la clave precompartida en la configuración avanzada.
6. Verifique la información de inicio de sesión en la página Monitor>. El usuario AD debería aparecer en la Lista de Usuarios Actual una vez que el túnel se haya marcado exitosamente.
Puede encontrar que el tipo de usuario es L2TP y que la información del usuario es usuario externo.
Comentarios
0 comentariosInicie sesión para dejar un comentario.