Tässä artikkelissa näytetään, miten IKEv2 IPsec VPN -yhteys varmenteella konfiguroidaan SecuExtenderin avulla sekä Windowsissa että MacOS:ssä. Siinä näytetään, miten VPN määritetään palomuurissa (USG FLEX / ATP / VPN Series stand-alone / on-premise -tilassa) sekä näytetään, miten pääset eroon TGBErrorCodeMgrNotCreated.description -virheestä MacOS:ssä.

Huomautus: IOS 17:ssä käytetään avainryhmää: DH19 on käytettävä

Video:

Sisällysluettelo

A) IKEv2:n määrittäminen palomuurissa

B) SecuExtender-asiakkaan määrittäminen

C) Määritä MacOS-käyttöjärjestelmässä

A) IKEv2:n määrittäminen palomuurissa

1. Kirjaudu sisään laitteeseen syöttämällä sen IP-osoite ja admin-tilin tunnistetiedot (oletusarvoisesti käyttäjänimi on "admin" ja salasana "1234").
   
   
2. Siirry kohtaan Configuration (Määritys) > Object (Kohde) > Address/Geo IP (Osoite/Geo IP), napsauta "Add" (Lisää) luodaksesi "Address Type" (Osoitetyyppi) "Range" (Alue) -kohteen. Nimeä se "IKEv2_Pool" ja kirjoita IP-alue, joka ei ole päällekkäinen aliverkkojen kanssa.
   .
   
   
3. Luo toinen IP-osoiteobjekti, jotta IKEv2-asiakkaat pääsevät myöhemmin VPN-tunnelin kautta internetiin. Valitse tyyppi "Range", anna sille nimi "All_Traffic" ja kirjoita esimerkiksi "Starting IP Address" -osoitteeksi "0.0.0.0.0" ja "End IP Address" -osoitteeksi "255.255.255.255".
   
   
   
4. Siirry kohtaan Configuration (Määritys) > Object (Kohde) > User/Group (Käyttäjä/Ryhmä) ja napsauta "Add" (Lisää) luodaksesi uusia käyttäjiä.
   
   
   
5. Napsauta välilehteä "Group" ja napsauta "Add" luodaksesi "IKEv2_Users" ryhmän ja lisää tarvittavat käyttäjät merkitsemällä ne ja napsauttamalla oikealle osoittavaa nuolta.
   
   
   
6. Siirry kohtaan Configuration (Määritykset) > Object (Kohde) > Certificate (Varmenne), napsauta "Add" (Lisää), valitse "Host Domain Name" (Isäntäkohteen verkkotunnus), kirjoita verkkotunnus tai DynDNS, selaa alaspäin kohtaan "Extended Key Usage" (Laajennettu avainkäyttö) ja rastita kolme valintaruutua "Server Authentication" (Palvelimen todennus), "Client Authentication" (Asiakkaan todennus) ja "IKE Intermediate" (IKE:n välitodistus) ja napsauta OK.
   
   
   
7. Kaksoisnapsauta tätä varmentetta ja selaa alaspäin "Export Certificate Only" (Vain varmenteen vienti) -vaihtoehdon kohdalle.
   
   
   
8. Siirry kohtaan Configuration (Määritys) > Network (Verkko) > VPN (VPN) > IPSec VPN ja napsauta "Add" (Lisää), napsauta "Show Advanced Settings" (Näytä lisäasetukset), napsauta "Enable" (Ota käyttöön), valitse "IKEv2" (IKEv2), valitse "Dynamic Address" (Dynaaminen osoite) kohdasta "Peer Gateway Address" (Vertaisverkon yhdyskäytävän osoite), valitse "Certificate" (Varmenne) kohdasta "Authentication" (Todentaminen) ja valitse aiemmin luomaasi varmentetta.
   
   
   
   
9. Vieritä alaspäin ja valitse haluamasi ehdotukset kohdasta "Phase 1 Settings", rastita "Enable Extended Authentication Protocol", valitse "Server Mode", jätä "AAA Method" kohtaan "default" ja valitse aiemmin luomaasi "IKEv2_Users"-ryhmää kohtaan "Allowed Users", ennen kuin napsautat lopuksi "OK".
   
   
   
10. Avaa nyt yllä oleva välilehti "VPN Connection", napsauta "Add", napsauta "Show Advanced Settings", rastita "Enable", valitse "Remote Access (Server Role)" "Application Scenario", valitse aiemmin luomasi VPN gateway "VPN Gateway" -kenttään, valitse "Local Policy" -kohdasta aiemmin luotu IP-alueen kohde "All_Traffic".
    
    
11. Rastita "Enable Configuration Payload" (Ota konfiguraation hyötykuorma käyttöön), valitse "IKEv2_Pool"-objekti "IP Address Pool"-objektiksi (DNS-palvelimet ovat valinnaisia), valitse haluamasi ehdotukset VPN-yhteydelle ja klikkaa lopuksi "OK" viimeistelläksesi VPN-yhteyden konfiguroinnin.
    
    
    
    
12. Siirry nyt kohtaan Configuration (Määritys) > Object (Kohde) > Network (Verkko) > Routing (Reititys), napsauta "Add" (Lisää), rastita "Enable" (Ota käyttöön), valitse "Tunnel" (Tunneli) kohdasta "Incoming" (Saapuva), valitse aiemmin luotu IPSec-yhteys kohdasta "Please select one member" (Valitse yksi jäsen), valitse "Source Address" (Lähdeosoite) kohdasta "IKEv2_Pool" (IKEv2_Pool) ja valitse lopuksi WAN-liitäntäsi tai WAN-trunki kohdasta "Next Hop" (Seuraava hyppy) ennen kuin napsautat lopuksi "OK" (OK).
    

B) SecuExtender-asiakkaan määrittäminen

1. Avaa IPSec-asiakasohjelma, napsauta hiiren kakkospainikkeella vasemmanpuoleista "IKE V2"-kansiota lisätäksesi uuden "Ikev2Gateway"-kansiota, syötä "Remote Gateway"-kansioksi se verkkotunnus, jonka olet syöttänyt myös USG:n varmenteeseen, ja valitse sopivat ehdotukset kohdassa "Cryptography".
   
2. Lisää VPN-yhteys napsauttamalla hiiren kakkospainikkeella vasemmanpuoleista VPN-yhdyskäytävää, valitse "Osoitetyyppi" "Aliverkko-osoite", kirjoita USG:n sivustolla olevan paikallisen aliverkon aliverkko-osoite ja aliverkon peite, johon asiakkailla on oltava pääsy, ja valitse VPN-yhteyden vastaavat ehdotukset.
   
   
   
3. Jos "Child SA Life Lifetime" ei vastaa USG:ssä määritettyä, säädä sitä ennen tunnelin lopullista avaamista napsauttamalla hiiren kakkospainikkeella uudelleen vasemmanpuoleista VPN-yhteyttä.

C) .tgb-tiedostoa ei voi tuoda MacOS-käyttöjärjestelmässä.

Jos saat tämän TGB-tiedoston virheen "TGBErrorCodeMgrNotCreated.description", MacOS-käyttöjärjestelmässäsi, tämä liittyy MacOS-käyttöjärjestelmän yksityisyysasetuksiin. Sinun täytyy sallia SecuExtenderin luotettavuus käyttöjärjestelmässäsi.

Siirry kohtaan Asetukset -> Yksityisyys ja turvallisuus -> Turvallisuus ja valitse "App Store ja tunnistetut kehittäjät". Sitten "SecuExtender VPN Client" pitäisi näkyä, ja sinun täytyy painaa "Salli":

Nyt voit tuoda .tgb-tiedoston onnistuneesti SecuExtender Clientiin MacOS:ssä saadaksesi kokoonpanosi.

+++ Voit ostaa lisenssejä Zyxel VPN -asiakkaille (SSL VPN, IPsec) välittömällä toimituksella 1-klikkauksella: Zyxel Webstore +++