Legacy VPN - Määritä kokoonpanon käyttöönotto USG-sarjassa.

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Yleiskatsaus

VPN (virtuaalinen yksityisverkko) tarjoaa turvallisen yhteydenpidon sivustojen välillä ilman kiinteiden linjojen kustannuksia. VPN-verkkoja käytetään liikenteen siirtämiseen TCP/IP-viestintää käyttävän turvattoman verkon internetin yli. Etäyhteys-VPN (client-to-site) mahdollistaa matkustaville työntekijöille tai etätyöntekijöille turvallisen pääsyn yrityksen verkkoresursseihin. On olemassa useita erilaisia VPN-protokollia/-tekniikoita, joita voidaan käyttää suojatun yhteyden luomiseen yrityksen verkkoon: L2TP, PPTP, SSL, OpenVPN jne. Tässä oppaassa viitataan IPSec-protokollaan turvallisen VPN-tunnelin luomiseksi ulkoisten isäntien (käyttäjät, jotka ovat yhteydessä internetiin yrityksen verkkorakenteen ulkopuolella) ja ZyWALL-reitittimen välille. VPN-yhteyden muodostamiseen tarvitaan kolmannen osapuolen IPSec-ohjelmisto, koska nykyisissä käyttöjärjestelmissä ei ole sisäänrakennettua IPSec-asiakasohjelmaa.

Scenario

1. VPN-yhdyskäytävä (vaihe 1)
2. VPN-yhteys (vaihe 2)
3. Konfiguraation käyttöönotto
4. ZyWALL VPN Client
5. Testaus ja vianmääritys

VPN-yhdyskäytävä (vaihe 1)

Kirjaudu sisään ZyWALL-verkkokokoonpanosivulle ja siirry valikkoon Configuration → VPN → IPSec VPN. Napsauta IPSec VPN -valikossa VPN-yhdyskäytävä -välilehteä lisätäksesi tunneliasetusten vaiheen 1. Lisää uusi sääntö napsauttamalla Add -painiketta. Napsauta ikkunan vasemmassa yläkulmassa olevaa Näytä lisäasetukset -painiketta, jotta näet kaikki valikon vaihtoehdot.

  • Ota VPN-sääntö käyttöön ruudulla ja anna sille nimi.
  • Valitse WAN-liitäntä, jota haluat käyttää VPN-yhteyden muodostamiseen, Oma osoite -pudotusvalikosta.
  • Varmista, että Vertaisverkon yhdyskäytävän osoite on asetettu "Dynaaminen osoite".
  • Syötä/luo VPN-todennus "Pre-Shared Key".
  • Phase 1 Settings (Vaiheen 1 asetukset) -kentässä aseta Negotiation Mode (Neuvottelutila) -pudotusvalikosta "Main"-tilaksi
  • Aseta haluamasi "Salaus"- ja "Todennus"-ehdotukset (Salausvaihtoehdot ovat DES, 3DES, AES128, AES192, AES256) (Todennusvaihtoehdot ovat MD5, SHA1, SHA256, SHA512).
  • Valitse Diffie-Hellman-avainryhmä (vaihtoehdot ovat DH1, DH2, DH5).

    CautionHuomautus: Oikealla oleva varoitussymboli tulee näkyviin alueille, joilla tarvitaan syöttöä tai joissa on virhe syötössä, kuten laittomat/ei-tuetut merkit.
    Picture1.png

VPN-yhteys (vaihe 2)

Nyt kun VPN-yhdyskäytävän (vaihe 1) sääntö on luotu, napsauta VPN-yhteys -välilehteä lisätäksesi VPN-tunnelin vaiheen 2 säännön. Lisää sääntö napsauttamalla Add -painiketta. Napsauta ikkunan vasemmassa yläkulmassa olevaa Näytä lisäasetukset -painiketta, jotta näet kaikki valikon vaihtoehdot.

  • Ota sääntö käyttöön ruudulla ja anna sille nimi.
  • Aseta VPN Gateway -sovellusskenaario käyttämään "Etäkäyttö (palvelinrooli)".
  • Aseta sovellusskenaarion VPN Gateway -pudotusvalikko käyttämään edellisessä vaiheessa luotua Phase 1 -käytäntöä. (RoadWarrior tässä esimerkissä)
  • Vieritä alaspäin Policy -vaihtoehtoon ja aseta Local Policy käyttämään "LAN1_SUBNET"-osoiteobjektia. Tämä antaa VPN-käyttäjälle pääsyn kaikkiin LAN1:een liitettyihin laitteisiin.
  • Aktiivinen protokolla kohdassa Phase 2 Setting tulee asettaa "ESP".
  • Kapselointi on "Tunnel".
  • Aseta haluamasi "Encryption" ja "Authentication" -ehdotukset (Encryption-vaihtoehdot ovat DES, 3DES, AES128, AES192, AES256) (Authentication-vaihtoehdot ovat MD5, SHA1, SHA256, SHA512).
  • Perfect Forward Secrecy (PFS) on lisätty salauksen taso. Sitä ei tarvitse ottaa käyttöön, mutta jos haluat käyttää lisättyä salaustasoa, vaihtoehdot ovat None, DH1, DH2 ja/tai DH5.
  • Kohdassa Related Settings, varmista, että Zone on asetettu arvoksi "IPSec_VPN".

    Picture2.png

Nyt kun VPN-säännön vaiheet 1 ja 2 on saatu valmiiksi, poista valintaruutu kohdasta "Use Policy Route to control dynamic IPSec rules". Tämän vaihtoehdon poistaminen antaa ZyWALLin luoda reitit yhdistetyille VPN-käyttäjille automaattisesti.
Picture3.png

Määrityksen käyttöönotto

Tietyissä VPN-asiakkaissa, kuten "ZyWALL IPSec VPN Client" ja "TheGreenBow VPN Client", on provisiointivaihtoehto, jonka avulla ne voivat ladata määrittämäsi VPN-säännön asetukset sen sijaan, että asiakas konfiguroitaisiin manuaalisesti. Jotta voisimme määrittää VPN-varautumisen RoadWarriorin dynaamiselle VPN-säännölle, loimme vain IPSec VPN -valikon(Configuration → VPN → IPSec VPN) Configuration Provisioning -välilehden(Configuration → VPN → IPSec VPN).

Ennen provisioinnin määrittämistä meidän on luotava käyttäjätili, jotta asetusten lataaminen on mahdollista. Siirry osoitteeseen Configuration (Määritys) → Object (Kohde) → User/Group (Käyttäjä/ryhmä) ja napsauta Add (Lisää ) -painiketta lisätäksesi "User"-tason tilin. Hallinnolliset tilit eivät voi käyttää asetusten käyttöönoton latausvaihtoehtoa.
Picture4.png

Nyt kun käyttäjätili on luotu, siirry osoitteeseen Configuration → VPN → IPSec VPN ja napsauta Configuration Provisioning -välilehteä lisätäksesi säännön, joka sallii RoadWarrior VPN -asetusten lataamisen VPN-asiakkaalle.

  • Ota VPN Configuration Provisioning -valikko käyttöön.
  • Napsauta Lisää -painiketta luodaksesi säännön, joka sallii "RoadWarrior_Connection" VPN-yhteyden tarjoamisen "VPN-käyttäjälle" Sallittu käyttäjä. Varmista, että sääntö on käytössä, ja tallenna asetukset napsauttamalla Apply .
    Picture5.png

ZyWALL VPN Client

Jos haluat ladata reitittimeen määritetyt VPN-konfiguraation provisiointiasetukset, avaa asiakasohjelmisto, napsauta Configuration -valikkoa ja valitse "Get from Server" -vaihtoehto.
Picture6.png

Kirjoita ZyWALL-reitittimeen liittyvä julkinen IP-osoite, verkkotunnus tai DDNS-nimi. Asiakasohjelma lataa asetukset SSL:n kautta. Oletusarvoisesti ZyWALL on ohjelmoitu käyttämään porttia 443 SSL:ää varten. Jos olet muuttanut porttia, anna uusi SSL-portti. Kirjoita käyttöönottoasetukseen liittyvä käyttäjänimi ja salasana ja napsauta Next.

Picture7.png
Huomautus: Tämä toimii vain, kun etähallinta on käytössä ZyWALL-reitittimessä, jos etähallinta on poistettu käytöstä, konfiguraation määritysominaisuus ei pysty hakemaan VPN-konfiguraatioasetuksia automaattisesti ZyWALL-reitittimestä.

Asiakas lähettää pyynnön VPN-kokoonpanoasetusten lataamiseksi ZyWALL-reitittimeen.
Picture8.png

Nyt kun kokoonpano on ladattu, voit luoda VPN-tunnelin tietokoneen ja ZyWALL-reitittimen välille. Napsauta hiiren kakkospainikkeella konfiguraation vaiheen 2 osaa ja valitse "Avaa tunneli" VPN-valintaohjelman käynnistämiseksi.
Picture9.png

Jos haluat määrittää VPN-liikenteelle täyden tai jaetun tunnelin, katso tästä:

VPN Full/Split Tunneling

Testaus ja vianmääritys

Yritä muodostaa VPN-yhteys reitittimeen. Kun yhteys on muodostettu, yritä pingata tai käyttää etäverkon resursseja.

  1. Jos et saa liikennettä VPN-tunnelin läpi:
  • Poista etäisännän palomuuri käytöstä varmistaaksesi, ettei se estä pyyntöä.
  • Yritätkö käyttää resursseja käyttämällä tietokoneen isäntänimeä? Kokeile sen sijaan käyttää tietokoneelle määritettyä IP-osoitetta. Tietokoneen isäntänimen käyttäminen edellyttää NetBIOS-lähetysprotokollaa tietokoneen IP-osoitteen ratkaisemiseksi; IPSec-standardi ei tue lähetyksiä. Koska IPSec VPN -standardi ei tue lähetyksiä, emme voi taata, että IP-osoitteen sijasta käytettävät hostinimet toimivat. Tämä IPSec-standardin rajoitus voidaan kiertää käyttämällä WINS-palvelinta.
  • Poista ZyWALL-reitittimen palomuuri käytöstä.
  • Varmista, ettei IP-konflikteja ole. Jos ZyWALL-verkko on määritetty käyttämään 192.168.1.0/24-verkkoa ja etäkäyttäjä käyttää myös samaa IP-suunnitelmaa, liikenne ei reitity VPN-tunnelin kautta oikein.
  • Tarkista isäntäverkon yhdyskäytävä, jos paikallisessa reitittimessä (ei ZyWALLissa) ei ole VPN-läpivientiä käytössä tai tarvittavia portteja avattu, VPN ei ehkä toimi oikein.
  • Ota yhteyttä tekniseen tukeen saadaksesi lisäapua.
  • VPN-tunneli ei muodostu/yhdistäydy:
  • Varmista, että verkkoreititin päästää IPSec-portit läpi (UDP:500 ja UDP:4500) tai muista ottaa VPN pass-through käyttöön, jos reititin tukee tätä vaihtoehtoa. Reitittimen ohittaminen on mahdollista varmistaaksesi, ettei se aiheuta ongelmaa.
  • Varmista, ettei palveluntarjoajasi estä VPN-portteja; jotkut palveluntarjoajat estävät VPN-portit omalta puoleltaan.
  • Varmista, että tietokoneesi palomuuri sallii VPN-asiakkaan tiedonsiirron.
  • Päivitä verkkokorttisi ajurit (Ethernet ja/tai Wi-Fi).
  • Tarkista ZyWALLin VPN-asetukset ja varmista, että ne vastaavat ohjelmistoasiakkaan kokoonpanoa.
  • Ota yhteyttä tekniseen tukeen saadaksesi lisäapua.

Video:

+++ Voit ostaa lisenssejä Zyxel VPN-asiakkaille (SSL VPN, IPsec) välittömällä toimituksella 1-klikkauksella: Zyxel Webstore +++

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
3/7 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.