Tässä artikkelissa näytetään, kuinka määritetään L2TP over IPSec Standalone-tilassa USG FLEX / ATP / VPN-sarjalle, kuinka määritetään ohjattu toiminto, ladataan kokoonpano, määritetään L2TP manuaalisesti VPN-portaalin ja yhteysvalikon kautta, mitä sallitaan palomuurisäännöissä, kuinka otetaan internet-yhteys käyttöön L2TP:lle (ei internetiä), palautetaan oletusasetukset, asetetaan VPN-käyttäjät, muodostetaan VPN LAN:sta, käytetään ulkoisia palvelimia käyttäjien todentamiseen, vianmääritys lokien avulla sekä konfiguroidaan MS-CHAPv2.
Mikä on L2TP over IPSec VPN?
Ennen kuin aloitamme konfigurointiohjeen, annetaan lyhyt johdanto L2TP over IPSec VPN:stä.
L2TP over IPSec yhdistää Layer 2 Tunneling Protocolin (L2TP, joka tarjoaa pisteestä pisteeseen -yhteyden) IPSec-protokollaan. L2TP yksinään ei tarjoa sisältöjen salausta, joten tunneli rakennetaan tyypillisesti Layer 3 -salausprotokollan IPsecin päälle, jolloin tuloksena on niin kutsuttu L2TP over IPSec VPN.
Tässä oppaassa voit tutustua kaikkiin tarvittaviin tietoihin L2TP VPN -yhteyksistä Zyxel-palomuuri-laitteissa, tutkia konfigurointimenetelmiä (ohjatun toiminnon kautta ja manuaalisesti), asiakasasetuksia Windowsille, MAC:lle ja Linuxille; sekä edistyneempiä asetuksia todennukseen, erilaisiin topologioihin ja vianmääritykseen palomuuri- ja asiakaslaitteissa. Virtuaalilaboratorioon pääsy on myös määritelty, jossa voit tarkistaa asennuksemme, jota voidaan käyttää myös etä-VPN:n määrittämisessä laitteessasi.
Määritä L2TP VPN sisäänrakennetulla ohjatulla toiminnolla
Siirry ohjattuun toimintaan
a. Avaa Nopea asetus -välilehti ja ponnahdusikkunassa valitse Etäyhteyden VPN-määritys:
Valitse L2TP over IPSec Client -tilanne
Määritä VPN-kokoonpano
Syötä haluamasi Esijakoinen avain (Pre-Shared Key) ja valitse vastaava WAN-liitäntä.
Määritä käyttäjien todennus
Tallenna kokoonpano ja lataa L2TP-kokoonpano
Configuration > Security Policy > Policy Control L2TP/IPSec VPN:n manuaalinen määrittäminen
Seuraavassa kuvataan vaiheet, jotka tarvitaan L2TP over IPSec VPN:n manuaaliseen määrittämiseen. Topologia ja sovellus ovat samat kuin ohjatun toiminnon käytössä, ero on vain konfigurointivaiheissa.
Määritä VPN-portaali
Siirry seuraavaan polkuun ja luo uusi VPN-portaali:
Configuration > VPN > IPSEC VPN > VPN GatewayPaina "Näytä lisäasetukset". Syötä portaalille nimi, valitse WAN-liitäntä ja lisää esijakoinen avain:
Aseta neuvottelutilaksi Main ja lisää seuraavat (yleiset) ehdotukset ja vahvista OK:lla:
Määritä VPN-yhteys
Siirry seuraavaan polkuun ja luo uusi VPN-yhteys:
Configuration > VPN > IPSec VPN > VPN ConnectionPaina "Näytä lisäasetukset". Syötä yhteyden nimi, aseta sovellustilanteeksi Etäyhteys (Palvelimen rooli) ja valitse aiemmin luomasi VPN-portaali:
Paikalliseksi säännöksi luo uusi IPv4-osoiteobjekti ("Luo uusi objekti" -painikkeesta) todelliselle WAN-IP-osoitteellesi ja aseta se VPN-yhteyden Paikalliseksi säännöksi:
Aseta kapselointi Transport ja lisää seuraavat ehdotukset ja vahvista OK:lla:
Määritä L2TP VPN -asetukset
Kun IPSec-asetukset on tehty, L2TP-asetukset on määritettävä. Siirry seuraavaan polkuun:
Configuration -> VPN -> L2TP VPN SettingsTarvittaessa luo uusi paikallinen käyttäjä(t), joille sallitaan VPN-yhteys:
Luo L2TP IP-osoitealue, jota asiakkaat käyttävät yhteyden aikana L2TP/IPSec VPN:ssä.
Huomautus: Tämän ei tulisi olla ristiriidassa minkään WAN-, LAN-, DMZ- tai WLAN-aliverkon kanssa, vaikka ne eivät olisikaan käytössä.
Yhteenveto L2TP-asetuksista
Asetetaan nyt L2TP-asetukset:
- Valitse VPN-yhteys, joka luotiin kohdassa 2.2 Määritä VPN-yhteys
- IP-osoitealueeksi valitse L2TP IP-osoitealueobjekti
- Todennusmenetelmä voidaan asettaa oletukseksi paikalliselle käyttäjätodennukselle
- Sallitut käyttäjät voidaan määrittää käyttäjille. Jos tarvitaan useita käyttäjiä, käyttäjäryhmä voidaan luoda Objektisivulla.
- DNS- ja WINS-palvelimet voidaan valita palomuurilaitteeksi (Zywall) tai mukautetuksi palvelimen IP-osoitteeksi.
- Jos internet-yhteys tarvitaan palomuurilaitteen kautta L2TP/IPSec VPN -yhteyden aikana, varmista, että vaihtoehto "Salli liikenne WAN-alueen kautta" on käytössä.
- Paina "Käytä" tallentaaksesi asetukset. Näin L2TP/IPSec VPN on valmis käytettäväksi.
Pakolliset asetukset - Salli UDP-portit 4500 & 500
Varmista, että palomuurisäännöt sallivat pääsyn porteille UDP 4500 ja 500 WAN-rajapinnalta Zywallille, ja että oletusalue IPSec_VPN pääsee verkon resursseille. Tämä voidaan tarkistaa kohdassa:
Configuration > Security Policy > Policy Control Ota internet-yhteys käyttöön L2TP-yhteyden kautta politiikkareittien avulla
Jos osa L2TP-asiakkaiden liikenteestä tarvitsee kulkea internetiin, luo politiikkareitti ohjaamaan liikenne L2TP-tunneleista ulos WAN-trunkin kautta.
Configuration > Network > Routing > Policy RouteAseta Saapuva arvoksi Tunneli ja valitse L2TP VPN -yhteytesi. Aseta Lähdeosoite L2TP-osoitealueeksi. Aseta Seuraavan hypyn tyyppi arvoksi Trunk ja valitse sopiva WAN-trunkki.
Vinkkejä ja vianmääritys - L2TP VPN:n oletusasetusten palauttaminen
Joissain tapauksissa voi olla tarpeen aloittaa L2TP VPN -asetukset alusta sivulla:
Configuration > VPN > L2TP VPNL2TP VPN -asiakkaiden määrittäminen
L2TP over IPSec on hyvin suosittu ja sitä tukevat monet päätelaitteiden alustat omine sisäänrakennettuine asiakkainensa.
Tässä on joitakin yleisimpiä ja ohjeita niiden määrittämiseen:
Windows/MacOS/Linux:
Edistynyt asennus: L2TP VPN:n muodostaminen LAN:sta:
VPN on suosittu toiminto pakettien salaamiseen tiedonsiirrossa.
ZyWALL/USG/ATP:n nykyisessä suunnittelussa, kun VPN-liitäntä perustuu WAN1-liitäntään, VPN-pyyntöjen on tultava WAN1-liitännästä (liitäntärajoitus), muuten pyyntö hylätään. (esim. VPN-yhteys tuli LAN1:stä)
Kuitenkin joissain tilanteissa käyttäjät saattavat tarvita VPN-tunnelin muodostamista paitsi WAN:sta myös LAN:sta.
Tämä tilanne on myös tuettu ZyWALL/USG/ATP:ssa. Käyttäjät voivat noudattaa alla olevaa toimintatapaa poistaakseen VPN-liitäntärajoituksen, jotta VPN-yhteys voi tulla sekä WAN:sta että LAN:sta.
USG-laiteohjelmistoversio: 4.32 tai uudempi
USG-konfigurointi:
Ottaaksesi L2TP:n käyttöön LAN:sta, sinun tulee käyttää laitetta terminaaliyhteydellä (sarjaliitäntä, Telnet, SSH) ja syöttää seuraavat komennot:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Edistynyt asennus: Ulkoisten palvelimien käyttäminen L2TP VPN -käyttäjien todentamiseen
Tässä osiossa kuvataan, kuinka määritetään L2TP over IPSec MS-CHAPv2:n kanssa USG/Zywall-sarjassa. Edistyneissä toteutuksissa käyttäjien todennus Active Directory (AD) -palvelimien avulla voidaan toteuttaa L2TP/IPSec VPN -todennuksessa.
Tilanne:
AD-alue: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Siirry kohtaan Configuration>Object>AAA Server. Ota käyttöön Domain Authentication MSCHAP:lle
Todennustiedot ovat yleensä samat kuin AD-järjestelmänvalvojalla.
2. Siirry kohtaan System>Host Name, kirjoita AD-alue Domain Name -kenttään
Tämä vaihe liittyy USG:n liittymiseen AD-alueeseen. Tunneli muodostuu onnistuneesti vain, jos tämä osa toimii.
3. Vahvista, että USG on liittynyt alueeseen. Siirry kohtaan Active Directory Users and Computers>Computers
Tässä tapauksessa löydät, että usg110 on liittynyt alueeseen. Voit myös tarkistaa yksityiskohtaiset tiedot välilehdellä Ominaisuudet > Objekti hiiren oikealla painikkeella.
4. Muokkaa Domain Zone -asetusta, syötä alueen nimi kohtaan System> DNS >Domain Zone Forwarder.
Joskus tunneliin yhdistettäessä voi tulla aikakatkaisu, joten sinun täytyy määrittää seuraava asetus, jossa kyselyliitäntä on siellä, missä AD-palvelimesi sijaitsee.
5. Tarkista yhteysasetukset Windows-laitteellasi.
Varmista, että olet ottanut käyttöön (MS-CHAP v2) ja syöttänyt esijakoisen avaimen Lisäasetuksissa.
6. Tarkista kirjautumistiedot Monitor-sivulla>. AD-käyttäjän tulisi näkyä Nykyisten käyttäjien listassa, kun tunneli on muodostettu onnistuneesti.
Voit nähdä, että käyttäjätyyppi on L2TP ja käyttäjätiedot ovat ulkoisia käyttäjiä.
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.