Tärkeä huomautus: |
Tässä artikkelissa näytetään, miten L2TP over IPSec määritetään USG FLEX / ATP / VPN-sarjan erillisessä tilassa ja miten ohjattu määritys, konfiguraation lataaminen, L2TP:n määrittäminen manuaalisesti VPN-yhdyskäytävä- ja yhteysvalikon avulla, mitä sallitaan palomuurisäännöissä, miten internet-yhteys otetaan käyttöön L2TP:lle (ei internetiä), oletuskonfiguraation palauttaminen, VPN-käyttäjien määrittäminen, VPN:n perustaminen lähiverkosta, ulkoisten palvelimien käyttäminen käyttäjien todentamiseen, vianmääritys lokien avulla, MS-CHAPv2:n määrittäminen.
Sisällysluettelo
1. L2TP VPN:n määrittäminen sisäänrakennetun ohjatun toiminnon avulla
1.1 Siirry ohjattuun toimintoon
1.2 Valitse L2TP over IPSec Client -skenaario.
1.4 Määritä käyttäjän todennus
1.5 Tallenna konfiguraatio ja lataa L2TP-konfiguraatio.
2) L2TP/IPSec VPN:n määrittäminen manuaalisesti
2.1 VPN-yhdyskäytävän määrittäminen
2.2 VPN-yhteyden määrittäminen
2.3 L2TP VPN -asetusten määrittäminen
2.4 Yhteenveto L2TP-asetuksista
3) Pakolliset määritykset
3.1 Salli UDP-portit 4500 ja 500.
3.2 Internet-yhteyden salliminen L2TP:n kautta käytäntöreittien kautta.
4. Vinkkejä ja vianmääritys
4.1 L2TP VPN:n oletusasetusten palauttaminen
4.2 L2TP VPN -asiakkaiden määrittäminen
4.3 Lisäasetukset: L2TP VPN:n perustaminen lähiverkosta:
4.5 L2TP Over IPSec VPN - virtuaalilaboratorio.
4.7 L2TP MS-CHAPv2:n määrittäminen USG/Zywall-sarjassa
Mikä on L2TP over IPSec VPN?
Ennen kuin aloitamme konfigurointioppaan, esittelemme L2TP over IPSec VPN:n.
L2TP over IPSec yhdistää Layer 2 Tunneling Protocol -protokollan (L2TP, joka tarjoaa pisteestä pisteeseen -yhteyden) ja IPSec-protokollan. L2TP ei yksinään tarjoa sisällön salausta, ja siksi tunneli rakennetaan yleisesti 3. kerroksen IPsec-salausprotokollan päälle, jolloin tuloksena on niin sanottu L2TP over IPSec VPN.
Tässä käsikirjassa voit tutustua kaikkiin tietoihin, joita tarvitaan L2TP VPN -yhteyksien muodostamiseen Zyxelin palomuurilaitteissa, tutustua konfigurointimenetelmiin (ohjatun toiminnon avulla ja manuaalisesti), asiakasasetuksiin Windows-, MAC- ja Linux-käyttöjärjestelmissä sekä edistyneempiin asetuksiin todennusta, erilaisia topologioita ja vianmääritystä varten palomuurilaitteissa ja asiakaslaitteissa. Myös virtuaalilaboratorioyhteys on määritetty, jossa on mahdollista tarkastella asetuksiamme, joita voidaan käyttää myös etä-VPN:n määrittämisessä laitteessasi.
1. Määritä L2TP VPN sisäänrakennetun ohjatun toiminnon avulla.
1.1 Siirry Ohjattuun toimintoon
a. Avaa Quick Setup (Pika-asetukset) -välilehti ja valitse ponnahdusikkunassa Remote Access VPN Setup (Etäkäyttö-VPN-asetus):
1.2 Valitse L2TP over IPSec -asiakaskenaario.
1.3 VPN-konfiguraation määrittäminen
Anna haluamasi Pre-Shared Key ja valitse vastaava WAN-liitäntä.
1.4 Käyttäjän todennuksen määrittäminen
1.5 Tallenna konfiguraatio ja lataa L2TP-konfiguraatio.
2) L2TP/IPSec VPN:n määrittäminen manuaalisesti
Seuraavassa kuvataan vaiheet, joita tarvitaan L2TP over IPSec VPN:n manuaaliseen määrittämiseen. Topologia ja sovellus ovat samat kuin ohjattua toimintoa käytettäessä, ainoa ero on konfiguroinnin vaiheissa.
2.1 VPN-yhdyskäytävän määrittäminen
Siirry seuraavaan polkuun ja luo uusi VPN-yhdyskäytävä:
dyn_repppppppp_1Paina "Näytä lisäasetukset". Kirjoita yhdyskäytävälle nimi, valitse WAN-liitäntäsi ja lisää ennalta jaettu avain:
Aseta neuvottelutilaksi Main ja lisää seuraavat (yhteiset) ehdotukset ja vahvista painamalla OK:
2.2 VPN-yhteyden määrittäminen
Mene seuraavaan polkuun ja luo uusi VPN-yhteys:
dyn_repppppppp_2Paina "Näytä lisäasetukset". Anna yhteyden nimi, aseta Application Scenario -asetukseksi Remote Access (Server Role) ja valitse aiemmin luomaasi VPN-yhdyskäytävää:
Luo Local Policy -käytäntöä varten uusi IPv4-osoiteobjekti (Create New Object-painikkeesta) todelliselle WAN-IP-osoitteellesi ja aseta se sitten VPN-yhteydelle Local Policy -käytännöksi:
Aseta Encapsulation (Kapselointi) -asetukseksi Transport (Kuljetus ) ja lisää seuraavat ehdotukset ja vahvista klikkaamalla OK:
2.3 L2TP VPN -asetusten määrittäminen
Nyt kun IPSec-asetukset on tehty, L2TP-asetukset on määritettävä. Siirry seuraavaan polkuun:
dyn_repppppppp_3Luo tarvittaessa uusi(t) paikallinen(t) käyttäjä(t), joka(t) saa(vat) muodostaa yhteyden VPN:ään:
Luo L2TP-IP-osoitepooli, jossa on joukko IP-osoitteita, joita asiakkaiden on käytettävä, kun ne ovat yhteydessä L2TP/IPSec VPN:ään.
Huomautus: Tämä ei saa olla ristiriidassa minkään WAN-, LAN-, DMZ- tai WLAN-aliverkon kanssa, vaikka ne eivät olisi käytössä.
2.4 Yhteenveto L2TP-asetuksista
Määritetään nyt L2TP-asetukset:
- Asetetaan kohdassa 2.2 VPN-yhteyden määrittäminen luotu VPN-yhteys.
- IP-osoitepoolin voit asettaa L2TP IP-alueen objektin.
- Authentication Method (todennusmenetelmä) voidaan asettaa oletusarvoksi paikallisen käyttäjän todennusta varten
- Sallitut käyttäjät voidaan asettaa käyttäjälle. Jos tarvitaan useita käyttäjiä, voidaan Object-sivulla luoda käyttäjäryhmä.
- DNS-palvelin(t)ja WINS-palvelin voidaan valita joko itse palomuurilaitteeksi (Zywall) tai mukautetuksi palvelimen IP-osoitteeksi.
- Jos Internet-yhteyttä tarvitaan palomuurilaitteen kautta, kun se on liitetty L2TP/IPSec VPN:ään, varmista, että vaihtoehto "Allow Traffic Through WAN Zone" on käytössä.
- Tallenna asetukset napsauttamalla "Apply" (Käytä). Tämän jälkeen L2TP/IPSec VPN sinänsä on nyt valmis.
3) Pakolliset määritykset
3.1 Salli UDP-portit 4500 ja 500.
Varmista, että palomuurisäännöt sallivat pääsyn portteihin UDP 4500 ja 500 WAN:sta Zywalliin ja että oletusalue IPSec_VPN pääsee käyttämään verkkoresursseja. Tämä voidaan tarkistaa osoitteessa:
dyn_repppppppp_4
3.2 Internet-yhteyden ottaminen käyttöön L2TP:n kautta käytäntöreittien kautta.
Jos osan L2TP-asiakkaiden liikenteestä on mentävä Internetiin, luo käytäntöreitti, jolla lähetetään liikenne L2TP-tunneleista WAN-tunnelin kautta.
Aseta Incoming-tunneliksi Tunnel ja valitse L2TP VPN -yhteytesi. Aseta lähdeosoitteeksi L2TP-osoitepooli. Aseta Next-Hop Type -asetukseksi Trunk ja valitse sopiva WAN-trunki.
Lisätietoja tästä vaiheesta saat artikkelista:
Miten L2TP-asiakkaiden annetaan surffata USG:n kautta?
4. Vinkkejä ja vianmääritys
4.1 L2TP VPN:n oletusasetusten palauttaminen
Joissakin tapauksissa saattaa olla tarpeen antaa uusi alku L2TP VPN -asetuksille sivulla:
dyn_repppppppp_6Käytä tarvittaessa seuraavaa artikkelia, jossa kuvataan menetelmät oletusasetusten palauttamiseksi.
ZyWALL USG: VPN-L2TP:n oletusasetusten palauttaminen: VPN-L2TP:n oletusasetusten palauttaminen
4.2 L2TP VPN -asiakkaiden määrittäminen
L2TP over IPSec on erittäin suosittu ja yleisesti tuettu monilla päätelaitealustoilla, joilla on omat sisäänrakennetut asiakkaat.
Seuraavassa on lueteltu joitakin yleisimpiä niistä ja miten ne asetetaan:
4.3 Edistyneet asetukset: L2TP VPN:n perustaminen lähiverkosta:.
VPN on suosittu toiminto pakettien salaamiseen tietoja siirrettäessä.
ZyWALL/USG/ATP:n nykyisessä suunnittelussa, kun VPN-liitäntä perustuu WAN1-liitäntään, VPN-pyynnön on tultava WAN1-liitännästä (rajattu liitäntä), muutoin pyyntö hylätään. (esim. VPN-yhteys tuli LAN1:stä).
Joissakin skenaarioissa käyttäjien on kuitenkin ehkä luotava VPN-tunneli WAN:in lisäksi myös LAN:ista.
ZyWALL/USG/ATP tukee myös tätä skenaariota. Käyttäjät voivat noudattaa alla olevaa toimintatapaa VPN-liitäntärajoituksen poistamiseksi käytöstä, jotta VPN-yhteys voi tulla sekä WANista että LANista.
Topologia:
USG Firmware Version: USG Firmware Version: USG Firmware Version: USG Firmware Version: USG
4.32 tai uudempi
USG-konfiguraatio:
L2TP:n ottamiseksi käyttöön lähiverkosta sinun on päästävä laitteeseen pääteyhteydellä (sarja-, Telnet- tai SSH-yhteys) ja syötettävä seuraavat komennot:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Käynnistä laiteuudelleen.
4.4 Lisäasetukset: Ulkoisten palvelimien käyttäminen L2TP VPN:ään yhdistyvien käyttäjien todentamiseen.
Tässä osassa kuvataan, miten L2TP over IPSec ja MS-CHAPv2 määritetään USG/Zywall-sarjassa. Edistyneissä toteutuksissa käyttäjien todennus Active Directory (AD) -palvelimilla voidaan toteuttaa L2TP/IPSec VPN -todennuksessa.
Skenaario:
AD-toimialue: com (10.214.30.72)
USG110: 10.214.30.103
1. Siirry osoitteeseen Configuration>Object>AAA Server. Ota käyttöön toimialueen todennus MSCHAP:lle
Tunnus on yleensä sama kuin AD-ylläpitäjällä.
2. Siirry osoitteeseenSystem>Host Name,kirjoitaDomain Name -kenttään AD-toimialue.
Tämä virtaus saa USG:n liittymään AD-verkkotunnukseen. Tunneli luodaan onnistuneesti vain, kun tämä osa toimii.
3. Vahvista, onko USG liittynyt toimialueeseen. Siirry osoitteeseen Active Directoryn käyttäjät ja tietokoneet>Computers
Tässä tapauksessa näet, että usg110 on liittynyt toimialueeseen. Voit myös tarkistaa yksityiskohtaiset tiedot välilehdeltä Properties>Object hiiren oikealla napsautuksella.
4. Muokkaa verkkotunnusaluetta, laita verkkotunnuksen nimi kohtaan Järjestelmä> DNS >Domain Zone Forwarder.
Joskus se saattaa katketa tunnelin valinnan aikana, joten sinun on määritettävä seuraava asetus: Query interface on se, missä AD-palvelimesi sijaitsee.
5. Tarkista yhteysasetukset Windowsissa.
Varmista, että olet ottanut käyttöön (MS-CHAP v2) ja syöttänyt jaetun avaimen lisäasetuksissa.
6. Tarkista kirjautumistiedot Monitor-sivulta>, AD-käyttäjän pitäisi olla Current User List -luettelossa, kun tunnelin valinta on onnistunut.
Käyttäjätyyppi on L2TP ja käyttäjätiedot ovat ulkoinen käyttäjä.
Seuraavassa artikkelissa on lisätietoja tuetuista todennuksista, joita palomuurimme tukevat L2TP/IPSec VPN:n kanssa:
ZyWALL USG - Tuettu todennus L2TP:n kautta.
4.5 L2TP Over IPSec VPN - Virtuaalilaboratorio
Tutustu vapaasti virtuaalilaboratorioomme L2TP VPN -asennuksesta palomuurilaitteissamme. Tämän virtuaalilaboratorion avulla voit tarkastella oikeaa kokoonpanoa vertailun vuoksi, kun määrität ympäristöäsi:
Virtuaalilaboratorio - End-to-Site VPN (L2TP).