Tärkeä huomautus: |
Tässä oppaassa opit, miten IKEv2 IPsec VPN määritetään käyttämällä ohjatun asennuksen (Quick Setup) avulla Zyxel Firewall VPN/USG FLEX/ATP -sarjassa ja miten siihen muodostetaan yhteys Androidilla, iPhonella (iOS), Windows-tietokoneilla ja Mac-tietokoneilla sekä Zyxel SecuExtenderillä että natiivilla asiakkaalla. Käsittelemme myös erityisiä näkökohtia VPN:n määrittämiseksi iOS-laitteissa, mobiililaitteissa, joissa on versio 18 tai uudempi, ja tietokoneissa, joissa on Sonoma-ohjelmisto tai uudempi.
Huomautus: Kuvassa olevat IP-osoitteet ovat vain esimerkinomaisia, eivätkä ne ole merkityksellisiä koko artikkelin kannalta. Ne voivat olla erilaiset sinun tapauksessasi.
VPN:n määrittäminen pika-asetusten avulla
Kirjaudu sisään palomuurin WEB GUI -käyttöliittymään ja siirry Quick Setup (Pika-asetukset) -kohtaan ja valitse Remote Access VPN ja sitten IKEv2 IPSec Client (Zyxel SecuExtender, ei-SecuExtender).
Käytä tätä, jos käytät Zyxel SecuExtender IPSec VPN -asiakasohjelmaa tai tietokoneen käyttöjärjestelmää, joka tukee IPSec VPN:ää IKEv2:lla (ei-SecuExtender VPN -asiakasohjelma). Voit luoda täyden tunnelin tai jaetun tunnelin VPN-säännön Zyxel SecuExtender VPN-asiakkaalla. Voit luoda Full Tunnel VPN -säännön vain muulla kuin SecuExtender VPN -asiakkaalla.
Määritä IP-osoitepooli asiakasta varten.
IP-osoitepooli käyttää valittua, laitteessa käyttämätöntä aliverkkoa, jotta vältetään saman aliverkon määrittäminen. IP-osoitepooli alkaa osoitteesta 192.168.50.1. Jos aliverkko 192.168.50.1 on olemassa yhdyskäytävän asetuksissa, IP-osoitepooli muuttuu automaattisesti.
Lisää tai luo käyttäjiä, joilla on VPN-yhteys. Kun käyttäjät on lisätty, valitse Seuraava ja tarkista kaikki asetukset varmistaaksesi niiden oikeellisuuden. Voit nyt joko ladata automaattisen komentosarjan VPN:n määrittämistä varten tai määrittää sen manuaalisesti varmenteen avulla.
Kun VPN-konfigurointi on onnistunut, voit ladata ja asentaa komentosarjatiedostot Windows-, MacOS-, iOS- tai Android-laitteisiin VPN-asetusten automaattista konfigurointia varten.
Huomautus: Muiden kuin SecuExtender IPSec VPN -asiakkaiden VPN-asetukset eivät tue seuraavia ominaisuuksia:
- Upload-kaistanleveyden rajoitus
- Jaettu tunneli
- Kahden tekijän todennus (Google Authenticator)
Tärkeää: Käyttäjät, joilla on iOS 18 tai uudempi ja Mac OS 14 Sonoma Käyttäjät eivät voi käyttää komentosarjaa ja heidän on määritettävä se manuaalisesti. Tässä artikkelissa, iPhonen ja MacOS:n asetukset -osiossa, on tarkempi kuvaus tarvittavista vaiheista.
Pidä mielessä: Jotta konfigurointivirheet ja muut mahdolliset ongelmat saataisiin minimoitua, suosittelemme skriptin käyttämistä asennukseen. Voit kuitenkin asentaa ja määrittää varmenteen myös manuaalisesti suoraan päätelaitteeseen. Yksityiskohtaiset ohjeet varmenteen manuaaliseen asennukseen ja VPN-konfigurointiin löytyvät osiosta "Varmenteen manuaalinen konfigurointi".
VPN-skriptin käyttäminen Windowsissa
Tallenna skriptin sisältävä arkisto tietokoneellesi, pura kansio ja suorita skripti järjestelmänvalvojan oikeuksin (se on tiedosto, jossa on bat-pääte).
Kun asennus on onnistunut, siirry tietokoneen VPN-asetuksiin. Sieltä löydät luodun VPN-yhteyden. Napsauta Yhdistä. Syötä seuraavaksi käyttäjänimi ja salasana.
VPN-skriptin käyttäminen Androidissa
Android-käyttäjille asenna StrongSwan ja seuraa tätä artikkelia:
VPN-skriptin käyttäminen iPhonessa
Tärkeää: Käyttäjät, joilla on iOS 18 tai uudempi ja Mac OS 14 Sonoma Käyttäjät eivät voi käyttää komentosarjaa ja heidän on määritettävä se manuaalisesti. Tämä johtuu Applen tiukentuneista IKEv2 VPN-salauksen turvallisuusvaatimuksista. Ongelman ratkaisemiseksi sinun on tehtävä Avainryhmä- ja Ehdotus-muutokset aiemmin luodun VPN-yhteyden Vaihe 1 -asetuksiin ja Vaihe 2 -asetuksiin Pika-asetusten (Wizzard) avulla.
Palaa palomuurin web GUI -käyttöliittymään jatkaaksesi. Valitse vasemmasta valikosta "Configuration" ja siirry sitten kohtaan "VPN". Avaa kyseisen VPN-yhteyden konfigurointiasetukset ja lisää ehdotus seuraavilla asetuksilla kohtaan Phase 2 Setting :
Ehdotus
- Salaus: AES256
- Todennus: M2500: M2500: M2500: M2500: M2500: SHA256.
Seuraavaksi siirry "VPN Gateway" -välilehdelle, jossa meidän on päivitettävä vaihe 1 -asetukset seuraavasti:
Ehdotus
- Salaus: AES256
- Todentaminen: SHA256
Avainryhmä: DH2 DH14 DH19
Kun olet tehnyt muutokset, älä unohda soveltaa niitä klikkaamalla "Apply" -painiketta.
Seuraava vaihe on ladata VPN-yhteytemme varmenne ja asentaa se laitteeseesi.
Varmenteen lataaminen
Siirry kohtaan Configuration (Määritykset) -> Object (Kohde) -> Certificate (Varmenne), valitse VPN-varmenne ja lataa varmenne painamalla "Download" (Lataa).
Nyt voit joko päättää viedä varmenteen salasanan kanssa, jotta se on turvallinen ja varmistaa, ettei se joudu vääriin käsiin, tai jättää sen tyhjäksi viedäksesi varmenteen ilman salasanaa asennettavaksi.
Nyt voit liittää tämän varmenteen käyttäjille lähettämääsi sähköpostiin, jossa selitetään, miten se asennetaan ja miten VPN-yhteys muodostetaan.
iPhone iOS 18 ja uudempi: Varmenteen manuaalinen asennus ja VPN-konfigurointi
Siirrytään nyt itse iPhonen asetuksiin. Lataa esimerkiksi sähköpostitse lähetetty varmenne iPhoneen.
Huomautus: Nämä muutokset eivät vaikuta olemassa oleviin VPN-yhteyksiin riippumatta siitä, miten ne on tehty, joko "Pika-asetuksella" tai manuaalisesti.
| Lähetä varmenne sähköpostitse esim. Avaa Iphonessa varmenteen sisältävä sähköpostiviesti ja suorita se. | ||
Kun olet suorittanut varmenteen, laitteen asetuksiin ilmestyy uusi profiili. Löydät sen siirtymällä Iphonen asetuksiin.
| Klikkaa "Profile Downloaded": | Napsauta "Asenna": | Klikkaa "Asenna": |
| Nyt sinulla on tarkistettu varmenne: | Siirry kohtaan Asetukset -> VPN ja laite | Klikkaa "Lisää VPN" |
| Syötä palomuurisi WAN IP-osoite "Server" ja "Remote ID" kenttiin sekä käyttäjätunnus ja salasana. | Tee yhteys ja odota, kunnes tila on "Connected", tämä kestää yleensä muutaman sekunnin. |
Windows 10 ja uudemmat: Varmenteen manuaalinen asennus ja VPN-konfigurointi
| Kaksoisnapsauta sertifikaattia hiiren vasemmalla painikkeella ja napsauta uudessa avautuneessa ikkunassa "Open" (Avaa). | Napsauta "Asenna varmenne" -painiketta |
Voit myös yrittää tuplaklikata varmenteen napsauttamalla "Asenna varmenne..." ja napsauttamalla "Seuraava"
| Valitse, onko varmenne kaikkien tietokoneen käyttäjien vai vain nykyisen käyttäjän käytettävissä. | Napsauta "Aseta kaikki varmenteet seuraavaan varastoon" ja valitse "Luotettavat juurivarmentajat" (Trusted Root Certification Authorities). |
| Melkein valmis, paina "Finish" | Sitten otamme sen varoituksen ja olemme valmiit! |
Nyt konfiguroidaan itse VPN-profiili. Voit tehdä tämän tietokoneellasi siirtymällä VPN-osioon.
| Käytä Windowsin hakua ja, etsi VPN ja valitse Windowsin hakupalkista "VPN-asetukset": | Napsauta avautuvassa uudessa ikkunassa "Lisää VPN-yhteys". |
MAC OS 14 Sonoma ja uudempi: Varmenteen manuaalinen asennus ja VPN-konfigurointi
| Kaksoisnapsauta varmenteen päällä ja valitse "avaimenperä" "järjestelmä". | Napsauta WiFi-symbolia ja "Verkkoasetukset". Napsauta sitten "+"-merkkiä WiFi-yhteyksien alapuolella. |
Napsauta WiFi-symbolia ja "Verkkoasetukset". Napsauta sitten "+"-merkkiä WiFi-yhteyksien alapuolella ja Luo IKEv2 VPN alla olevan kuvan mukaisesti.
Täytä IP-osoite / FQDN, etätunnus ja napsauta sitten alla olevia todennusasetuksia. Valitse käyttäjätunnus ja syötä käyttäjätunnus ja salasana.
Zyxel SecuExtender
SecuExtender mukauttaa Zero Trust -periaatetta auttaakseen IT-yksikköä varmistamaan käyttäjien henkilöllisyyden ja pakottaakseen sisäänpääsyn valvonnan lisäämään turvallisuutta. SecuExtenderin käyttö edellyttää lisenssiä . Voit kuitenkin ladata sen ilmaiseksi ja testata ilmaisen kokeiluversion klikkaamalla tästä: SecuExtender VPN Client
Tässä artikkelissa tarkastellaan Zyxel SecuExtenderin konfigurointia käyttäen esimerkkinä Windows-asiakasta. MacOS:n menettely on kuitenkin identtinen lukuun ottamatta pientä eroa sovelluksen ulkoasussa.
Avaa sovellus ja napsauta "Configuration" vasemmassa yläkulmassa. Pudotusvalikosta löydät 2 "Get from Server" ja "Wizard".
Molemmat vaihtoehdot ovat hyvin yksinkertaisia. Kun valitset "Hae palvelimelta", sinun on tiedettävä VPN-käyttäjän nimi tai osoite sekä käyttäjätunnus ja salasana. Ohjatun toiminnon tapauksessa voit tehdä lisämuutoksia konfiguroinnin aikana.
VPN-profiilin lataus onnistui. Siirry nyt päävalikkoon, ja näet uuden VPN-profiilin vasemmanpuoleisessa luettelossa. Kaksoisnapsauta vasemmalle ja syötä käyttäjätunnus ja salasana. Valmis. Yhteys on onnistunut!
Huomaa , että "Varmenteen tarkistus" on poistettava käytöstä, jos käytät oletusarvoista ja itse allekirjoitettua varmentajaa.