Ez a cikk bemutatja, hogyan konfigurálhatja az IKEv2 IPsec VPN-t tanúsítvánnyal a SecuExtender használatával Windows és MacOS rendszereken egyaránt. Megmutatja, hogyan kell konfigurálni a VPN-t a tűzfalon (USG FLEX / ATP / VPN Series stand-alone / on-premise módban), valamint megmutatja, hogyan lehet megszabadulni a TGBErrorCodeMgrNotCreated.description hibától MacOS alatt.

Megjegyzés: Az IOS 17 esetében egy kulcscsoportot használnak: DH19-et kell használni

Videó:

Tartalomjegyzék

A) Az IKEv2 konfigurálása a tűzfalon

B) A SecuExtender kliens konfigurálása

C) Konfigurálás a MacOS rendszerben

A) Az IKEv2 konfigurálása a tűzfalon

1. Jelentkezzen be az egységbe az IP-cím és az admin fiók hitelesítő adatainak megadásával (alapértelmezés szerint a felhasználónév "admin", a jelszó pedig "1234").
   
   
2. Navigáljon a Konfiguráció > Objektum > Cím/Geo IP menüpontra, kattintson a "Hozzáadás" gombra a "Címtípus" "Tartomány" objektum létrehozásához. Nevezze el "IKEv2_Pool"-nak, és írjon be egy olyan IP-tartományt, amely nem fedésben van az alhálózatokkal.
   .
   
   
3. Hozzon létre egy másik IP cím objektumot, hogy az IKEv2 ügyfelek később hozzáférhessenek az internethez a VPN alagúton keresztül. Válassza a "Range" típust, nevezze el például "All_Traffic"-nek, írja be a "0.0.0.0.0" értéket a "Starting IP Address" (kezdő IP-cím) és a "255.255.255.255.255" értéket a "End IP Address" (vég IP-cím) értékhez.
   
   
   
4. Navigáljon a Konfiguráció > Objektum > Felhasználó/csoport menüpontra, és kattintson a "Hozzáadás" gombra az új felhasználók létrehozásához.
   
   
   
5. Kattintson a "Csoport" fülre és kattintson a "Hozzáadás" gombra az "IKEv2_Users" csoport létrehozásához, majd a szükséges felhasználókat jelöléssel és a jobbra mutató nyílra kattintva adja hozzá a szükséges felhasználókat.
   
   
   
6. Navigáljon a Konfiguráció > Objektum > Tanúsítvány menüpontra, kattintson a "Hozzáadás" gombra, válassza a "Host tartománynév" lehetőséget, írja be a tartománynevet vagy a DynDNS-t, görgessen le a "Kiterjesztett kulcshasználat" menüpontra, és jelölje be a három jelölőnégyzetet: "Kiszolgáló hitelesítés", "Ügyfél hitelesítés" és "IKE köztes", majd kattintson az "OK" gombra.
   
   
   
7. Kattintson duplán erre a tanúsítványra, és görgessen lefelé a "Csak a tanúsítvány exportálása" lehetőséghez.
   
   
   
8. Navigáljon a Konfiguráció > Hálózat > VPN > IPSec VPN menüpontra, és kattintson a "Hozzáadás", majd a "Speciális beállítások megjelenítése", jelölje be az "Engedélyezés", válassza az "IKEv2", a "Peer Gateway Address" alatt válassza a "Dinamikus cím", a "Certificate" alatt a "Authentication", és válassza ki a korábban létrehozott tanúsítványt.
   
   
   
   
9. Görgessen lefelé a kívánt javaslatok kiválasztásához a "Phase 1 Settings" (Fázis 1 beállítások) alatt, jelölje be a "Enable Extended Authentication Protocol" (Kiterjesztett hitelesítési protokoll engedélyezése), válassza a "Server Mode" (Kiszolgáló mód) opciót, hagyja az "AAA Method" (AAA módszer) opciót az "default" (alapértelmezett) értéken, és válassza ki a korábban létrehozott "IKEv2_Users" csoportot az "Allowed Users" (Engedélyezett felhasználók) opcióhoz, mielőtt végül az "OK" gombra kattint.
   
   
   
10. Most nyissa meg a fenti "VPN kapcsolat" lapot, kattintson a "Hozzáadás" gombra, kattintson a "Speciális beállítások megjelenítése" gombra, jelölje be az "Engedélyezés" pontot, válassza a "Távoli hozzáférés (kiszolgálói szerepkör)" opciót az "Alkalmazási forgatókönyv", válassza a korábban létrehozott VPN átjárót a "VPN átjáró" opcióhoz, a "Helyi házirend" alatt válassza a korábban létrehozott "All_Traffic" IP tartomány objektumot.
    
    
11. Jelölje be a "Enable Configuration Payload" (Konfigurációs hasznos terhelés engedélyezése) opciót, válassza az "IKEv2_Pool" objektumot az "IP Address Pool" (A DNS szerverek opcionálisak), válassza ki a kívánt javaslatokat a VPN kapcsolathoz, végül kattintson az "OK" gombra a VPN kapcsolat konfigurációjának befejezéséhez.
    
    
    
    
12. Most navigáljon a Konfiguráció > Objektum > Hálózat > Útválasztás menüpontba, kattintson a "Hozzáadás" gombra, jelölje be az "Engedélyezés" opciót, válassza az "Alagút" opciót a "Bejövő" opcióhoz, válassza a korábban létrehozott IPSec kapcsolatot a "Kérjük, válasszon ki egy tagot" opcióhoz, válassza az "IKEv2_Pool"-t a "Forráscím" opcióhoz, végül válassza a WAN-interfészét vagy a WAN-törzset a "Következő ugrás" opcióhoz, mielőtt végül az "OK" gombra kattint.
    

B) A SecuExtender Client konfigurálása

1. Nyissa meg az IPSec klienst, kattintson a jobb gombbal az "IKE V2" mappára a bal oldalon egy új "Ikev2Gateway" hozzáadásához, adja meg a "Távoli átjárónak" azt a tartománynevet, amelyet az USG tanúsítványában is megadott, és válassza ki a megfelelő javaslatokat a "Cryptography" alatt.
   
2. A VPN-kapcsolat hozzáadásához kattintson a bal oldali VPN-átjáróra a jobb gombbal, válassza a "Címtípus" "Alhálózati cím" menüpontot, írja be az USG telephelyén lévő helyi alhálózat címét és alhálózati maszkját, amelyhez az ügyfeleknek hozzáférést kell biztosítani, és válassza ki a VPN-kapcsolathoz tartozó megfelelő javaslatokat.
   
   
   
3. Ha a "Child SA Life Lifetime" nem egyezik meg az USG-n beállított értékkel, akkor az alagút végleges megnyitása előtt állítsa be azt a bal oldali VPN-kapcsolatra való ismételt jobb kattintással.

C) Nem lehet .tgb-fájlt importálni MacOS alatt

Ha ez a "TGBErrorCodeMgrNotCreated.description" TGB-fájl hiba jelenik meg a MacOS rendszerén, ez a MacOS adatvédelmi beállításaival függ össze. Engedélyeznie kell, hogy a SecuExtender megbízható legyen az operációs rendszerében.

Navigáljon a Beállítások -> Adatvédelem és biztonság -> Biztonság menüpontra, és válassza az "App Store és azonosított fejlesztők" lehetőséget. Ezután meg kell jelennie a "SecuExtender VPN kliensnek", és meg kell nyomnia az "Engedélyezés" gombot:

Most már sikeresen importálhatja a .tgb-fájlt a SecuExtender kliensbe MacOS-en, hogy megkapja a konfigurációt.

+++ A Zyxel VPN kliensekhez (SSL VPN, IPsec) 1 kattintással azonnali szállítással vásárolhat licenceket: Zyxel Webstore +++