Ebben a kézikönyvben felfedezheti a Zyxel Firewall eszközök L2TP VPN-kapcsolataihoz szükséges összes információt, megismerheti a konfigurációs módszereket (a varázslón keresztül és manuálisan), valamint a Windows, MAC és Linux kliensbeállításait; valamint a Firewall eszközökön és a kliens eszközökön végzett hitelesítés, különböző topológiák és hibaelhárítás fejlettebb beállításai. Meg van határozva a virtuális laboratóriumi hozzáférés is, ahol áttekinthető a beállításunk, amely szintén használható a távoli VPN beállításához az eszközön.
Mi az L2TP over IPSec VPN?
Mielőtt a konfigurációs útmutatóval kezdenénk, mutassuk be az L2TP over IPSec VPN-t.
Az L2TP over IPSec egyesíti a Layer 2 Tunneling Protocolt (L2TP, amely pont-pont kapcsolatot biztosít) az IPSec protokollal. Az L2TP önmagában nem biztosítja a tartalom titkosítását, ezért az alagút általában egy 3. rétegbeli IPsec titkosítási protokollon keresztül épül fel, ennek eredményeként az úgynevezett L2TP over IPSec VPN.
1. A Firewall eszköz beépített varázslója az L2TP/IPSec VPN beállításához
2. Az L2TP/IPSec VPN manuális beállítása
3. Az L2TP VPN alapértelmezett konfigurációjának visszaállítása
4. Az L2TP VPN-kliensek beállítása
5. Speciális beállítások: L2TP VPN létrehozása a LAN-ból
7. L2TP over IPSec VPN – Virtual Lab
1. A Firewall eszköz beépített varázslója az L2TP/IPsec VPN beállításához
a. Nyissa meg a Gyorsbeállítás lapon, és a felugró ablakban válassza a Remote Access VPN Setup lehetőséget :
b. Válaszd ki a L2TP IPSec Client felett Forgatókönyv




Configuration > Security Policy > Policy Control
2. Az L2TP/IPSec VPN manuális beállítása
Az alábbiakban az L2TP over IPSec VPN kézi konfigurálásához szükséges lépéseket ismertetjük. A topológia és az alkalmazás ugyanaz, mint a varázsló használatakor, az egyetlen különbség a konfiguráció lépései.
a. Menjen a következő elérési útra, és hozzon létre egy új VPN Gateway VPN-t:
Configuration > VPN > IPSEC VPN > VPN Gateway
Kérjük, nyomja meg a "Speciális beállítások megjelenítése" gombot. Adja meg az átjáró nevét, válassza ki a WAN interfészt, és adjon hozzá egy előre megosztott kulcsot:
b. Állítsa a Tárgyalási módot Főre, és adja hozzá a következő (általános) javaslatokat, és erősítse meg az OK gombra kattintva:
c. Menjen a következő elérési útra, és hozzon létre egy új VPN-kapcsolatot:
Configuration > VPN > IPSec VPN > VPN Connection
Kérjük, nyomja meg a "Speciális beállítások megjelenítése" gombot. Adja meg a kapcsolat nevét, állítsa az Alkalmazási forgatókönyvet Távoli hozzáférésre (szerver szerepkör), és válassza ki a korábban létrehozott VPN Gateway VPN-t:
d. A Helyi házirendhez hozzon létre egy új IPv4-címobjektumot (az " Új objektum létrehozása " gombbal) a valódi WAN IP-címéhez , majd állítsa be a VPN-kapcsolatra Helyi házirendként :
e. Állítsa az Encapsulation beállítást Transport értékre, adja hozzá a következő javaslatokat, és erősítse meg az OK gombra kattintva:
f. Most, hogy az IPSec beállításai elkészültek, be kell állítani az L2TP beállításokat. Menjen a következő útvonalra:
Configuration -> VPN -> L2TP VPN Settings
g. Ha szükséges, hozzon létre egy új helyi felhasználó(ka)t, akik csatlakozhatnak a VPN-hez:
h. Hozzon létre egy L2TP IP-címkészletet olyan IP-címekkel, amelyeket az ügyfeleknek használniuk kell, miközben csatlakoznak az L2TP/IPSec VPN-hez.
Megjegyzés: Ez nem ütközhet semmilyen WAN-, LAN-, DMZ- vagy WLAN-alhálózatba, még akkor sem, ha nincsenek használatban.
én. Most állítsuk be az L2TP beállításokat:
- Állítsa be a c lépésben létrehozott VPN-kapcsolatot
- Az IP-címkészlet beállíthatja a h lépésben létrehozott L2TP IP-tartomány objektumot
- Az Authentication Method beállítható alapértelmezettként a helyi felhasználói hitelesítéshez
- Az Engedélyezett felhasználók beállíthatók a g lépésben létrehozott felhasználóhoz. Ha több felhasználóra van szükség, az Objektum oldalon létrehozható egy felhasználói csoport.
- A DNS-kiszolgáló(k) és a WINS-kiszolgáló kiválasztható úgy, hogy maga a Firewall eszköz (Zywall), vagy egy testreszabott szerver IP-címe.
- Ha internet-hozzáférésre van szükség a Firewall eszközön keresztül, miközben az L2TP/IPSec VPN-hez csatlakozik, győződjön meg arról, hogy a „Forgalom engedélyezése WAN zónán keresztül” opció engedélyezve van.
- Kattintson az "Alkalmaz" gombra a beállítások mentéséhez. Ezzel készen áll az L2TP/IPSec VPN mint olyan.
j. Győződjön meg arról, hogy a tűzfalszabályok lehetővé teszik a hozzáférést az UDP 4500 és 500 portokhoz a WAN és a Zywall között, és hogy az alapértelmezett IPSec_VPN zóna hozzáfér a hálózati erőforrásokhoz. Ez ellenőrizhető:
Configuration > Security Policy > Policy Control
k. Internet-elérés engedélyezése L2TP-n keresztül: Ha az L2TP-kliensek forgalmának egy részét az internetre kell irányítani, hozzon létre egy házirend-útvonalat, amely az L2TP-alagutakból egy WAN-trönkön keresztül továbbítja a forgalmat.
Configuration > Network > Routing > Policy Route
Állítsa be az Incoming lehetőséget alagútra, és válassza ki az L2TP VPN-kapcsolatot. Állítsa be a Forrás Cím az L2TP címkészletébe. Állítsa a Next-Hop típust Trunk értékre, és válassza ki a megfelelő WAN fővonalat.
A lépéssel kapcsolatos további részletekért olvassa el a cikket:
Hogyan lehet az L2TP-klienseket szörfölni USG-n keresztül
3. Az L2TP VPN alapértelmezett konfigurációjának visszaállítása
Bizonyos esetekben szükség lehet az L2TP VPN-beállítások újrakezdésére az oldalon:
Configuration > VPN > L2TP VPN
Ha szükséges, használja a következő cikket, amely leírja az alapértelmezett beállítások visszaállításának módszereit.
ZyWALL USG: A VPN-L2TP alapértelmezett konfigurációjának visszaállítása
4. Az L2TP VPN-kliensek beállítása
Az IPSec feletti L2TP nagyon népszerű, és általában számos, saját beépített klienssel rendelkező végeszköz-platform támogatja.
Íme néhány a leggyakoribbak közül és azok beállítási módjai:
- Ablakok:
- MAC OPERÁCIÓS RENDSZER:
- LINUX:
5. Speciális beállítások: L2TP VPN létrehozása a LAN-ból:
A következő cikk a Firewall eszköz LAN-jából az L2TP-hez való csatlakozás lépéseit tartalmazza, amikor csak szükséges, mivel az ügyféleszköz valamikor csatlakozhat az irodai hálózathoz.
Hogyan hozzunk létre L2TP alagutat LAN oldalról.
6. Speciális beállítás: Külső szerverek használata az L2TP VPN-hez csatlakozó felhasználók hitelesítésére
Speciális megvalósítások esetén az Active Directory (AD) kiszolgálókkal való felhasználói hitelesítés megvalósítható az L2TP/IPSec VPN hitelesítésen. Kérjük, olvassa el a következő cikket, amely leírja a lépéseket:
Az L2TP konfigurálása IPSec-en keresztül az MS-CHAPv2 segítségével az USG-n
További információként a következő cikk részletezi azokat a támogatott hitelesítéseket, amelyeket a Firewall-eink támogatnak L2TP/IPSec VPN-nel:
ZyWALL USG – Támogatott hitelesítés L2TP-n keresztül
7. L2TP over IPSec VPN – Virtual Lab
Nyugodtan tekintse meg Virtuális laborunkat az L2TP VPN beállításához Firewall eszközeinken. Ezzel a virtuális laborral összehasonlítás céljából megtekintheti a megfelelő konfigurációt a környezet beállítása során:
Virtuális labor – végpontok közötti VPN (L2TP)
8. Hibaelhárítás
Az alábbiakban az L2TP over IPSec VPN beállítása során azonosított gyakori problémák elhárításával kapcsolatos információk találhatók.
- Ha az alábbihoz hasonló [figyelmeztetés] naplóüzeneteket lát, ellenőrizze a Firewall L2TP engedélyezett felhasználó vagy a Felhasználó/csoport beállításait. Az L2TP VPN létrehozásához az ügyféleszköz-beállításoknak ugyanazt a felhasználónevet és jelszót kell használniuk, mint a Firewall.
- Ha az alábbihoz hasonló [info] vagy [hiba] naplóüzenetet lát, ellenőrizze a Firewall 1. fázis beállításait. Az IKE SA létrehozásához az ügyféleszköz-beállításoknak ugyanazt az előre megosztott kulcsot kell használniuk, mint a Firewall-ben.
- Ha azt látja, hogy az 1. fázisú IKE SA folyamat befejeződött, de továbbra is [info] naplóüzenetet kap az alábbiak szerint, kérjük, ellenőrizze a Firewall 2. fázisának beállításait. A tűzfalegységnek be kell állítania a megfelelő helyi házirendet az IKE SA létrehozásához.
- Győződjön meg arról, hogy az L2TP címkészlet nem ütközik egyetlen meglévő LAN1, LAN2, DMZ vagy WLAN zónával, még akkor sem, ha nincsenek használatban.
- Ha nem tud hozzáférni a helyi hálózaton lévő eszközökhöz, ellenőrizze, hogy a helyi hálózatban lévő eszközök az USG IP-címét állították-e be alapértelmezett átjáróként az L2TP alagút használatához.
- Győződjön meg arról, hogy a Firewall egységek biztonsági házirendje engedélyezi az IPSec VPN-forgalmat. Az IKE az 500-as UDP-portot, az AH az 51-es IP-protokollt, az ESP pedig az 50-es IP-protokollt használja.
- Ellenőrizze, hogy a zóna megfelelően van-e beállítva a VPN-kapcsolat szabályában. Ezt az IPSec_VPN zónára kell állítani, hogy megfelelően alkalmazzák a biztonsági házirendeket.
- Az egyéb gyakori konfigurációs problémák itt találhatók:
Vegye fel a kapcsolatot ügyfélszolgálatunkkal, ha más típusú problémát tapasztal, amelyre itt nem tér ki.
NYILATKOZAT:
Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió
Hozzászólások
0 hozzászólás
Hozzászólások írásához jelentkezzen be.