Join our next TECHtalk Episode on September 28th - New Series: USG FLEX Basics 1: "Objects"

Register
Magyar Български Čeština Dansk Deutsch English Español Suomi Français Hrvatski Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

USG FLEX/ATP/VPN – L2TP over IPSec VPN konfigurációs kézikönyv (helyszíni mód) L2TP icon

Avatar
David Mössner
  • Frissítve
Vissza a tetejére

Ebben a kézikönyvben felfedezheti a Zyxel Firewall eszközök L2TP VPN-kapcsolataihoz szükséges összes információt, megismerheti a konfigurációs módszereket (a varázslón keresztül és manuálisan), valamint a Windows, MAC és Linux kliensbeállításait; valamint a Firewall eszközökön és a kliens eszközökön végzett hitelesítés, különböző topológiák és hibaelhárítás fejlettebb beállításai. Meg van határozva a virtuális laboratóriumi hozzáférés is, ahol áttekinthető a beállításunk, amely szintén használható a távoli VPN beállításához az eszközön.

 

Mi az L2TP over IPSec VPN?

Mielőtt a konfigurációs útmutatóval kezdenénk, mutassuk be az L2TP over IPSec VPN-t.

Az L2TP over IPSec egyesíti a Layer 2 Tunneling Protocolt (L2TP, amely pont-pont kapcsolatot biztosít) az IPSec protokollal. Az L2TP önmagában nem biztosítja a tartalom titkosítását, ezért az alagút általában egy 3. rétegbeli IPsec titkosítási protokollon keresztül épül fel, ennek eredményeként az úgynevezett L2TP over IPSec VPN.

 

1. A Firewall eszköz beépített varázslója az L2TP/IPSec VPN beállításához

2. Az L2TP/IPSec VPN manuális beállítása

3. Az L2TP VPN alapértelmezett konfigurációjának visszaállítása

4. Az L2TP VPN-kliensek beállítása

5. Speciális beállítások: L2TP VPN létrehozása a LAN-ból

6. Speciális beállítás: Külső szerverek használata az L2TP VPN-hez csatlakozó felhasználók hitelesítésére

7. L2TP over IPSec VPN – Virtual Lab

8. Hibaelhárítás

 

 

1. A Firewall eszköz beépített varázslója az L2TP/IPsec VPN beállításához

a. Nyissa meg a Gyorsbeállítás lapon, és a felugró ablakban válassza a Remote Access VPN Setup lehetőséget :

21-09-_2021_13-15-36.jpg

21-09-_2021_13-16-21.jpg

 

b. Válaszd ki a L2TP IPSec Client felett Forgatókönyv

21-09-_2021_13-17-30.jpg

 

 

c. Adjon meg egy preferált Előre megosztott kulcs és válassza ki a megfelelőt WAN interfész .
Itt azt is eldöntheti, hogy az ügyféleszközről az internetre irányuló forgalom (tűzfalszabályok és útvonalak) áthaladjon-e a Firewall eszközön, ha az ügyféleszköz nem rendelkezik osztott alagút-készlettel.
21-09-_2021_13-18-08.jpg
d. Határozza meg a címkészlet az L2TP felhasználók számára, amikor csatlakozik a VPN-hez. Itt kiválaszthatja az előre meghatározott 192.168.51.1-250 tartományt is.
Megjegyzés: Nem szabad átfedésben lennie az eszközén meglévő hálózattal.
Mert DNS válassza a ZyWALL-t, vagy adjon meg egy kiszolgálót manuálisan.
21-09-_2021_13-19-38.jpg
e. Válasszon ki egy meglévő felhasználói objektumot, hogy hozzáadja az L2TP taglistához, vagy hozzon létre egy új felhasználót az " Új felhasználó hozzáadása " gombbal.
21-09-_2021_13-20-50.jpg
f. A mentés gombra kattintás után az L2TP alagút használatra kész.
21-09-_2021_13-21-05.jpg
g. Győződjön meg arról, hogy a tűzfalszabályok lehetővé teszik a hozzáférést az UDP 4500 és 500 portokhoz a WAN és a Zywall között, és hogy az alapértelmezett IPSec_VPN zóna hozzáfér a hálózati erőforrásokhoz. Ez ellenőrizhető:
Configuration  > Security Policy > Policy Control 

2. Az L2TP/IPSec VPN manuális beállítása

Az alábbiakban az L2TP over IPSec VPN kézi konfigurálásához szükséges lépéseket ismertetjük. A topológia és az alkalmazás ugyanaz, mint a varázsló használatakor, az egyetlen különbség a konfiguráció lépései.

 

a. Menjen a következő elérési útra, és hozzon létre egy új VPN Gateway VPN-t:

Configuration > VPN > IPSEC VPN > VPN Gateway

Kérjük, nyomja meg a "Speciális beállítások megjelenítése" gombot. Adja meg az átjáró nevét, válassza ki a WAN interfészt, és adjon hozzá egy előre megosztott kulcsot:

L2TP_1.PNG

 

b. Állítsa a Tárgyalási módot Főre, és adja hozzá a következő (általános) javaslatokat, és erősítse meg az OK gombra kattintva:

L2TP_2.PNG

 

c. Menjen a következő elérési útra, és hozzon létre egy új VPN-kapcsolatot:

 Configuration > VPN > IPSec VPN > VPN Connection

Kérjük, nyomja meg a "Speciális beállítások megjelenítése" gombot. Adja meg a kapcsolat nevét, állítsa az Alkalmazási forgatókönyvet Távoli hozzáférésre (szerver szerepkör), és válassza ki a korábban létrehozott VPN Gateway VPN-t:

L2TP_3.PNG

 

d. A Helyi házirendhez hozzon létre egy új IPv4-címobjektumot (az " Új objektum létrehozása " gombbal) a valódi WAN IP-címéhez , majd állítsa be a VPN-kapcsolatra Helyi házirendként :

L2TP_5.PNG

L2TP_6.PNG

 

e. Állítsa az Encapsulation beállítást Transport értékre, adja hozzá a következő javaslatokat, és erősítse meg az OK gombra kattintva:

L2TP_7.PNG

 

f. Most, hogy az IPSec beállításai elkészültek, be kell állítani az L2TP beállításokat. Menjen a következő útvonalra:

Configuration -> VPN -> L2TP VPN Settings

g. Ha szükséges, hozzon létre egy új helyi felhasználó(ka)t, akik csatlakozhatnak a VPN-hez:
L2TP_8.PNG

L2TP_9.PNG

 

h. Hozzon létre egy L2TP IP-címkészletet olyan IP-címekkel, amelyeket az ügyfeleknek használniuk kell, miközben csatlakoznak az L2TP/IPSec VPN-hez.

Megjegyzés: Ez nem ütközhet semmilyen WAN-, LAN-, DMZ- vagy WLAN-alhálózatba, még akkor sem, ha nincsenek használatban.

L2TP_8.PNG

L2TP_10.PNG

én. Most állítsuk be az L2TP beállításokat:

  • Állítsa be a c lépésben létrehozott VPN-kapcsolatot
  • Az IP-címkészlet beállíthatja a h lépésben létrehozott L2TP IP-tartomány objektumot
  • Az Authentication Method beállítható alapértelmezettként a helyi felhasználói hitelesítéshez
  • Az Engedélyezett felhasználók beállíthatók a g lépésben létrehozott felhasználóhoz. Ha több felhasználóra van szükség, az Objektum oldalon létrehozható egy felhasználói csoport.
  • A DNS-kiszolgáló(k) és a WINS-kiszolgáló kiválasztható úgy, hogy maga a Firewall eszköz (Zywall), vagy egy testreszabott szerver IP-címe.
  • Ha internet-hozzáférésre van szükség a Firewall eszközön keresztül, miközben az L2TP/IPSec VPN-hez csatlakozik, győződjön meg arról, hogy a „Forgalom engedélyezése WAN zónán keresztül” opció engedélyezve van.
  • Kattintson az "Alkalmaz" gombra a beállítások mentéséhez. Ezzel készen áll az L2TP/IPSec VPN mint olyan.

L2TP_11.PNG

 

j. Győződjön meg arról, hogy a tűzfalszabályok lehetővé teszik a hozzáférést az UDP 4500 és 500 portokhoz a WAN és a Zywall között, és hogy az alapértelmezett IPSec_VPN zóna hozzáfér a hálózati erőforrásokhoz. Ez ellenőrizhető:

Configuration  > Security Policy > Policy Control 

 

k. Internet-elérés engedélyezése L2TP-n keresztül: Ha az L2TP-kliensek forgalmának egy részét az internetre kell irányítani, hozzon létre egy házirend-útvonalat, amely az L2TP-alagutakból egy WAN-trönkön keresztül továbbítja a forgalmat.

Lépjen a következő útvonalra, és adjon hozzá egy új irányelv-útvonalat:
Configuration > Network > Routing > Policy Route

Állítsa be az Incoming lehetőséget alagútra, és válassza ki az L2TP VPN-kapcsolatot. Állítsa be a Forrás Cím az L2TP címkészletébe. Állítsa a Next-Hop típust Trunk értékre, és válassza ki a megfelelő WAN fővonalat.

L2TP_12.PNG

A lépéssel kapcsolatos további részletekért olvassa el a cikket:

Hogyan lehet az L2TP-klienseket szörfölni USG-n keresztül

 

3. Az L2TP VPN alapértelmezett konfigurációjának visszaállítása

Bizonyos esetekben szükség lehet az L2TP VPN-beállítások újrakezdésére az oldalon:

Configuration > VPN > L2TP VPN

Ha szükséges, használja a következő cikket, amely leírja az alapértelmezett beállítások visszaállításának módszereit.

ZyWALL USG: A VPN-L2TP alapértelmezett konfigurációjának visszaállítása

 

4. Az L2TP VPN-kliensek beállítása

Az IPSec feletti L2TP nagyon népszerű, és általában számos, saját beépített klienssel rendelkező végeszköz-platform támogatja.

Íme néhány a leggyakoribbak közül és azok beállítási módjai:

 

5. Speciális beállítások: L2TP VPN létrehozása a LAN-ból:

A következő cikk a Firewall eszköz LAN-jából az L2TP-hez való csatlakozás lépéseit tartalmazza, amikor csak szükséges, mivel az ügyféleszköz valamikor csatlakozhat az irodai hálózathoz.

Hogyan hozzunk létre L2TP alagutat LAN oldalról.

 

6. Speciális beállítás: Külső szerverek használata az L2TP VPN-hez csatlakozó felhasználók hitelesítésére

Speciális megvalósítások esetén az Active Directory (AD) kiszolgálókkal való felhasználói hitelesítés megvalósítható az L2TP/IPSec VPN hitelesítésen. Kérjük, olvassa el a következő cikket, amely leírja a lépéseket:

Az L2TP konfigurálása IPSec-en keresztül az MS-CHAPv2 segítségével az USG-n

 

További információként a következő cikk részletezi azokat a támogatott hitelesítéseket, amelyeket a Firewall-eink támogatnak L2TP/IPSec VPN-nel:

ZyWALL USG – Támogatott hitelesítés L2TP-n keresztül

 

7. L2TP over IPSec VPN – Virtual Lab

Nyugodtan tekintse meg Virtuális laborunkat az L2TP VPN beállításához Firewall eszközeinken. Ezzel a virtuális laborral összehasonlítás céljából megtekintheti a megfelelő konfigurációt a környezet beállítása során:

Virtuális labor – végpontok közötti VPN (L2TP)

 

8. Hibaelhárítás

Az alábbiakban az L2TP over IPSec VPN beállítása során azonosított gyakori problémák elhárításával kapcsolatos információk találhatók.

  • Ha az alábbihoz hasonló [figyelmeztetés] naplóüzeneteket lát, ellenőrizze a Firewall L2TP engedélyezett felhasználó vagy a Felhasználó/csoport beállításait. Az L2TP VPN létrehozásához az ügyféleszköz-beállításoknak ugyanazt a felhasználónevet és jelszót kell használniuk, mint a Firewall.
  • Ha az alábbihoz hasonló [info] vagy [hiba] naplóüzenetet lát, ellenőrizze a Firewall 1. fázis beállításait. Az IKE SA létrehozásához az ügyféleszköz-beállításoknak ugyanazt az előre megosztott kulcsot kell használniuk, mint a Firewall-ben.
  • Ha azt látja, hogy az 1. fázisú IKE SA folyamat befejeződött, de továbbra is [info] naplóüzenetet kap az alábbiak szerint, kérjük, ellenőrizze a Firewall 2. fázisának beállításait. A tűzfalegységnek be kell állítania a megfelelő helyi házirendet az IKE SA létrehozásához.
  • Győződjön meg arról, hogy az L2TP címkészlet nem ütközik egyetlen meglévő LAN1, LAN2, DMZ vagy WLAN zónával, még akkor sem, ha nincsenek használatban.
  • Ha nem tud hozzáférni a helyi hálózaton lévő eszközökhöz, ellenőrizze, hogy a helyi hálózatban lévő eszközök az USG IP-címét állították-e be alapértelmezett átjáróként az L2TP alagút használatához.
  • Győződjön meg arról, hogy a Firewall egységek biztonsági házirendje engedélyezi az IPSec VPN-forgalmat. Az IKE az 500-as UDP-portot, az AH az 51-es IP-protokollt, az ESP pedig az 50-es IP-protokollt használja.
  • Ellenőrizze, hogy a zóna megfelelően van-e beállítva a VPN-kapcsolat szabályában. Ezt az IPSec_VPN zónára kell állítani, hogy megfelelően alkalmazzák a biztonsági házirendeket.
  • Az egyéb gyakori konfigurációs problémák itt találhatók:

Vegye fel a kapcsolatot ügyfélszolgálatunkkal, ha más típusú problémát tapasztal, amelyre itt nem tér ki.

NYILATKOZAT:

 Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió

Ellenőrizze az opciókat a Támogatással kapcsolatban
Hasznos volt ez a cikk?
3/2 szavazó hasznosnak találta ezt
További kérdései vannak? Kérelem beküldése

Kapcsolódó cikkek

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.