Ez a cikk bemutatja, hogyan konfigurálható az L2TP IPSec-en keresztül önálló módban USG FLEX / ATP / VPN sorozatokon, hogyan kell használni a varázslót, letölteni a konfigurációt, manuálisan beállítani az L2TP-t a VPN gateway és kapcsolat menü segítségével, mit kell engedélyezni a tűzfalszabályokban, hogyan engedélyezhető az internet-hozzáférés L2TP esetén (internet nélkül), az alapértelmezett konfiguráció visszaállítását, VPN felhasználók beállítását, VPN létrehozását LAN-ról, külső szerverek használatát a felhasználók hitelesítéséhez, naplók segítségével történő hibakeresést, valamint az MS-CHAPv2 konfigurálását.
Mi az az L2TP IPSec-en keresztül?
Mielőtt belekezdenénk a konfigurációs útmutatóba, nézzük meg az L2TP IPSec-en keresztül VPN rövid ismertetését.
Az L2TP IPSec-en keresztül ötvözi a Layer 2 Tunneling Protocol-t (L2TP, amely pont-pont kapcsolatot biztosít) az IPSec protokollal. Az L2TP önmagában nem biztosít titkosítást, ezért a csatornát általában egy Layer 3 titkosítási protokoll, az IPsec fölé építik, így jön létre az úgynevezett L2TP IPSec-en keresztül VPN.
Ebben a kézikönyvben megtalálhat minden információt az L2TP VPN kapcsolatokhoz Zyxel tűzfal eszközökön, bemutatva a konfigurációs módszereket (varázslóval és manuálisan), az ügyfél beállítását Windows, MAC és Linux rendszerekhez, valamint fejlettebb beállításokat hitelesítéshez, különböző topológiákhoz és hibakeresést a tűzfal és az ügyfél eszközökön. Virtuális labor hozzáférés is elérhető, ahol megtekintheti beállításainkat, amelyeket az Ön távoli VPN beállításához is használhat.
L2TP VPN beállítása a beépített varázslóval
Navigáljon a varázslóhoz
a. Nyissa meg a Gyorsbeállítás fület, majd a felugró ablakban válassza a Távoli hozzáférés VPN beállítása lehetőséget:
Válassza az L2TP IPSec kliens forgatókönyvet
VPN konfiguráció beállítása
Adjon meg egy tetszőleges előre megosztott kulcsot (Pre-Shared Key), és válassza ki a megfelelő WAN interfészt.
Felhasználói hitelesítés beállítása
Konfiguráció mentése és L2TP konfiguráció letöltése
Configuration > Security Policy > Policy Control L2TP/IPSec VPN kézi beállítása
A következőkben ismertetjük az L2TP IPSec-en keresztül VPN kézi konfigurálásához szükséges lépéseket. A topológia és az alkalmazás ugyanaz, mint a varázsló használatakor, csak a konfiguráció lépéseiben van eltérés.
VPN Gateway konfigurálása
Menjen a következő útvonalra, és hozzon létre új VPN Gateway-t:
Configuration > VPN > IPSEC VPN > VPN GatewayKattintson az „Advanced Settings megjelenítése” gombra. Adjon nevet a gateway-nek, válassza ki a WAN interfészt, és adjon meg egy előre megosztott kulcsot:
Állítsa a Negotiation Mode-ot Main-re, adja hozzá az alábbi (gyakori) javaslatokat, majd erősítse meg az OK gombbal:
VPN kapcsolat konfigurálása
Menjen a következő útvonalra, és hozzon létre új VPN kapcsolatot:
Configuration > VPN > IPSec VPN > VPN ConnectionKattintson az „Advanced Settings megjelenítése” gombra. Adja meg a kapcsolat nevét, állítsa az Application Scenario-t Remote Access (Server Role)-ra, és válassza ki az előzőleg létrehozott VPN Gateway-t:
A Local Policy-hoz hozzon létre új IPv4 cím objektumot (a "Új objektum létrehozása" gombbal) a valódi WAN IP címére, majd állítsa be a VPN kapcsolathoz Local Policy -ként:
Állítsa az Encapsulation-t Transport-ra, adja hozzá az alábbi javaslatokat, majd erősítse meg az OK gombbal:
L2TP VPN beállítások konfigurálása
Az IPSec beállítások után most az L2TP beállításokat kell megadni. Menjen a következő helyre:
Configuration -> VPN -> L2TP VPN SettingsSzükség esetén hozzon létre új helyi felhasználót/-okat, akik csatlakozhatnak a VPN-hez:
Hozzon létre egy L2TP IP-cím tartományt, amelyet az ügyfelek használnak az L2TP/IPSec VPN-hez való csatlakozás alatt.
Megjegyzés: Ez nem ütközhet semmilyen WAN, LAN, DMZ vagy WLAN alhálózattal, akkor sem, ha azok éppen nem használatban vannak.
Az L2TP beállítások összefoglalása
Most állítsuk be az L2TP beállításokat:
- Állítsa be a 2.2 pontban létrehozott VPN kapcsolatot
- Az IP-cím tartományként állítsa be az L2TP IP tartomány objektumot
- A hitelesítési módszer alapértelmezettként helyi felhasználó hitelesítés lehet
- Az engedélyezett felhasználókat adja meg. Több felhasználó esetén létrehozhat egy felhasználócsoportot az Objektum oldalon.
- A DNS és WINS szerverek lehetnek a tűzfal eszköz (Zywall) vagy egy egyedi szerver IP címe.
- Ha internet-hozzáférés szükséges az L2TP/IPSec VPN-en keresztül, győződjön meg róla, hogy az „Allow Traffic Through WAN Zone” opció engedélyezve van.
- Kattintson az „Alkalmaz” gombra a beállítások mentéséhez. Ezzel az L2TP/IPSec VPN készen áll.
Kötelező beállítások - UDP portok 4500 és 500 engedélyezése
Győződjön meg arról, hogy a tűzfalszabályok engedélyezik az UDP 4500 és 500 portok elérését a WAN felől a Zywall felé, és hogy az alapértelmezett IPSec_VPN zóna hozzáfér a hálózati erőforrásokhoz. Ezt az alábbi helyen ellenőrizheti:
Configuration > Security Policy > Policy Control Internet-hozzáférés engedélyezése L2TP-n keresztül Policy Route-ok segítségével
Ha az L2TP kliens forgalmának egy része az internetre kell menjen, hozzon létre egy policy route-ot, amely az L2TP alagutak forgalmát a WAN trunkon keresztül irányítja ki.
Configuration > Network > Routing > Policy RouteÁllítsa az Incoming-t Tunnel-re, és válassza ki az L2TP VPN kapcsolatot. A Forrás cím legyen az L2TP cím tartomány. A Következő ugrás típusa legyen Trunk, és válassza ki a megfelelő WAN trunkot.
Tippek és hibakeresés - L2TP VPN alapértelmezett konfiguráció visszaállítása
Bizonyos esetekben szükséges lehet az L2TP VPN beállítások frissítése a következő oldalon:
Configuration > VPN > L2TP VPNL2TP VPN kliens beállítása
Az L2TP IPSec-en keresztül nagyon népszerű és sok végfelhasználói platform támogatja beépített klienssel.
Itt talál néhányat a leggyakoribbak közül és azok beállítási módját:
Windows/MacOS/Linux:
Haladó beállítás: L2TP VPN létrehozása LAN-ról:
A VPN népszerű funkció az adatcsomagok titkosítására az adatátvitel során.
A ZyWALL/USG/ATP jelenlegi kialakítása szerint, ha a VPN interfész a WAN1 interfészre alapul, a VPN kérésnek a WAN1 interfészről kell érkeznie (interfész korlátozás), különben a kérés elutasításra kerül. (pl. VPN kapcsolat érkezett a LAN1-ről)
Azonban bizonyos esetekben a felhasználóknak szükségük lehet arra, hogy a VPN alagutat ne csak a WAN, hanem a LAN felől is létrehozzák.
Ezt a ZyWALL/USG/ATP is támogatja. A felhasználók az alábbi műveleti utasítást követve kikapcsolhatják a VPN interfész korlátozást, így a VPN kapcsolat később mind a WAN, mind a LAN felől érkezhet.
USG firmware verzió: 4.32 vagy újabb
USG konfiguráció:
Az L2TP engedélyezéséhez LAN-ról terminálkapcsolaton keresztül (Serial, Telnet, SSH) lépjen be az eszközre, és írja be a következő parancsokat:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Haladó beállítás: Külső szerverek használata L2TP VPN felhasználók hitelesítéséhez
Ebben a részben ismertetjük, hogyan konfigurálható az L2TP IPSec-en keresztül MS-CHAPv2-vel USG/Zywall sorozaton. Fejlettebb megvalósítások esetén az Active Directory (AD) szerverekkel történő felhasználói hitelesítés is megvalósítható az L2TP/IPSec VPN hitelesítésénél.
Forgatókönyv:
AD Domain: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navigáljon a Configuration>Object>AAA Server menüpontra. Engedélyezze a Domain Authentication-t MSCHAP-hoz
A hitelesítő adatok általában megegyeznek az AD adminisztrátoréval.
2. Menjen a System>Host Name menüpontra, és írja be az AD domaint a Domain Name mezőbe
Ez a lépés csatlakoztatja az USG-t az AD domainhez. Az alagút csak akkor jön létre sikeresen, ha ez a rész működik.
3. Ellenőrizze, hogy az USG csatlakozott-e a domainhez. Navigáljon az Active Directory Users and Computers>Computers menüpontra
Ebben az esetben látható, hogy az usg110 csatlakozott a domainhez. A részletes információkat megtekintheti a Tulajdonságok>Objektum fülön jobb kattintással.
4. Szerkessze a Domain Zone-t, adja meg a domain nevet a System> DNS >Domain Zone Forwarder mezőben.
Előfordulhat, hogy az alagút tárcsázása közben időtúllépés történik, ezért szükséges a következő beállítás, a lekérdező interfész legyen az, ahol az AD szerver található.
5. Ellenőrizze a kapcsolat beállításait a Windows rendszerén.
Győződjön meg arról, hogy engedélyezve van a (MS-CHAP v2), és megadta az előre megosztott kulcsot a Speciális beállításokban.
6. Ellenőrizze a bejelentkezési információkat a Monitor oldalon. Az AD felhasználónak meg kell jelennie az Aktuális felhasználók listájában, ha az alagút sikeresen létrejött.
Megtalálhatja, hogy a felhasználó típusa L2TP, és a felhasználói információ külső felhasználóként szerepel.
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.