Fontos értesítés: |
Ez a cikk bemutatja az L2TP over IPSec konfigurálását Standalone módban az USG FLEX / ATP / VPN sorozathoz, valamint a varázsló konfigurálását, a konfiguráció letöltését, az L2TP manuális konfigurálását a VPN gateway & connection menü segítségével, Mit kell engedélyezni a tűzfal szabályaiban, hogyan engedélyezzük az internet-hozzáférést az L2TP számára (nincs internet), az alapértelmezett konfiguráció visszaállítása, VPN felhasználók beállítása, VPN létrehozása LAN-ról, külső szerverek használata a felhasználók hitelesítéséhez, hibaelhárítás a naplók segítségével, MS-CHAPv2 konfigurálása.
Tartalomjegyzék
1. L2TP VPN konfigurálása a beépített varázsló segítségével
1.3 VPN konfiguráció konfigurálása
1.4 A felhasználói hitelesítés konfigurálása
1.5 A konfiguráció mentése és az L2TP konfiguráció letöltése
2) Az L2TP/IPSec VPN manuális beállítása
2.2 VPN-kapcsolat konfigurálása
2.3 L2TP VPN beállítások konfigurálása
2.4 Az L2TP beállítások összefoglalása
3) Kötelező konfigurációk
3.1 Engedélyezze az UDP 4500 és 500 portokat
3.2 Engedélyezze az internet-hozzáférést az L2TP-n keresztül a házirend útvonalakon keresztül.
4. Tippek és hibaelhárítás
4.1 Az L2TP VPN alapértelmezett konfigurációjának visszaállítása
4.2 Az L2TP VPN-ügyfelek beállítása
4.3 Speciális beállítás: L2TP VPN létrehozása a helyi hálózatról:
4.5 L2TP Over IPSec VPN - Virtuális laboratórium
4.7 Az L2TP MS-CHAPv2 konfigurálása az USG/Zywall sorozaton
Mi az L2TP over IPSec VPN?
Mielőtt elkezdenénk a konfigurációs útmutatót, mutassuk be az L2TP over IPSec VPN-t.
Az L2TP over IPSec egyesíti a Layer 2 Tunneling Protocol (L2TP, amely pont-pont kapcsolatot biztosít) és az IPSec protokollt. Az L2TP önmagában nem biztosítja a tartalom titkosítását, ezért az alagutat általában egy 3. rétegű titkosítási protokollra, az IPsec-re építik, így jön létre az úgynevezett L2TP over IPSec VPN.
Ebben a kézikönyvben a Zyxel tűzfal eszközein az L2TP VPN-kapcsolatokhoz szükséges összes információt felfedezheti, feltárva a konfigurációs módszereket (a varázsló segítségével és kézzel), a kliens beállítását Windows, MAC és Linux alatt; valamint a hitelesítés, a különböző topológiák és a hibaelhárítás fejlettebb beállításait a tűzfal eszközökön és a kliens eszközökön. Virtuális laboratóriumi hozzáférést is meghatározunk, ahol lehetőség van a beállításunk áttekintésére, amely a távoli VPN beállításakor is használható az eszközén.
1. L2TP VPN konfigurálása a beépített varázsló segítségével
1.1 Navigáljon a varázslóhoz
a. Nyissa meg a Gyorsbeállítás lapot , és a felugró ablakban válassza a Remote Access VPN beállítása lehetőséget:
1.2. Válassza ki az L2TP over IPSec ügyfélforgatókönyvet.
1.3 VPN konfiguráció beállítása
Adja meg a Pre-Shared Key címet, és válassza ki a megfelelő WAN-interfészt.
1.4 A felhasználói hitelesítés beállítása
1.5 A konfiguráció mentése és az L2TP konfiguráció letöltése
2) Az L2TP/IPSec VPN kézi beállítása
Az alábbiakban az L2TP over IPSec VPN kézi konfigurálásához szükséges lépéseket ismertetjük. A topológia és az alkalmazás ugyanaz, mint a varázsló használata esetén, az egyetlen különbség a konfiguráció lépései.
2.1 A VPN átjáró konfigurálása
Lépjen a következő elérési útvonalra, és hozzon létre egy új VPN átjárót:
dyn_repppppppp_1Nyomja meg a "Speciális beállítások megjelenítése" gombot. Adjon meg egy nevet az átjárónak, válassza ki a WAN-interfészét, és adjon hozzá egy előre megosztott kulcsot:
Állítsa a Tárgyalási módot Főre, és adja hozzá a következő (közös) javaslatokat, majd erősítse meg az OK gombra kattintva:
2.2 VPN-kapcsolat konfigurálása
Lépjen a következő elérési útvonalra, és hozzon létre egy új VPN-kapcsolatot:
dyn_repppppppp_2Kérjük, nyomja meg a "Speciális beállítások megjelenítése" gombot. Adja meg a kapcsolat nevét, állítsa be az Alkalmazási forgatókönyvet Távoli hozzáférés (Kiszolgálói szerepkör) értékre, és válassza ki a korábban létrehozott VPN átjárót:
A Helyi házirendhez hozzon létre egy új IPv4 Address Object (az"Create New Object" (Új objektum létrehozása) gombra kattintva) a valódi WAN IP-hez , majd állítsa be a VPN-kapcsolathoz, mint Helyi házirend:
Az Encapsulation-t állítsa Transport-ra, és adja hozzá a következő javaslatokat, majd erősítse meg az OK gombra kattintva:
2.3 L2TP VPN-beállítások konfigurálása
Most, hogy az IPSec beállítások elkészültek, az L2TP beállításokat kell beállítani. Lépjen a következő elérési útvonalra:
dyn_repppppppp_3Ha szükséges, hozzon létre új helyi felhasználó(ka)t, akiknek engedélyezi a VPN-hez való csatlakozást:
Hozzon létre egy L2TP IP-címkészletet egy olyan IP-címtartományt, amelyet az ügyfeleknek az L2TP/IPSec VPN-hez való csatlakozás során használniuk kell.
Megjegyzés: Ez nem ütközhet semmilyen WAN, LAN, DMZ vagy WLAN alhálózattal, még akkor sem, ha azok nincsenek használatban.
2.4 Az L2TP-beállítások összefoglalása
Most pedig állítsuk be az L2TP beállításait:
- A 2.2 VPN-kapcsolat konfigurálása során létrehozott VPN-kapcsolat beállítása.
- Egy IP-címkészletben beállíthatja az L2TP IP-tartomány objektumot.
- A Hitelesítési módszer alapértelmezettként beállítható a helyi felhasználó hitelesítéséhez
- Az Allowed users (Engedélyezett felhasználók) beállítható a felhasználó számára. Ha több felhasználóra van szükség, akkor az Objektum oldalon létrehozható egy felhasználói csoport.
- A DNS-kiszolgáló(k)nak és a WINS-kiszolgálónak maga a tűzfal eszköz (Zywall) vagy egy testreszabott kiszolgáló IP-címe választható.
- Ha az L2TP/IPSec VPN-hez csatlakoztatva a tűzfal eszközön keresztül van szükség internet-hozzáférésre, győződjön meg arról, hogy a "Forgalom engedélyezése a WAN zónán keresztül" opció engedélyezve van.
- A beállítások mentéséhez kattintson az "Alkalmazás" gombra. Ezzel az L2TP/IPSec VPN mint olyan készen áll.
3) Kötelező konfigurációk
3.1 Engedélyezze az UDP 4500 és 500 portokat
Győződjön meg arról, hogy a tűzfalszabályok engedélyezik az UDP 4500 és 500 portok hozzáférését a WAN-ról a Zywallhoz, és hogy az alapértelmezett zóna IPSec_VPN hozzáférjen a hálózati erőforrásokhoz. Ez ellenőrizhető a következő menüpontban:
dyn_repppppppp_4
3.2 Internet-hozzáférés engedélyezése az L2TP-n keresztül a házirend útvonalakon keresztül
Ha az L2TP-ügyfelek forgalmának egy része az internetre kell, hogy menjen, hozzon létre egy házirend-útvonalat, amely az L2TP-alagutak forgalmát egy WAN-törzshálózaton keresztül küldi ki.
Állítsa be a bejövő értéket Tunnelre, és válassza ki az L2TP VPN-kapcsolatot. Állítsa be a Forráscímnek az L2TP-címkészletet. A Next-Hop Type-t állítsa Trunk-ra, és válassza ki a megfelelő WAN-törzset.
A lépés további részleteiért kérjük, olvassa el a cikket:
L2TP-ügyfelek szörfölése az USG-n keresztül.
4. Tippek és hibaelhárítás
4.1 Az L2TP VPN alapértelmezett konfigurációjának visszaállítása
Bizonyos esetekben szükség lehet arra, hogy újrakezdje az L2TP VPN beállításait az oldalon:
dyn_repppppppp_6Ha szükséges, használja az alábbi cikket, amely leírja az alapértelmezett beállítások visszaállításának módszereit.
ZyWALL USG: VPN-L2TP alapértelmezett konfiguráció visszaállítása
4.2 Az L2TP VPN-ügyfelek beállítása
Az L2TP over IPSec nagyon népszerű, és általában számos végberendezés platformja támogatja saját beépített klienseivel.
Az alábbiakban bemutatunk néhányat a leggyakoribbak közül, és bemutatjuk, hogyan kell beállítani őket:
4.3 Haladó beállítás: L2TP VPN létrehozása a LAN-ról:
A VPN egy népszerű funkció a csomagok titkosítására az adatátvitel során.
A ZyWALL/USG/ATP jelenlegi kialakításában, ha a VPN-interfész a WAN1 interfészen alapul, a VPN-kérelemnek a WAN1 interfészről kell érkeznie (interfész korlátozott), ellenkező esetben a kérés elutasításra kerül. (pl. a VPN kapcsolat a LAN1-ről érkezett.)
Bizonyos forgatókönyvekben azonban előfordulhat, hogy a felhasználóknak nem csak a WAN-ről, hanem a LAN-ról is létre kell hozniuk a VPN-alagutat.
Ezt a forgatókönyvet a ZyWALL/USG/ATP is támogatja. A felhasználók az alábbi működési eljárást követve kikapcsolhatják a VPN-interfész korlátozását, hogy a VPN-kapcsolat ezt követően a WAN/LAN-ról is jöhessen.
Topológia:
USG Firmware verzió: USG
Firmware: 4.32 vagy magasabb verziószám
USG konfiguráció:
Az L2TP engedélyezéséhez a LAN-ról terminálkapcsolattal (soros, Telnet, SSH) kell hozzáférnie a készülékhez, és a következő parancsokat kell beírnia:
Router> configure terminala
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Indítsa újra
készüléket.
4.4 Speciális beállítás: Külső kiszolgálók használata az L2TP VPN-hez csatlakozó felhasználók hitelesítéséhez
Ez a szakasz az L2TP over IPSec MS-CHAPv2-vel történő konfigurálását ismerteti az USG/Zywall sorozaton. Haladó szintű megvalósítások esetén az L2TP/IPSec VPN-hitelesítéshez Active Directory (AD) szerverekkel történő felhasználói hitelesítés is megvalósítható.
Forgatókönyv:
AD tartomány: (10.214.30.72)
USG110: 10.214.30.103
1. Navigáljon a Configuration>Object>AAA Server (Konfiguráció>objektum>AAA-kiszolgáló) menüpontra. Engedélyezze a tartományi hitelesítést az MSCHAP számára
A hitelesítő adatok általában megegyeznek az AD-adminisztrátoréval.
2. Menjen aSystem>Host Name (Rendszer>Hálózatnév) menüpontba,írja be aDomain Name (Tartománynév) mezőbe az AD tartományt.
Ez a folyamat az USG csatlakoztatását jelenti az AD-tartományhoz. Az alagút csak akkor jön létre sikeresen, ha ez a rész működik.
3. Ellenőrizze, hogy az USG csatlakozott-e a tartományhoz. Navigáljon a Active Directory-felhasználók és számítógépek>Computerek menüpontra.
Ebben az esetben az usg110 csatlakozott a tartományhoz. A részletes információkat a Tulajdonságok>Objekt fülön is ellenőrizheti a jobb gombbal kattintva.
4. Domain zóna szerkesztése, Tegye a domain nevet a Rendszer> DNS >Domain Zone Forwarder menüpontba.
Néha előfordulhat, hogy az alagút tárcsázása során az idő letelik, ezért a következő beállítást kell konfigurálnia, A lekérdezési felület az, ahol az AD-kiszolgálója található.
5. Ellenőrizze a Windows kapcsolat beállításait.
Győződjön meg róla, hogy engedélyezte (MS-CHAP v2) és megadta az előre megosztott kulcsot a Speciális beállításoknál.
6. Ellenőrizze a bejelentkezési adatokat a Monitor oldalon>, Az AD-felhasználónak az Aktuális felhasználói listán kell szerepelnie, ha az alagút sikeres tárcsázása megtörtént.
A felhasználó típusa L2TP, a felhasználói információ pedig külső felhasználó.
További információként a következő cikk részletezi, hogy melyek azok a támogatott hitelesítések, amelyeket a tűzfalaink támogatnak az L2TP/IPSec VPN-nel:
4.5 L2TP Over IPSec VPN - Virtuális laboratórium
Tekintse meg bátran a virtuális laborunkat az L2TP VPN beállításához a tűzfal eszközeinken. Ezzel a virtuális laborral megnézheti a helyes konfigurációt összehasonlítás céljából, miközben beállítja a környezetét:
Virtuális laboratórium - End-to-Site VPN (L2TP)
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.