Questo articolo mostra come configurare la VPN IKEv2 IPsec con certificato utilizzando SecuExtender su Windows e MacOS. Vi mostrerà come configurare la VPN sul firewall (USG FLEX / ATP / VPN Series in modalità stand-alone / on-premise) e come eliminare l'errore TGBErrorCodeMgrNotCreated.description su MacOS.

Nota: per IOS 17 viene utilizzato un gruppo di chiavi: DH19 deve essere utilizzato

Video:

Tabella dei contenuti

A) Configurare IKEv2 sul firewall

B) Configurare il client SecuExtender

C) Configurazione su MacOS

A) Configurazione di IKEv2 sul firewall

1. Accedere all'unità inserendo il suo indirizzo IP e le credenziali di un account amministratore (per impostazione predefinita, il nome utente è "admin" e la password è "1234").
   
   
2. Navigare in Configurazione > Oggetto > Indirizzo/Geo IP, fare clic su "Aggiungi" per creare un oggetto del "Tipo di indirizzo" "Intervallo". Nominatelo "IKEv2_Pool" e digitate un intervallo IP che non si sovrapponga alle vostre sottoreti.
   .
   
   
3. Creare un altro oggetto Indirizzo IP per consentire ai client IKEv2 di accedere a Internet attraverso il tunnel VPN in un secondo momento. Scegliere il tipo "Intervallo", denominarlo "All_Traffic" e digitare "0.0.0.0" per l'"Indirizzo IP iniziale" e "255.255.255.255" per l'"Indirizzo IP finale".
   
   
   
4. Passare a Configurazione > Oggetto > Utente/gruppo e fare clic su "Aggiungi" per creare nuovi utenti.
   
   
   
5. Fare clic sulla scheda "Gruppo" e fare clic su "Aggiungi" per creare un gruppo "IKEv2_Users" e aggiungere gli utenti necessari contrassegnandoli e facendo clic sulla freccia rivolta verso destra.
   
   
   
6. Passare a Configurazione > Oggetto > Certificato, fare clic su "Aggiungi", scegliere "Nome dominio host", digitare il nome del dominio o DynDNS, scorrere fino a "Utilizzo chiave estesa" e selezionare le tre caselle di controllo "Autenticazione server", "Autenticazione client" e "IKE intermedio" e fare clic su "OK".
   
   
   
7. Fare doppio clic su questo certificato e scorrere verso il basso per utilizzare "Solo certificato di esportazione".
   
   
   
8. Andate su Configurazione > Rete > VPN > IPSec VPN e fate clic su "Aggiungi", su "Mostra impostazioni avanzate", su "Abilita", su "IKEv2", su "Indirizzo dinamico" in "Indirizzo gateway peer", su "Certificato" in "Autenticazione" e scegliete il certificato creato in precedenza.
   
   
   
   
9. Scorrete verso il basso per scegliere le proposte desiderate in "Impostazioni fase 1", spuntate "Abilita protocollo di autenticazione esteso", scegliete "Modalità server", lasciate "Metodo AAA" su "predefinito" e scegliete il gruppo "IKEv2_Users" creato in precedenza per "Utenti consentiti" prima di fare clic su "OK".
   
   
   
10. Ora aprite la scheda "Connessione VPN", fate clic su "Aggiungi", fate clic su "Mostra impostazioni avanzate", spuntate "Abilita", scegliete "Accesso remoto (ruolo server)" per "Scenario di applicazione", scegliete il gateway VPN creato in precedenza per "Gateway VPN", sotto "Criteri locali" scegliete l'oggetto "Tutto_il_traffico" dell'intervallo IP creato in precedenza.
    
    
11. Spuntate "Enable Configuration Payload", scegliete l'oggetto "IKEv2_Pool" come "IP Address Pool" (i server DNS sono opzionali), scegliete le proposte desiderate per la connessione VPN e infine fate clic su "OK" per terminare la configurazione della connessione VPN.
    
    
    
    
12. Ora andate su Configurazione > Oggetti > Rete > Routing, fate clic su "Aggiungi", spuntate "Abilita", scegliete "Tunnel" per "In entrata", scegliete la connessione IPSec creata in precedenza per "Selezionare un membro", scegliete "IKEv2_Pool" per "Indirizzo sorgente" e infine scegliete l'interfaccia WAN o il trunk WAN come "Hop successivo" prima di fare clic su "OK".
    

B) Configurare il client SecuExtender

1. Aprire il client IPSec, fare clic con il tasto destro del mouse sulla cartella "IKE V2" sul lato sinistro per aggiungere un nuovo "Ikev2Gateway", inserire il nome di dominio inserito nel certificato sull'USG per il "Remote Gateway" e scegliere le proposte corrispondenti in "Cryptography".
   
2. Fare clic con il tasto destro del mouse sul gateway VPN sul lato sinistro per aggiungere la connessione VPN, scegliere il "Tipo di indirizzo" "Indirizzo di sottorete", digitare l'indirizzo di sottorete e la maschera di sottorete della sottorete locale del sito USG a cui i client devono accedere e scegliere le proposte corrispondenti per la connessione VPN.
   
   
   
3. Se "Child SA Life Lifetime" non corrisponde a quello configurato sull'USG, regolarlo prima di aprire il tunnel facendo nuovamente clic con il tasto destro del mouse sulla connessione VPN sul lato sinistro.

C) Impossibile importare file .tgb su MacOS

Se il file TGB riceve l'errore "TGBErrorCodeMgrNotCreated.description" sul vostro MacOS, ciò è legato alle impostazioni della privacy del MacOS. È necessario consentire a SecuExtender di essere attendibile nel sistema operativo.

Andate in Impostazioni -> Privacy e sicurezza -> Sicurezza e selezionate "App Store e sviluppatori identificati". A questo punto dovrebbe apparire "SecuExtender VPN Client" e si deve premere "Consenti":

Ora è possibile importare con successo il file .tgb nel client SecuExtender su MacOS per ottenere la configurazione.

+++ È possibile acquistare licenze per i client VPN Zyxel (SSL VPN, IPsec) con consegna immediata con un solo clic: Zyxel Webstore +++