VPN legacy - Configurazione del provisioning della configurazione su USG Series

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Panoramica

Una VPN (rete privata virtuale) fornisce comunicazioni sicure tra siti senza dover ricorrere a linee affittate. Le VPN vengono utilizzate per trasportare il traffico su Internet di una rete non sicura che utilizza le comunicazioni TCP/IP. Una VPN ad accesso remoto (client-to-site) consente ai dipendenti in viaggio o ai telelavoratori di accedere in modo sicuro alle risorse di rete aziendali. Esistono diversi tipi di protocolli/tecnologie VPN che possono essere utilizzati per stabilire un collegamento sicuro alla rete aziendale: L2TP, PPTP, SSL, OpenVPN, ecc. Questa guida farà riferimento al protocollo IPSec per stabilire un tunnel VPN sicuro tra host esterni (utenti connessi a Internet al di fuori della struttura di rete aziendale) e il router ZyWALL. Per stabilire la connessione VPN è necessario un software IPSec di terze parti, poiché i sistemi operativi attuali non dispongono di un client IPSec integrato.

Scenario

1. Gateway VPN (fase 1)
2. Connessione VPN (fase 2)
3. Provisioning della configurazione
4. Client VPN ZyWALL
5. Test e risoluzione dei problemi

Gateway VPN (fase 1)

Accedere alla pagina di configurazione web di ZyWALL e andare al menu Configurazione → VPN → IPSec VPN. Nel menu IPSec VPN, fare clic sulla scheda VPNGateway per aggiungere la fase 1 della configurazione del tunnel. Fare clic sul pulsante Add per inserire una nuova regola. In alto a sinistra della finestra, fare clic sul pulsante Show Advanced Settings per visualizzare tutte le opzioni del menu.

  • Selezionare la casella per abilitare la regola VPN e fornire un nome.
  • Selezionare l'interfaccia WAN che si desidera utilizzare per connettersi alla VPN nel campo a discesa Indirizzo personale
  • Assicurarsi che Peer Gateway Address sia impostato su "Dynamic Address".
  • Immettere/creare una "chiave precondivisa" di autenticazione VPN.
  • In Phase 1 Settings, impostare il dropdown Negotiation Mode per utilizzare la modalità "Main".
  • Impostare la proposta di "Crittografia" e "Autenticazione" che si desidera utilizzare (le opzioni di crittografia sono DES, 3DES, AES128, AES192, AES256) (le opzioni di autenticazione sono MD5, SHA1, SHA256, SHA512)
  • Selezionare il gruppo di chiavi Diffie-Hellman (le opzioni sono DH1, DH2, DH5).

    CautionNota: Il simbolo di attenzione a destra apparirà nelle aree in cui è richiesta l'immissione di dati o in caso di errore di immissione, come ad esempio caratteri illegali/non supportati.
    Picture1.png

Connessione VPN (Fase 2)

Dopo aver creato la regola VPN Gateway (Fase 1), fare clic sulla scheda VPNConnection per inserire la regola di Fase 2 per il tunnel VPN. Fare clic sul pulsante Add per inserire una regola. In alto a sinistra della finestra, fare clic sul pulsante Mostra impostazioni avanzate per visualizzare tutte le opzioni del menu.

  • Selezionare la casella per abilitare la regola e assegnarle un nome.
  • Impostare lo scenario applicativo VPNGateway per utilizzare "Accesso remoto (ruolo server)".
  • Per lo scenario applicativo, impostare il menu a tendina Gateway VPN per utilizzare il criterio Fase 1 creato nel passaggio precedente. (RoadWarrior per questo esempio)
  • Scorrere fino all'opzione Policy e impostare la Local Policy per utilizzare l'oggetto indirizzo "LAN1_SUBNET". In questo modo l'utente della VPN avrà accesso a tutti i dispositivi connessi alla LAN1.
  • Il protocollo attivo in Phase 2 Setting deve essere impostato su "ESP".
  • L'incapsulamento è "Tunnel".
  • Impostare la proposta di "Crittografia" e "Autenticazione" che si desidera utilizzare (le opzioni di crittografia sono DES, 3DES, AES128, AES192, AES256) (le opzioni di autenticazione sono MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) è un livello aggiuntivo di crittografia. Non è necessario attivarlo, ma se si desidera utilizzare il livello di crittografia aggiunto, le opzioni sono Nessuna, DH1, DH2 e/o DH5.
  • In Impostazioni correlate, assicurarsi che la zona sia impostata su "IPSec_VPN".

    Picture2.png

Ora che la Fase 1 e la Fase 2 della regola VPN sono state completate, deselezionare la casella "Usa la rotta dei criteri per controllare le regole IPSec dinamiche". Deselezionando questa opzione, lo ZyWALL potrà creare automaticamente le rotte per gli utenti VPN connessi.
Picture3.png

Provisioning della configurazione

Alcuni client VPN, come "ZyWALL IPSec VPN Client" e "TheGreenBow VPN Client", dispongono di un'opzione di provisioning che consente di scaricare le impostazioni della regola VPN configurata dall'utente, invece di dover configurare il client manualmente. Per impostare il provisioning VPN per la regola VPN dinamica di RoadWarrior, abbiamo creato la scheda Configuration Provisioning nel menu IPSec VPN(Configurazione → VPN → IPSec VPN).

Prima di impostare il provisioning, è necessario creare un account utente per consentire il download delle impostazioni. Accedere a Configurazione → Oggetto → Utente/Gruppo e fare clic sul pulsante Aggiungi per inserire un account di livello "Utente". Gli account amministrativi non possono utilizzare l'opzione di download del provisioning della configurazione.
Picture4.png

Ora che l'account utente è stato creato, andare su Configuration → VPN → IPSec VPN e fare clic sulla scheda Configuration Provisioning per inserire una regola che consenta il download delle impostazioni del client VPN RoadWarrior VPN.

  • Abilitare il menu Configuration Provisioning VPN
  • Fare clic sul pulsante Add per creare una regola che consenta il provisioning della connessione VPN "RoadWarrior_Connection" per l'"utente VPN" utente consentito. Assicurarsi che la regola sia abilitata e fare clic su Apply per salvare le impostazioni.
    Picture5.png

Client VPN ZyWALL

Per scaricare le impostazioni di provisioning della configurazione VPN configurata sul router, aprire il software client, fare clic sul menu Configuration e selezionare l'opzione "Get from Server".
Picture6.png

Digitare l'indirizzo IP pubblico, il nome di dominio o il nome DDNS associato al router ZyWALL. Il client scarica l'impostazione tramite SSL. Per impostazione predefinita, lo ZyWALL è programmato per utilizzare la porta 443 per SSL. Se la porta è stata modificata, indicare la nuova porta SSL. Digitare il nome utente e la password associati alla configurazione di provisioning e fare clic su Avanti.

Picture7.png
Nota: Questa operazione funziona solo se la gestione remota è abilitata sul router ZyWALL; se la gestione remota è stata disabilitata, la funzione di provisioning della configurazione non sarà in grado di recuperare automaticamente le impostazioni di configurazione VPN dal router ZyWALL.

Il client invierà la richiesta di scaricare le impostazioni di configurazione VPN al router ZyWALL.
Picture8.png

Ora che la configurazione è stata scaricata, è possibile stabilire un tunnel VPN tra il computer e il router ZyWALL. Fare clic con il tasto destro del mouse sulla porzione di fase 2 della configurazione e selezionare "Open Tunnel" per avviare il dialer VPN.
Picture9.png

Per configurare un tunnel completo o diviso per il traffico VPN, date un'occhiata qui:

Tunneling completo/diviso VPN

Test e risoluzione dei problemi

Tentare di stabilire una connessione VPN al router. Una volta stabilita la connessione, provate a eseguire il ping o ad accedere a qualsiasi risorsa dalla rete remota.

  1. Se non è possibile far passare il traffico attraverso il tunnel VPN:
  • Disattivare il firewall sull'host remoto per verificare che non stia bloccando la richiesta.
  • Si sta tentando di accedere alle risorse utilizzando il nome host del computer? Provate invece a utilizzare l'indirizzo IP assegnato al computer. L'uso del nome host di un computer richiede il protocollo NetBIOS broadcast per risolvere l'indirizzo IP del computer; lo standard IPSec non supporta i broadcast. Poiché lo standard IPSec VPN non supporta i broadcast, non possiamo garantire che l'uso dei nomi di host al posto degli IP funzioni. Per ovviare a questa limitazione dello standard IPSec, è possibile utilizzare un server WINS.
  • Disattivare il firewall del router ZyWALL.
  • Assicurarsi che non vi siano conflitti IP. Se la rete ZyWALL è configurata per utilizzare la rete 192.168.1.0/24 e l'utente remoto utilizza lo stesso schema IP, il traffico non verrà instradato correttamente attraverso il tunnel VPN.
  • Controllare il gateway della rete host; se il router locale (non lo ZyWALL) non ha il pass-through VPN abilitato o le porte necessarie aperte, la VPN potrebbe non funzionare correttamente.
  • Contattare il supporto tecnico per ulteriore assistenza.
  • Il tunnel VPN non si stabilisce/connessione:
  • Assicurarsi che il router di rete consenta il passaggio delle porte IPSec (UDP:500 e UDP:4500) o assicurarsi di abilitare il pass-through VPN se il router supporta questa opzione. È possibile bypassare il router per assicurarsi che non sia la causa del problema.
  • Assicuratevi che il vostro ISP non stia bloccando le porte VPN; alcuni provider bloccano le porte VPN da parte loro.
  • Verificare che il firewall del computer consenta le comunicazioni dal client VPN.
  • Aggiornare i driver delle schede NIC (Ethernet e/o Wi-Fi).
  • Controllare le impostazioni VPN dello ZyWALL e verificare che corrispondano alla configurazione del client software.
  • Contattare il supporto tecnico per ulteriore assistenza.

Video:

+++ È possibile acquistare licenze per i client VPN Zyxel (SSL VPN, IPsec) con consegna immediata con un solo clic: Zyxel Webstore +++

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 3 su 7
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.