Questo articolo mostra come configurare L2TP su IPSec in modalità Standalone per USG FLEX / ATP / Serie VPN e come configurare la procedura guidata, scaricare la configurazione, configurare manualmente L2TP utilizzando il menu gateway VPN & connessione, cosa consentire nelle regole del firewall, come abilitare l'accesso a Internet per L2TP (senza Internet), ripristinare la configurazione predefinita, impostare gli utenti VPN, stabilire una VPN dalla LAN, utilizzare server esterni per l'autenticazione degli utenti, risolvere problemi tramite i log, configurare MS-CHAPv2.
Cos'è la VPN L2TP su IPSec?
Prima di iniziare con la guida alla configurazione, diamo un'introduzione alla VPN L2TP su IPSec.
L2TP su IPSec combina il Layer 2 Tunneling Protocol (L2TP, che fornisce una connessione punto-punto) con il protocollo IPSec. L2TP da solo non fornisce alcuna crittografia del contenuto, pertanto il tunnel viene comunemente costruito sopra un protocollo di crittografia Layer 3 come IPsec, con il risultato della cosiddetta VPN L2TP su IPSec.
In questo manuale puoi esplorare tutte le informazioni necessarie per le connessioni VPN L2TP nei dispositivi Zyxel Firewall, esplorando i metodi di configurazione (tramite procedura guidata e manualmente), la configurazione del client per Windows, MAC e Linux; nonché configurazioni più avanzate per l'autenticazione, diverse topologie e risoluzione dei problemi sui dispositivi Firewall e sui dispositivi client. È inoltre definito l'accesso al laboratorio virtuale dove è possibile rivedere la nostra configurazione che può anche essere utilizzata durante la configurazione della VPN remota nel tuo dispositivo.
Configurare VPN L2TP utilizzando la procedura guidata integrata
Navigare alla Procedura Guidata
a. Aprire la Scheda Configurazione Rapida e nella finestra popup selezionare Configurazione VPN Accesso Remoto:
Selezionare lo Scenario Client L2TP su IPSec
Configurare la Configurazione VPN
Inserire una Chiave Pre-Condivisa preferita e selezionare la corrispondente interfaccia WAN.
Configurare l'Autenticazione Utente
Salvare la Configurazione & Scaricare la Configurazione L2TP
Configuration > Security Policy > Policy Control Configurare manualmente la VPN L2TP/IPSec
Segue la descrizione dei passaggi necessari per configurare manualmente una VPN L2TP su IPSec. La topologia e l'applicazione sono le stesse utilizzate con la procedura guidata, l'unica differenza sono i passaggi nella configurazione.
Configurare il Gateway VPN
Vai al percorso seguente e crea un nuovo Gateway VPN:
Configuration > VPN > IPSEC VPN > VPN GatewayPremi su "Mostra Impostazioni Avanzate". Inserisci un nome per il gateway, scegli la tua interfaccia WAN e aggiungi una chiave pre-condivisa:
Imposta la Modalità di Negoziazione su Main e aggiungi le seguenti proposte (comuni) e conferma cliccando OK:
Configurare la Connessione VPN
Vai al percorso seguente e crea una nuova Connessione VPN:
Configuration > VPN > IPSec VPN > VPN ConnectionPremi su "Mostra Impostazioni Avanzate". Inserisci il nome della connessione, imposta lo Scenario Applicativo su Accesso Remoto (Ruolo Server) e seleziona il Gateway VPN creato in precedenza:
Per la Politica Locale, crea un nuovo Oggetto Indirizzo IPv4 (dal pulsante "Crea Nuovo Oggetto") per il tuo vero IP WAN e poi impostalo nella Connessione VPN come Politica Locale:
Imposta l'Incapsulamento su Transport e aggiungi le seguenti proposte, confermando con OK:
Configurare le Impostazioni VPN L2TP
Ora che le impostazioni IPSec sono completate, è necessario configurare le impostazioni L2TP. Vai al percorso seguente:
Configuration -> VPN -> L2TP VPN SettingsSe necessario, crea un nuovo utente locale che sarà autorizzato a connettersi alla VPN:
Crea un pool di indirizzi IP L2TP con un intervallo di indirizzi IP che dovranno essere utilizzati dai client durante la connessione alla VPN L2TP/IPSec.
Nota: Questo non dovrebbe entrare in conflitto con alcuna subnet WAN, LAN, DMZ o WLAN, anche se non sono in uso.
Riepilogo delle Impostazioni L2TP
Ora impostiamo le opzioni L2TP:
- Imposta la Connessione VPN creata in 2.2 Configurare la Connessione VPN
- Un Pool di Indirizzi IP puoi impostare l'oggetto intervallo IP L2TP
- Il Metodo di Autenticazione può essere impostato come predefinito per l'autenticazione degli utenti locali
- Gli utenti consentiti possono essere impostati per l'utente. Se sono necessari più utenti, può essere creato un gruppo di utenti nella pagina Oggetti.
- I server DNS e WINS possono essere selezionati per essere il dispositivo Firewall stesso (Zywall) o un indirizzo IP server personalizzato.
- Nel caso sia necessario l'accesso a Internet tramite il dispositivo Firewall mentre si è connessi alla VPN L2TP/IPSec, assicurati che l'opzione "Consenti traffico tramite Zona WAN" sia abilitata.
- Clicca su "Applica" per salvare le impostazioni. Con questo, la VPN L2TP/IPSec è ora pronta.
Configurazioni indispensabili - Consentire le porte UDP 4500 & 500
Assicurati che le regole del firewall consentano l'accesso alle porte UDP 4500 e 500 dalla WAN a Zywall, e che la Zona predefinita IPSec_VPN abbia accesso alle risorse di rete. Questo può essere verificato in:
Configuration > Security Policy > Policy Control Abilitare l'accesso a Internet tramite L2TP tramite rotte di policy
Se parte del traffico dai client L2TP deve andare su Internet, crea una rotta di policy per inviare il traffico dai tunnel L2TP in uscita tramite un trunk WAN.
Configuration > Network > Routing > Policy RouteImposta Incoming su Tunnel e seleziona la connessione VPN L2TP. Imposta l'Indirizzo Sorgente come il pool di indirizzi L2TP. Imposta il Tipo Next-Hop su Trunk e seleziona il trunk WAN appropriato.
Suggerimenti & Risoluzione Problemi - Ripristino della configurazione predefinita VPN L2TP
In alcuni casi potrebbe essere necessario dare un nuovo inizio alle impostazioni VPN L2TP nella pagina:
Configuration > VPN > L2TP VPNConfigurare i Client VPN L2TP
L2TP su IPSec è molto popolare e comunemente supportato da molte piattaforme di dispositivi finali con i propri client integrati.
Ecco alcuni dei più comuni e come configurarli:
Windows/MacOS/Linux:
Configurazione avanzata: Stabilire una VPN L2TP dalla LAN:
La VPN è una funzione popolare per crittografare i pacchetti durante la trasmissione dei dati.
Nell'attuale design di ZyWALL/USG/ATP, quando l'interfaccia VPN si basa sull'interfaccia WAN1, la richiesta VPN deve provenire dall'interfaccia WAN1 (interfaccia limitata), altrimenti la richiesta verrà negata. (ad esempio, la connessione VPN proveniva da LAN1)
Tuttavia, in alcuni scenari, gli utenti potrebbero aver bisogno di stabilire il tunnel VPN non solo dalla WAN ma anche dalla LAN.
Questo scenario è supportato anche da ZyWALL/USG/ATP. Gli utenti possono seguire la procedura operativa sottostante per disattivare la restrizione dell'interfaccia VPN in modo che la connessione VPN possa provenire sia da WAN che da LAN in seguito.
Versione Firmware USG: 4.32 o superiore
Configurazione USG:
Per abilitare L2TP dalla LAN, devi accedere al tuo dispositivo con una connessione terminale (Seriale, Telnet, SSH) ed inserire i seguenti comandi:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Riavvia il dispositivo.Configurazione avanzata: Utilizzo di server esterni per autenticare gli utenti che si connettono alla VPN L2TP
Questa sezione descrive come configurare L2TP su IPSec con MS-CHAPv2 sulla serie USG/Zywall. Per implementazioni avanzate, l'autenticazione utente con server Active Directory (AD) può essere implementata sull'autenticazione VPN L2TP/IPSec.
Scenario:
Dominio AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Naviga in Configuration>Object>AAA Server. Abilita l'autenticazione di Dominio per MSCHAP
Le credenziali sono di solito le stesse dell'amministratore AD.
2. Vai su System>Host Name, digita il dominio AD in Domain Name
Questo flusso fa sì che USG si unisca al dominio AD. Il tunnel sarà stabilito con successo solo quando questa parte funziona.
3. Conferma se USG si è unito al dominio. Naviga in Active Directory Users and Computers>Computers
In questo caso, puoi trovare che usg110 si è unito al dominio. Puoi anche controllare le informazioni dettagliate nella scheda Proprietà>Oggetto cliccando col tasto destro.
4. Modifica la Zona di Dominio, inserisci il nome di dominio in System> DNS >Domain Zone Forwarder.
A volte può verificarsi un timeout durante la composizione del tunnel, quindi è necessario configurare l'impostazione seguente, l'interfaccia di query è dove si trova il tuo server AD.
5. Controlla le impostazioni di connessione sul tuo Windows.
Assicurati di aver abilitato (MS-CHAP v2) e di aver inserito la chiave pre-condivisa nelle impostazioni avanzate.
6. Controlla le informazioni di login nella pagina Monitor>. L'utente AD dovrebbe essere nella Lista Utenti Correnti una volta che il tunnel è stato stabilito con successo.
Puoi trovare che il tipo utente è L2TP e le informazioni utente sono utente esterno.
Commenti
0 commentiAccedi per aggiungere un commento.