VPN - Configurare la VPN L2TP su IPSec usando PSK [modalità stand-alone].

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo mostra come configurare L2TP su IPSec in modalità Standalone per USG FLEX / ATP / VPN Series e come configurare la procedura guidata, scaricare la configurazione, configurare L2TP manualmente utilizzando il menu VPN gateway & connection, cosa consentire nelle regole del firewall, come abilitare l'accesso a Internet per L2TP (no Internet), ripristinare la configurazione predefinita, impostare gli utenti VPN, stabilire una VPN dalla LAN, utilizzare server esterni per autenticare gli utenti, risolvere i problemi utilizzando i log, configurare MS-CHAPv2.

Tabella dei contenuti

1. Configurare la VPN L2TP con la procedura guidata integrata

1.1 Navigare nella procedura guidata

1.2 Selezionare lo Scenario client L2TP over IPSec

1.3 Configurare la configurazione VPN

1.4 Configurare l'autenticazione dell'utente

1.5 Salvare la configurazione e scaricare la configurazione L2TP

2) Configurazione manuale della VPN L2TP/IPSec

2.1 Configurare il gateway VPN

2.2 Configurazione della connessione VPN

2.3 Configurazione delle impostazioni VPN L2TP

2.4 Riassumere le impostazioni L2TP

3) Configurazioni indispensabili

3.1 Consentire le porte UDP 4500 e 500

3.2 Abilitare l'accesso a Internet tramite L2TP attraverso le rotte dei criteri

4. Suggerimenti e risoluzione dei problemi

4.1 Ripristino della configurazione predefinita della VPN L2TP

4.2 Impostazione dei client VPN L2TP

4.3 Configurazione avanzata: Stabilire una VPN L2TP dalla LAN:

4.4 Configurazione avanzata: Utilizzo di server esterni per l'autenticazione degli utenti che si connettono alla VPN L2TP

4.5 L2TP su IPSec VPN - Laboratorio virtuale

4.6 Risoluzione dei problemi

4.7 Configurazione di L2TP MS-CHAPv2 su USG/Serie Zywall

Che cos'è L2TP su IPSec VPN?

Prima di iniziare la guida alla configurazione, forniamo un'introduzione alla VPN L2TP over IPSec.

L2TP over IPSec combina il Layer 2 Tunneling Protocol (L2TP, che fornisce una connessione punto-punto) con il protocollo IPSec. L'L2TP da solo non fornisce alcuna crittografia dei contenuti, per cui il tunnel viene comunemente costruito su un protocollo di crittografia di livello 3, IPsec, dando origine alla cosiddetta VPN L2TP over IPSec.

In questo manuale è possibile esplorare tutte le informazioni necessarie per le connessioni VPN L2TP nei dispositivi Firewall Zyxel, esplorando i metodi di configurazione (tramite la procedura guidata e manualmente), l'impostazione del client per Windows, MAC e Linux, nonché le impostazioni più avanzate per l'autenticazione, le diverse topologie e la risoluzione dei problemi sui dispositivi Firewall e sui dispositivi client. Viene inoltre definito un accesso virtuale al laboratorio, dove è possibile rivedere la nostra configurazione che può essere utilizzata anche per impostare la VPN remota sul proprio dispositivo.

1. Configurare la VPN L2TP utilizzando la procedura guidata integrata.

1.1 Navigare nella procedura guidata

a. Aprire lascheda Quick Setup e nella finestra a comparsa selezionare Remote Access VPN Setup:

mceclip0.png

1.2 Selezionare lo Scenario client L2TP su IPSec

mceclip1.png

1.3 Configurare la configurazione VPN

Inserire unachiave precondivisa preferita e selezionare l'interfaccia WAN corrispondente.

In questa sezione si può anche decidere se il traffico dal dispositivo Client a Internet è autorizzato (regole e percorsi del firewall) a passare dal dispositivo Firewall, nel caso in cui il dispositivo Client non abbia impostato un tunnelling diviso.
mceclip2.png
Definire ilpool di indirizzi per gli utenti L2TP quando sono connessi alla VPN. È anche possibile scegliere l'intervallo predefinito 192.168.51.1-250.
Nota: non deve sovrapporsi a nessuna rete esistente sul dispositivo.
Per DNS scegliere ZyWALL o inserire manualmente un server.
mceclip3.png

1.4 Configurazione dell'autenticazione utente

Selezionare un oggetto utente esistente per aggiungerlo all'elenco dei membri L2TP o creare un nuovo utente tramite il pulsante"Aggiungi nuovo utente".
mceclip4.png

1.5 Salvare la configurazione e scaricare la configurazione L2TP

Dopo aver fatto clic su Salva, il tunnel L2TP è pronto per essere utilizzato.
mceclip5.png
g. Assicurarsi che le regole del firewall consentano l'accesso alle porte UDP 4500 e 500 dalla WAN a Zywall e che la zona predefinita IPSec_VPN abbia accesso alle risorse di rete. Questo può essere verificato in:
Configuration  > Security Policy > Policy Control 

2) Impostazione manuale della VPN L2TP/IPSec

Di seguito vengono descritti i passaggi necessari per configurare manualmente una VPN L2TP su IPSec. La topologia e l'applicazione sono le stesse di quando si utilizza la procedura guidata, l'unica differenza sono i passaggi della configurazione.

2.1 Configurazione del gateway VPN

Accedere al seguente percorso e creare un nuovo gateway VPN:

Configuration > VPN > IPSEC VPN > VPN Gateway

Premere su "Mostra impostazioni avanzate". Immettere un nome per il gateway, scegliere l'interfaccia WAN e aggiungere una chiave pre-condivisa:

L2TP_1.PNG

Impostare la modalità di negoziazione su Principale e aggiungere le seguenti proposte (comuni) e confermare facendo clic su OK:

L2TP_2.PNG

2.2 Configurazione della connessione VPN

Andare al seguente percorso e creare una nuova connessione VPN:

 Configuration > VPN > IPSec VPN > VPN Connection

Premete su "Mostra impostazioni avanzate". Inserite il nome della connessione, impostate lo scenario applicativo su Accesso remoto (ruolo server) e selezionate il gateway VPN creato in precedenza:

L2TP_3.PNG

Per il criterio locale, creare un nuovo oggetto Indirizzo IPv4 (dal pulsante"Crea nuovo oggetto") per l'IP WAN reale e impostarlo sulla connessione VPN come criterio locale:

L2TP_5.PNG

L2TP_6.PNG

Impostare l'incapsulamento su Trasporto e aggiungere le seguenti proposte e confermare facendo clic su OK:

L2TP_7.PNG

2.3 Configurazione delle impostazioni della VPN L2TP

Ora che le impostazioni IPSec sono state eseguite, è necessario configurare le impostazioni L2TP. Andare al seguente percorso:

Configuration -> VPN -> L2TP VPN Settings

Se necessario, creare un nuovo utente locale che sarà autorizzato a connettersi alla VPN:
L2TP_8.PNG

L2TP_9.PNG

Creare un pool di indirizzi IP L2TP con una serie di indirizzi IP che devono essere utilizzati dai client durante la connessione alla VPN L2TP/IPSec.

Nota: questo non deve entrare in conflitto con le sottoreti WAN, LAN, DMZ o WLAN, anche quando non sono in uso.

L2TP_8.PNG

L2TP_10.PNG

2.4 Riassunto delle impostazioni L2TP

Ora impostiamo le impostazioni di L2TP:

  • Impostare la connessione VPN creata in 2.2 Configurare la connessione VPN
  • Un pool di indirizzi IP è possibile impostare l'oggetto dell'intervallo IP di L2TP.
  • Il Metodo di autenticazione può essere impostato come predefinito per l'autenticazione dell'utente locale.
  • Gli utenti consentiti possono essere impostati per l'utente. Se sono necessari più utenti, è possibile creare un gruppo di utenti nella pagina Oggetto.
  • I server DNS e WINS possono essere selezionati come il dispositivo Firewall stesso (Zywall) o un indirizzo IP personalizzato.
  • Se è necessario accedere a Internet attraverso il dispositivo Firewall mentre si è connessi alla VPN L2TP/IPSec, assicurarsi che l'opzione "Consenti traffico attraverso la zona WAN" sia attivata.
  • Fare clic su "Applica" per salvare le impostazioni. In questo modo, la VPN L2TP/IPSec è pronta.

L2TP_11.PNG

3) Configurazioni indispensabili

3.1 Consentire le porte UDP 4500 e 500

Assicurarsi che le regole del firewall consentano l'accesso alle porte UDP 4500 e 500 dalla WAN a Zywall e che la Zona predefinita IPSec_VPN abbia accesso alle risorse di rete. Questo può essere verificato in:

Configuration  > Security Policy > Policy Control 

3.2 Abilitare l'accesso a Internet tramite L2TP attraverso le rotte dei criteri

Se una parte del traffico dei client L2TP deve andare a Internet, creare una rotta di policy per inviare il traffico dai tunnel L2TP attraverso un trunk WAN.

Andare al seguente percorso e aggiungere una nuova rotta di criterio:
Configuration > Network > Routing > Policy Route

Impostare Incoming su Tunnel e selezionare la connessione VPN L2TP. Impostare l' indirizzo di origine come pool di indirizzi L2TP. Impostare Next-Hop Type su Trunk e selezionare il trunk WAN appropriato.

L2TP_12.PNG

Per maggiori dettagli su questo passaggio, consultare l'articolo:

Come consentire ai client L2TP di navigare via USG

4. Suggerimenti e risoluzione dei problemi

4.1 Ripristino della configurazione predefinita della VPN L2TP

In alcuni casi, potrebbe essere necessario ricominciare da capo le impostazioni della VPN L2TP nella pagina:

Configuration > VPN > L2TP VPN

Se necessario, utilizzare il seguente articolo che descrive i metodi per ripristinare le impostazioni predefinite.

ZyWALL USG: Ripristino della configurazione predefinita VPN-L2TP

4.2 Impostazione dei client VPN L2TP

L2TP su IPSec è molto popolare e comunemente supportato da molte piattaforme di dispositivi finali con i propri client integrati.

Ecco alcuni dei più comuni e come configurarli:

4.3 Configurazione avanzata: Stabilire una VPN L2TP dalla LAN:

La VPN è una funzione molto diffusa per la crittografia dei pacchetti durante la trasmissione dei dati.

Nel design attuale di ZyWALL/USG/ATP, quando l'interfaccia VPN è basata sull'interfaccia WAN1, la richiesta VPN deve provenire dall'interfaccia WAN1 (interfaccia limitata), altrimenti la richiesta verrà negata. (ad esempio, la connessione VPN proviene da LAN1).

Tuttavia, in alcuni scenari, gli utenti potrebbero aver bisogno di stabilire il tunnel VPN non solo dalla WAN ma anche dalla LAN.

Questo scenario è supportato anche da ZyWALL/USG/ATP. Gli utenti possono seguire la procedura operativa riportata di seguito per disattivare la restrizione dell'interfaccia VPN in modo che la connessione VPN possa provenire da entrambe le reti WAN e LAN.

Topologia:

mceclip6.png

Versione firmware USG:

4.32 o superiore

Configurazione USG:

Per abilitare L2TP dalla LAN, è necessario accedere al dispositivo con una connessione terminale (seriale, Telnet, SSH) e inserire i seguenti comandi:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Riavviare il dispositivo.

4.4 Configurazione avanzata: Utilizzo di server esterni per autenticare gli utenti che si connettono alla VPN L2TP

Questa sezione descrive come configurare L2TP su IPSec con MS-CHAPv2 sulla serie USG/Zywall. Per le implementazioni avanzate, l'autenticazione degli utenti con i server Active Directory (AD) può essere implementata nell'autenticazione L2TP/IPSec VPN.

Scenario:

Dominio AD: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Accedere a Configurazione>Oggetto>ServerAA. Abilitare l'autenticazione di dominio per MSCHAP

La credenziale di solito è la stessa dell'amministratore AD.

mceclip11.png

2. Accedere aSystem>Host Name,digitare il dominio ADin Domain Name.

Questo flusso fa sì che l'USG si unisca al dominio AD. Il tunnel verrà stabilito con successo solo se questa parte funziona.

mceclip12.png

3. Confermare se USG si è unito al dominio. Accedere a Utenti e computer di Active Directory>Computer

In questo caso, è possibile trovare usg110 unito al dominio. È inoltre possibile controllare le informazioni dettagliate nella scheda Proprietà>Oggetto facendo clic con il pulsante destro del mouse.

mceclip13.png

4. Modificare la zona di dominio, inserire il nome di dominio in Sistema> DNS >Inoltro zona di dominio.

A volte il tunnel si interrompe durante la connessione, quindi è necessario configurare le seguenti impostazioni: l'interfaccia di interrogazione è il luogo in cui si trova il server AD.

mceclip15.png

5. Controllare le impostazioni di connessione di Windows.

Assicuratevi di aver abilitato (MS-CHAP v2) e di aver inserito la chiave pre-condivisa nelle impostazioni avanzate.

mceclip16.png

6. Controllare le informazioni di accesso alla pagina Monitor>, l'utente AD dovrebbe essere presente nell'elenco degli utenti correnti una volta che il tunnel è stato collegato con successo.

Il tipo di utente è L2TP e le informazioni sull'utente sono utente esterno.

mceclip17.png

Per ulteriori informazioni, il seguente articolo illustra in dettaglio quali sono le autenticazioni supportate dai nostri firewall con VPN L2TP/IPSec:

ZyWALL USG - Autenticazione supportata su L2TP

4.5 L2TP su IPSec VPN - Laboratorio virtuale

Date un'occhiata al nostro laboratorio virtuale per la configurazione di una VPN L2TP sui nostri dispositivi Firewall. Con questo laboratorio virtuale è possibile dare un'occhiata alla configurazione corretta per avere un termine di paragone durante l'impostazione del proprio ambiente:

Laboratorio virtuale - VPN end-to-site (L2TP)

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 5 su 10
Condividi