[VPN] Zyxel USG FLEX/ATP VPN [Installazione rapida] - Configurazione di IKEv2 IPSec VPN tramite procedura guidata con certificato su Android / iPhone iOS / Windows / MacOS

In questa guida viene illustrato come configurare una VPN IKEv2 IPsec utilizzando la configurazione guidata (Quick Setup) su Zyxel Firewall VPN/USG FLEX/ATP e come connettersi ad essa su Android, iPhone (iOS), PC Windows e Mac utilizzando sia Zyxel SecuExtender che il client nativo. Verranno inoltre illustrate considerazioni specifiche per la configurazione di VPN su dispositivi iOS, dispositivi mobili con versione 18 e successive e PC con firmware Sonoma o successivo.

Nota: gli indirizzi IP indicati nella figura sono solo a titolo di esempio e non sono rilevanti per l'intero articolo. Potrebbero essere diversi nel vostro caso.

Configurazione della VPN tramite Quick Setup

Accedere alla GUI WEB del firewall e andare in Quick Setup, scegliere Remote Access VPN e quindi IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).

Utilizzare questa opzione se si utilizza il client IPSec VPN di Zyxel SecuExtender o un sistema operativo che supporta IPSec VPN con IKEv2 (client VPN non-SecuExtender). È possibile creare una regola VPN Full Tunnel o Split Tunnel con il client VPN Zyxel SecuExtender. È possibile creare una regola VPN Full Tunnel solo con il client VPN non SecuExtender.

Configurare il pool di indirizzi IP per il client.

Il pool di indirizzi IP utilizzerà una sottorete selezionata non utilizzata sul dispositivo per evitare di impostare la stessa sottorete. Il pool di indirizzi IP inizierà da 192.168.50.1 Se la sottorete 192.168.50.1 esiste nelle impostazioni del gateway, il pool di indirizzi IP cambierà automaticamente.

Aggiungere o creare gli utenti che avranno accesso alla VPN. Una volta aggiunti gli utenti, fare clic su Avanti e rivedere tutte le impostazioni per garantire l'accuratezza. A questo punto è possibile scaricare uno script automatico per configurare la VPN o configurarla manualmente utilizzando un certificato.

Dopo l'esito positivo della configurazione VPN, è possibile scaricare e installare i file di script sui dispositivi Windows, MacOS, iOS o Android per configurare automaticamente le impostazioni VPN.

Nota: Le impostazioni VPN per i client VPN IPSec non SecuExtender non supportano le seguenti funzioni:

• Limite di larghezza di banda in upload
• Tunnel diviso
• Autenticazione a due fattori (Google Authenticator)

Importante: gli utenti con iOS 18 o successivo e Mac OS 14 Sonoma non possono utilizzare lo script e devono configurarlo manualmente. In questo articolo, nella sezione delle impostazioni per iPhone e MacOS, troverete una descrizione più dettagliata dei passaggi necessari.

Tenete presente che: Per ridurre al minimo gli errori di configurazione e altri potenziali problemi, si consiglia di utilizzare uno script per l'installazione. Tuttavia, è anche possibile installare e configurare manualmente il certificato direttamente sul dispositivo endpoint. Le istruzioni dettagliate per l'installazione manuale del certificato e la configurazione VPN sono riportate nella sezione "Configurazione manuale del certificato".

Utilizzo dello script VPN su Windows

Salvare l'archivio con lo script sul computer, decomprimere la cartella ed eseguire lo script con diritti di amministratore (si tratta di un file con estensione bat).

Una volta completata l'installazione, accedere alle impostazioni VPN del PC. Lì troverete la connessione VPN creata. Fare clic su Connetti. Quindi, inserire il nome utente e la password.

Utilizzo dello script VPN su Android

Per gli utenti Android, installare StrongSwan e seguire questo articolo:

• VPN - Configurare la VPN IKEv2 con Android tramite StrongSwan

Utilizzo del VPN Script su iPhone

Importante: gli utenti con iOS 18 o successivo e Mac OS 14 Sonoma non possono utilizzare lo script e devono configurarlo manualmente. Ciò è dovuto ai maggiori requisiti di sicurezza di Apple per la crittografia VPN IKEv2. Per risolvere questo problema, è necessario apportare modifiche al Gruppo di chiavi e alla Proposta alle Impostazioni di fase 1 e alle Impostazioni di fase 2 della connessione VPN creata in precedenza utilizzando Quick Setup (Wizzard).

Per procedere, tornate alla GUI web del vostro firewall. Dal menu di sinistra, selezionare "Configurazione", quindi spostarsi su "VPN". Aprire le impostazioni di configurazione della connessione VPN in questione e aggiungere una proposta con le seguenti impostazioni in Fase 2 Impostazione :

Proposta

• Crittografia: AES256
• Autenticazione: SHA256.

Passare quindi alla scheda "Gateway VPN", dove è necessario aggiornare le impostazioni della Fase 1 come segue:

Proposta

• Crittografia: AES256
• Autenticazione: SHA256

Gruppo di chiavi: DH2 DH14 DH19

Dopo aver apportato le modifiche, non dimenticate di applicarle facendo clic sul pulsante "Applica".

Il passo successivo è scaricare il certificato per la nostra connessione VPN e installarlo sul dispositivo.

Come scaricare un certificato

Andare in Configurazione -> Oggetto -> Certificato, selezionare il certificato VPN e premere "Scarica" per scaricare il certificato.

A questo punto, si può decidere di esportare il certificato con una password per renderlo sicuro e garantire che non finisca nelle mani sbagliate, oppure di lasciarlo vuoto per esportare il certificato senza password da installare.

A questo punto, potete allegare il certificato a un'e-mail inviata agli utenti, spiegando loro come installarlo e connettersi alla VPN.

iPhone iOS 18 e successivi: Installazione manuale del certificato e configurazione della VPN

Passiamo ora alle impostazioni dell'iPhone stesso. Scaricate il certificato inviato per posta, ad esempio, sul vostro iPhone.

Nota: queste modifiche non influiscono sulle connessioni VPN esistenti, indipendentemente dal modo in cui sono state effettuate, tramite "Impostazione rapida" o manualmente.

Inviare il certificato per posta, ad esempio. Sul vostro iPhone, aprite il messaggio di posta contenente il certificato ed eseguitelo.

Dopo aver completato il certificato, nelle impostazioni del dispositivo apparirà un nuovo profilo. Per trovarlo, accedere alle impostazioni dell'Iphone

Cliccare su "Profilo scaricato":	Fare clic su "Installa":	Fare clic su "Installa":

Ora avete un certificato verificato:	Andate su Impostazioni -> VPN e dispositivo	Fare clic su "Aggiungi VPN".

Inserire l'indirizzo IP WAN del firewall nei campi "Server" e "Remote ID", nonché il nome utente e la password.	Effettuate la connessione e attendete che lo stato sia "Connesso"; di solito ci vogliono alcuni secondi.

Windows 10 e versioni successive: Installazione manuale del certificato e configurazione VPN

Fare doppio clic sul certificato con il tasto sinistro del mouse e fare clic su "Apri" nella nuova finestra aperta.	Fare clic sul pulsante "Installa certificato".

Si può anche provare a fare doppio clic sul certificato, fare clic su "Installa certificato..." e fare clic su "Avanti".

Selezionare se il certificato sarà disponibile per tutti gli utenti del computer o solo per l'utente corrente.	Fare clic su "Posiziona tutti i certificati nel seguente archivio" e scegliere "Autorità di certificazione radice attendibili".

Quasi arrivati a questo punto, premere "Fine".	Poi si prende un avviso e il gioco è fatto!

Ora configuriamo il profilo VPN stesso. Per farlo sul vostro PC, andate nella sezione VPN.

Utilizzate la ricerca di Windows e cercate VPN, quindi selezionate "Impostazioni VPN" dalla barra di ricerca di Windows:	Nella nuova finestra che si apre, fate clic su "Aggiungi una connessione VPN".

MAC OS 14 Sonoma e successivi: Installazione manuale del certificato e configurazione VPN

Fare doppio clic sul certificato e selezionare il "portachiavi" "sistema".	Cliccate sul simbolo WiFi e su "Impostazioni di rete". Cliccare quindi sul segno "+" sotto le connessioni WiFi.

Cliccare sul simbolo WiFi e su "Impostazioni di rete". Cliccare quindi sul segno "+" sotto le connessioni WiFi e Creare una VPN IKEv2 come mostrato di seguito.

Compilare l'indirizzo IP / FQDN, l'ID remoto e quindi fare clic sulle impostazioni di autenticazione. Scegliere un nome utente e inserire il nome utente e la password.

Zyxel SecuExtender

SecuExtender adatta il principio Zero Trust per aiutare l'IT a verificare l'identità degli utenti, applicando il controllo di ammissione per aumentare la sicurezza. Per utilizzare SecuExtender è necessaria una licenza . Ma è possibile scaricarla gratuitamente e provare la versione di prova facendo clic qui: Client VPN SecuExtender

In questo articolo verrà illustrata la configurazione di Zyxel SecuExtender utilizzando come esempio il client Windows. Tuttavia, la procedura per macOS è identica, tranne che per una leggera differenza nel design dell'applicazione.

Aprire l'applicazione e fare clic su "Configurazione" nell'angolo in alto a sinistra. Nel menu a discesa sono presenti due opzioni: "Ottieni dal server" e "Procedura guidata".

Entrambe le opzioni sono molto semplici. Quando si seleziona "Ottieni dal server", è necessario conoscere il nome o l'indirizzo e il nome utente e la password dell'utente VPN. Nel caso di Wizard, è possibile apportare ulteriori modifiche durante la configurazione.

Il download del profilo VPN è riuscito. Ora andate al menu principale e vedrete il nuovo profilo VPN nell'elenco a sinistra. Fare doppio clic a sinistra e inserire il nome utente e la password. Fatto. La connessione è riuscita!

Si noti che il "controllo del certificato" deve essere disattivato se si utilizza una CA predefinita e autofirmata.