VPN - IKEv2 VPN met certificaat configureren met SecuExtender IPSec VPN-client

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Dit artikel laat zien hoe je IKEv2 IPsec VPN met certificaat kunt configureren met SecuExtender op zowel Windows als MacOS. Het laat u zien hoe u het VPN configureert op de firewall (USG FLEX / ATP / VPN Series in stand-alone / on-premise modus) en hoe u van de fout TGBErrorCodeMgrNotCreated.description op MacOS afkomt.

Opmerking: Voor IOS 17 wordt een sleutelgroep gebruikt: DH19 moet worden gebruikt

Video:

Inhoudsopgave

A) IKEv2 configureren op de firewall

B) SecuExtender-client configureren

C) Configureren op MacOS

A) IKEv2 configureren op de firewall

  1. Log in op de unit door het IP-adres en de gegevens voor een admin-account in te voeren (standaard is de gebruikersnaam "admin" en het wachtwoord "1234").

  2. Navigeer naar Configuratie > Object > Adres/Geo IP, klik op "Toevoegen" om een object aan te maken van het "Adrestype" "Bereik". Geef het de naam "IKEv2_Pool" en voer een IP-bereik in dat niet overlapt met uw subnetten
    2.PNG.

  3. Maak een ander IP-adresobject om de IKEv2-clients later toegang te geven tot het internet via de VPN-tunnel. Kies het type "Range", noem het bijvoorbeeld "All_Traffic" en typ "0.0.0.0" in voor het "Starting IP Address" en "255.255.255.255" voor het "End IP Address".
    3.PNG

  4. Navigeer naar Configuratie > Object > Gebruiker/Groep en klik op "Toevoegen" om nieuwe gebruikers aan te maken.
    6.PNG

  5. Klik op het tabblad "Group" (Groep) en klik op "Add" (Toevoegen) om een groep "IKEv2_Users" (IKEv2_gebruikers) aan te maken en voeg de benodigde gebruikers toe door ze te markeren en op de pijl naar rechts te klikken.
    8.PNG

  6. Navigeer naar Configuration > Object > Certificate, klik op "Add", kies "Host Domain Name", typ de domeinnaam of DynDNS in, scroll naar beneden naar "Extended Key Usage" en vink de drie selectievakjes "Server Authentication", "Client Authentication" en "IKE Intermediate" aan en klik op "OK".
    8.PNG

  7. Dubbelklik op dit certificaat en scroll naar beneden om "Export Certificate Only" te gebruiken.
    9.PNG

  8. Navigeer naar Configuratie > Netwerk > VPN > IPSec VPN en klik op "Toevoegen", klik op "Geavanceerde instellingen weergeven", vink "Inschakelen" aan, kies "IKEv2", kies "Dynamisch adres" onder "Peer gateway-adres", vink "Certificaat" aan onder "Authenticatie" en kies uw eerder aangemaakte certificaat.
    10.PNG


  9. Scroll naar beneden om uw gewenste voorstellen te kiezen onder "Phase 1 Settings", vink "Enable Extended Authentication Protocol" aan, kies "Server Mode", laat "AAA Method" op "default" staan en kies uw eerder aangemaakte "IKEv2_Users" groep voor "Allowed Users" voordat u uiteindelijk op "OK" klikt.
    11.PNG

  10. Open nu het tabblad "VPN Connection" hierboven, klik op "Add", klik op "Show Advanced Settings", vink "Enable" aan, kies "Remote Access (Server Role)" voor het "Application Scenario", kies je eerder aangemaakte VPN-gateway voor "VPN Gateway", kies onder "Local Policy" het eerder aangemaakte IP-bereikobject "All_Traffic".

  11. Vink "Enable Configuration Payload" aan, kies het "IKEv2_Pool" object als uw "IP Address Pool" (De DNS Servers zijn optioneel), kies uw gewenste voorstellen voor de VPN-verbinding en klik tenslotte op "OK" om de configuratie van de VPN-verbinding te voltooien.
    12.PNG
    13.PNG

  12. Navigeer nu naar Configuratie > Object > Netwerk > Routing, klik op "Toevoegen", vink "Inschakelen" aan, kies "Tunnel" voor "Inkomend", kies de eerder aangemaakte IPSec-verbinding voor "Selecteer een lid", kies de "IKEv2_Pool" voor het "Bronadres" en kies tenslotte uw WAN-interface of de WAN Trunk als de "Next Hop" voordat u op "OK" klikt.
    14.PNG

B) Configureer de SecuExtender-client

  1. Open de IPSec-client, klik met de rechtermuisknop op de map "IKE V2" aan de linkerkant om een nieuwe "Ikev2Gateway" toe te voegen, voer de domeinnaam in die u ook hebt ingevoerd in het certificaat op de USG voor de "Remote Gateway" en kies de overeenkomende voorstellen onder "Cryptography".
    mceclip1.png
  2. Klik met de rechtermuisknop op de VPN-gateway aan de linkerkant om de VPN-verbinding toe te voegen, kies het "Adrestype" "Subnetadres", typ het subnetadres en subnetmasker in van het lokale subnet op de USG-site, waartoe de clients toegang moeten hebben en kies de overeenkomende voorstellen voor de VPN-verbinding.
    mceclip0.png

  3. Als de "Child SA Life Lifetime" niet overeenkomt met degene die is geconfigureerd op de USG, pas deze dan aan voordat u de tunnel definitief opent door nogmaals met de rechtermuisknop te klikken op de VPN-verbinding aan de linkerkant.

C) Kan geen .tgb-bestand importeren op MacOS

Als je deze TGB-bestandsfout "TGBErrorCodeMgrNotCreated.description" krijgt op je MacOS, heeft dit te maken met de privacy-instellingen in het MacOS. U moet SecuExtender toestaan om vertrouwd te worden in uw besturingssysteem.

mceclip0.png

Navigeer naar instellingen -> Privacy & beveiliging -> Beveiliging en selecteer "App Store en geïdentificeerde ontwikkelaars". Dan zou "SecuExtender VPN Client" moeten verschijnen en moet je op "Toestaan" drukken:

mceclip1.png

Nu kun je het .tgb-bestand succesvol importeren in de SecuExtender Client op MacOS om je configuratie te krijgen.

+++ U kunt licenties kopen voor uw Zyxel VPN-clients (SSL VPN, IPsec) met onmiddellijke levering door 1-click: Zyxel Webstore +++

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 3 van 11
Delen