VPN - L2TP over IPSec VPN configureren met PSK [Stand-alone modus].

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Dit artikel laat zien hoe u L2TP over IPSec configureert in Standalone modus voor USG FLEX / ATP / VPN Series en hoe u de Wizard configureert, de configuratie downloadt, L2TP handmatig configureert met behulp van VPN-gateway & verbindingsmenu, Wat u moet toestaan in de firewallregels, hoe u internettoegang inschakelt voor L2TP (geen internet), standaardconfiguratie herstellen, VPN-gebruikers instellen, een VPN opzetten vanaf LAN, externe servers gebruiken om gebruikers te verifiëren, problemen oplossen met behulp van logboeken, MS-CHAPv2 configureren.

Inhoud

1. L2TP VPN configureren met de ingebouwde wizard

1.1 Naar de wizard navigeren

1.2 Selecteer het L2TP over IPSec clientscenario

1.3 Configureer de VPN-configuratie

1.4 Gebruikersauthenticatie configureren

1.5 De configuratie opslaan en de L2TP-configuratie downloaden

2) De L2TP/IPSec VPN handmatig instellen

2.1 VPN Gateway configureren

2.2 VPN-verbinding configureren

2.3 L2TP VPN instellingen configureren

2.4 De L2TP-instellingen samenvatten

3) Configuraties die verplicht zijn

3.1 UDP-poorten 4500 & 500 toestaan

3.2 Internettoegang via L2TP via beleidsrouten inschakelen

4. Tips en probleemoplossing

4.1 De standaardconfiguratie van L2TP VPN herstellen

4.2 De L2TP VPN-cliënten instellen

4.3 Geavanceerde installatie: Een L2TP VPN opzetten vanaf het LAN:

4.4 Geavanceerde installatie: Externe servers gebruiken om gebruikers te verifiëren die verbinding maken met L2TP VPN

4.5 L2TP over IPSec VPN - Virtueel Lab

4.6 Problemen oplossen

4.7 L2TP MS-CHAPv2 configureren op USG/Zywall Series

Wat is L2TP over IPSec VPN?

Voordat we beginnen met de configuratiegids, geven we eerst een introductie tot L2TP over IPSec VPN.

L2TP over IPSec combineert het Layer 2 Tunneling Protocol (L2TP, dat een punt-naar-punt verbinding biedt) met het IPSec-protocol. L2TP alleen biedt geen encryptie van inhoud, en daarom wordt de tunnel meestal gebouwd over een Layer 3 encryptieprotocol IPsec, met als resultaat de zogenaamde L2TP over IPSec VPN.

In dit handboek kunt u alle informatie vinden die nodig is voor L2TP VPN-verbindingen in de Zyxel Firewall-apparaten, de configuratiemethoden (via de wizard en handmatig), de client-setup voor Windows, MAC en Linux; en meer geavanceerde setups voor authenticatie, verschillende topologieën en probleemoplossing op de Firewall-apparaten en de client-apparaten. Virtuele labtoegang is ook gedefinieerd waar het mogelijk is om onze setup te bekijken die ook gebruikt kan worden bij het opzetten van VPN op afstand in uw apparaat.

1. L2TP VPN configureren met de ingebouwde wizard

1.1 Navigeer naar de Wizard

a. Open hettabblad Quick Setup en selecteer in het pop-upvenster Remote Access VPN Setup:

mceclip0.png

1.2 Selecteer het L2TP over IPSec clientscenario

mceclip1.png

1.3 VPN-configuratie configureren

Voer een gewenste Pre-Shared Key in en selecteer de overeenkomstige WAN-interface.

Hier kunt u ook beslissen of het verkeer van het Client-apparaat naar het Internet wordt toegestaan (firewallregels en -routes) om door het Firewall-apparaat te gaan in het geval dat het Client-apparaat geen gesplitste tunneling heeft ingesteld.
mceclip2.png
Definieer de adrespool voor de L2TP gebruikers wanneer ze verbonden zijn met het VPN. Je kunt hier ook kiezen voor het voorgedefinieerde 192.168.51.1-250 bereik.
Opmerking: Het mag niet overlappen met een bestaand netwerk op je apparaat.
Voor DNS kiest u ZyWALL of voert u handmatig een server in.
mceclip3.png

1.4 Gebruikersauthenticatie configureren

Selecteer een bestaand gebruikersobject om het toe te voegen aan de L2TP ledenlijst of maak een nieuwe gebruiker aan via de knop"Nieuwe gebruiker toevoegen".
mceclip4.png

1.5 De configuratie opslaan & L2TP-configuratie downloaden

Na het klikken op opslaan is de L2TP-tunnel klaar voor gebruik.
mceclip5.png
g. Zorg ervoor dat de firewall regels toegang toestaan voor poorten UDP 4500 en 500 van WAN naar Zywall, en dat de standaard Zone IPSec_VPN toegang heeft tot de netwerkbronnen. Dit kan worden geverifieerd in:
Configuration  > Security Policy > Policy Control 

2) De L2TP/IPSec VPN handmatig instellen

Hieronder worden de stappen beschreven die nodig zijn om handmatig een L2TP over IPSec VPN te configureren. De topologie en toepassing zijn hetzelfde als wanneer u de wizard gebruikt, het enige verschil zijn de stappen in de configuratie.

2.1 VPN Gateway configureren

Ga naar het volgende pad en maak een nieuwe VPN Gateway aan:

Configuration > VPN > IPSEC VPN > VPN Gateway

Druk op "Show Advanced Settings" (Geavanceerde instellingen weergeven). Voer een naam in voor de gateway, kies je WAN-interface en voeg een vooraf gedeelde sleutel toe:

L2TP_1.PNG

Stel de Negotiation Mode in op Main en voeg de volgende (algemene) voorstellen toe en bevestig door op OK te klikken:

L2TP_2.PNG

2.2 VPN-verbinding configureren

Ga naar het volgende pad en maak een nieuwe VPN-verbinding:

 Configuration > VPN > IPSec VPN > VPN Connection

Druk op "Show Advanced Settings" (Geavanceerde instellingen weergeven). Voer een naam in voor de verbinding, stel het toepassingsscenario in op externe toegang (serverrol) en selecteer de VPN-gateway die je eerder hebt gemaakt:

L2TP_3.PNG

Maak voor het Lokale beleid een nieuw IPv4-adresobject (via de knop"Nieuw object maken") voor uw echte WAN-IP en stel dit in op de VPN-verbinding als Lokaal beleid:

L2TP_5.PNG

L2TP_6.PNG

Stel de Encapsulation in op Transport en voeg de volgende voorstellen toe en bevestig door op OK te klikken:

L2TP_7.PNG

2.3 L2TP VPN-instellingen configureren

Nu de IPSec-instellingen klaar zijn, moeten de L2TP-instellingen worden ingesteld. Ga naar het volgende pad:

Configuration -> VPN -> L2TP VPN Settings

Maak indien nodig een nieuwe lokale gebruiker(s) aan die verbinding mogen maken met het VPN:
L2TP_8.PNG

L2TP_9.PNG

Maak een L2TP IP-adrespool aan met een reeks IP-adressen die door de cliënten gebruikt moeten worden terwijl ze verbonden zijn met het L2TP/IPSec VPN.

Opmerking: Dit mag niet conflicteren met WAN-, LAN-, DMZ- of WLAN-subnetten, zelfs als ze niet in gebruik zijn.

L2TP_8.PNG

L2TP_10.PNG

2.4 De L2TP-instellingen samenvatten

Laten we nu de L2TP instellingen instellen:

  • Stel de VPN-verbinding in die is gemaakt in 2.2 VPN-verbinding configureren
  • Een IP-adrespool u kunt het L2TP IP-bereikobject instellen
  • De Authenticatiemethode kan worden ingesteld als standaard voor lokale gebruikersauthenticatie
  • De Toegestane gebruikers kunnen worden ingesteld voor de gebruiker. Als er meerdere gebruikers nodig zijn, kan een gebruikersgroep worden aangemaakt op de Object-pagina.
  • De DNS server(s) en WINS server kunnen worden geselecteerd als de firewall zelf (Zywall) of een aangepast server IP adres.
  • In het geval dat internettoegang nodig is via de firewall terwijl deze is verbonden met de L2TP/IPSec VPN, zorg er dan voor dat de optie "Sta Verkeer Via WAN Zone Toe" is ingeschakeld.
  • Klik op "Toepassen" om de instellingen op te slaan. Hiermee is de L2TP/IPSec VPN als zodanig nu klaar.

L2TP_11.PNG

3) Configuraties die nodig zijn

3.1 UDP-poorten 4500 & 500 toestaan

Zorg ervoor dat de firewall regels toegang toestaan voor poorten UDP 4500 en 500 van WAN naar Zywall, en dat de standaard Zone IPSec_VPN toegang heeft tot de netwerkbronnen. Dit kan worden geverifieerd in:

Configuration  > Security Policy > Policy Control 

3.2 Internettoegang via L2TP via beleidsrouten inschakelen

Als een deel van het verkeer van de L2TP-cliënten naar het internet moet gaan, maak dan een beleidsroute aan om het verkeer van de L2TP-tunnels via een WAN-trunnel naar buiten te sturen.

Ga naar het volgende pad en voeg een nieuwe Policy Route toe:
Configuration > Network > Routing > Policy Route

Stel Inkomend in op Tunnel en selecteer je L2TP VPN verbinding. Stel het bronadres in op de L2TP-adrespool. Stel het Next-Hop Type in op Trunk en selecteer de juiste WAN trunk.

L2TP_12.PNG

Voor meer details over deze stap, bekijk het artikel:

Hoe L2TP clients te laten surfen via USG

4. Tips en probleemoplossing

4.1 De standaardconfiguratie van L2TP VPN herstellen

In sommige gevallen kan het nodig zijn om een nieuwe start te geven aan je L2TP VPN instellingen op de pagina:

Configuration > VPN > L2TP VPN

Als dat nodig is, gebruik dan het volgende artikel dat de methodes beschrijft om de standaardinstellingen terug te brengen.

ZyWALL USG: VPN-L2TP standaardconfiguratie herstellen

4.2 De L2TP VPN-clients instellen

L2TP over IPSec is erg populair en wordt door veel eindapparaten ondersteund met hun eigen ingebouwde clients.

Hier zijn enkele van de meest voorkomende en hoe ze in te stellen:

4.3 Geavanceerde setup: Een L2TP VPN opzetten vanaf het LAN:

VPN is een populaire functie voor het versleutelen van pakketten bij het verzenden van gegevens.

In het huidige ontwerp van ZyWALL/USG/ATP, wanneer de VPN-interface gebaseerd is op de WAN1-interface, moet het VPN-verzoek van de WAN1-interface komen (interface beperkt), anders wordt het verzoek geweigerd. (VPN-verbinding kwam bijvoorbeeld van LAN1)

In sommige scenario's moeten gebruikers echter niet alleen vanaf het WAN maar ook vanaf het LAN de VPN-tunnel tot stand brengen.

Dit scenario wordt ook ondersteund door ZyWALL/USG/ATP. Gebruikers kunnen de onderstaande procedure volgen om de beperking van de VPN-interface uit te schakelen, zodat de VPN-verbinding nadien van zowel het WAN/LAN kan komen.

Topologie:

mceclip6.png

USG Firmwareversie:

4.32 of hoger

USG-configuratie:

Om L2TP in te schakelen vanaf LAN, moet u toegang krijgen tot uw apparaat met een terminalverbinding (Serieel, Telnet, SSH) en de volgende commando's invoeren:

Router> configure terminal
Router
(config)# vpn-interface-restriction deactivate
Router
(config)# write
Start het apparaatopnieuw op.

4.4 Geavanceerde setup: Externe servers gebruiken om gebruikers te verifiëren die verbinding maken met L2TP VPN

Deze sectie beschrijft hoe u L2TP over IPSec met MS-CHAPv2 op USG/Zywall series kunt configureren. Voor geavanceerde implementaties kan de gebruikersauthenticatie met Active Directory (AD) servers geïmplementeerd worden op de L2TP/IPSec VPN authenticatie.

Scenario:

AD-domein: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Navigeer naar Configuratie>Object>AAA Server. Domeinauthenticatie inschakelen voor MSCHAP

De aanmeldingsgegevens zijn meestal dezelfde als die van de AD-beheerder.

mceclip11.png

2. Ga naarSysteem>Hostnaam,typ het AD-domeinin Domeinnaam

Deze flow zorgt ervoor dat de USG zich aansluit bij het AD-domein. De tunnel wordt alleen succesvol tot stand gebracht als dit onderdeel werkt.

mceclip12.png

3. Controleer of USG is toegetreden tot het domein. Navigeer naar Active Directory Gebruikers en computers>Computers

In dit geval kunt u zien of usg110 zich heeft aangesloten bij het domein. U kunt ook de gedetailleerde informatie controleren op het tabblad Eigenschappen>Object door er met de rechtermuisknop op te klikken.

mceclip13.png

4. Bewerk domeinzone, zet domeinnaam in Systeem> DNS >Domeinzone Forwarder.

Soms kan er een time-out optreden tijdens het inbellen van de tunnel, dus moet je de volgende instelling configureren, Query interface is waar je AD-server zich bevindt.

mceclip15.png

5. Controleer de verbindingsinstellingen op uw Windows.

Controleer of u (MS-CHAP v2) hebt ingeschakeld en een vooraf gedeelde sleutel hebt ingevoerd in Geavanceerde instellingen.

mceclip16.png

6. De AD-gebruiker zou in de lijst Huidige gebruiker moeten staan zodra de tunnel met succes is ingebeld.

Het gebruikerstype is L2TP en de gebruikersinfo is externe gebruiker.

mceclip17.png

Als verdere informatie geeft het volgende artikel details over de ondersteunde verificatie die wordt ondersteund door onze firewalls met L2TP/IPSec VPN:

ZyWALL USG - Ondersteunde authenticatie over L2TP

4.5 L2TP over IPSec VPN - Virtueel Lab

Neem gerust een kijkje naar ons virtuele lab voor het instellen van L2TP VPN op onze Firewall-apparaten. Met dit virtuele lab kun je de juiste configuratie bekijken ter vergelijking tijdens het opzetten van je omgeving:

Virtueel lab - End-to-Site VPN (L2TP)

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 5 van 10
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.