Dit artikel laat zien hoe je L2TP over IPSec in Standalone modus configureert voor USG FLEX / ATP / VPN Series en hoe je de Wizard configureert, de configuratie downloadt, L2TP handmatig configureert via het VPN gateway & connectiemenu, wat je moet toestaan in de firewallregels, hoe je internettoegang voor L2TP inschakelt (geen internet), de standaardconfiguratie herstelt, VPN-gebruikers instelt, een VPN vanaf LAN tot stand brengt, externe servers gebruikt om gebruikers te authenticeren, problemen oplost met logs, en MS-CHAPv2 configureert.
Wat is L2TP over IPSec VPN?
Voordat we beginnen met de configuratiehandleiding, geven we een introductie over L2TP over IPSec VPN.
L2TP over IPSec combineert het Layer 2 Tunneling Protocol (L2TP, dat een point-to-point verbinding biedt) met het IPSec-protocol. L2TP alleen biedt geen encryptie van de inhoud, en daarom wordt de tunnel gewoonlijk opgebouwd over een Layer 3 encryptieprotocol IPsec, wat resulteert in de zogenaamde L2TP over IPSec VPN.
In deze handleiding vind je alle informatie die nodig is voor L2TP VPN-verbindingen op Zyxel Firewall-apparaten, met uitleg over de configuratiemethoden (via de wizard en handmatig), de clientinstellingen voor Windows, MAC en Linux; evenals meer geavanceerde instellingen voor authenticatie, verschillende topologieën en probleemoplossing op de Firewall-apparaten en clientapparaten. Toegang tot een virtueel lab is ook gedefinieerd waar het mogelijk is onze setup te bekijken, die ook gebruikt kan worden bij het opzetten van de remote VPN op jouw apparaat.
L2TP VPN configureren met de ingebouwde Wizard
Navigeer naar de Wizard
a. Open het Quick Setup Tab en selecteer in het pop-up venster Remote Access VPN Setup:
Selecteer het scenario L2TP over IPSec Client
VPN-configuratie instellen
Voer een gewenste Pre-Shared Key in en selecteer de bijbehorende WAN-interface.
Gebruikersauthenticatie configureren
Configuratie opslaan & L2TP-configuratie downloaden
Configuration > Security Policy > Policy Control L2TP/IPSec VPN handmatig instellen
Hieronder worden de stappen beschreven om een L2TP over IPSec VPN handmatig te configureren. De topologie en toepassing zijn hetzelfde als bij gebruik van de Wizard, het enige verschil zijn de stappen in de configuratie.
VPN Gateway configureren
Ga naar het volgende pad en maak een nieuwe VPN Gateway aan:
Configuration > VPN > IPSEC VPN > VPN GatewayDruk op "Show Advanced Settings". Voer een naam in voor de gateway, kies je WAN-interface en voeg een pre-shared key toe:
Stel de Negotiation Mode in op Main en voeg de volgende (gebruikelijke) voorstellen toe en bevestig door op OK te klikken:
VPN-verbinding configureren
Ga naar het volgende pad en maak een nieuwe VPN-verbinding aan:
Configuration > VPN > IPSec VPN > VPN ConnectionDruk op "Show Advanced Settings". Voer de naam van de verbinding in, stel het Application Scenario in op Remote Access (Server Role) en selecteer de VPN Gateway die je eerder hebt aangemaakt:
Voor het Local Policy maak je een nieuw IPv4 Address Object aan (via de knop "Create New Object") voor je echte WAN IP en stel je dit in als Local Policy voor de VPN-verbinding:
Stel de Encapsulation in op Transport en voeg de volgende voorstellen toe en bevestig door op OK te klikken:
L2TP VPN-instellingen configureren
Nu de IPSec-instellingen zijn voltooid, moeten de L2TP-instellingen worden ingesteld. Ga naar het volgende pad:
Configuration -> VPN -> L2TP VPN SettingsMaak indien nodig een nieuwe lokale gebruiker(s) aan die verbinding mag maken met de VPN:
Maak een L2TP IP-adrespool aan met een reeks IP-adressen die door de clients gebruikt moeten worden terwijl ze verbonden zijn met de L2TP/IPSec VPN.
Opmerking: Dit mag niet conflicteren met enige WAN-, LAN-, DMZ- of WLAN-subnetten, ook niet als ze niet in gebruik zijn.
Samenvatting van de L2TP-instellingen
Laten we nu de L2TP-instellingen instellen:
- Stel de VPN-verbinding in die is aangemaakt in 2.2 Configure VPN Connection
- Een IP Address Pool: je kunt het L2TP IP-bereik object instellen
- De Authentication Method kan worden ingesteld als standaard voor lokale gebruikersauthenticatie
- De toegestane gebruikers kunnen worden ingesteld voor de gebruiker. Als meerdere gebruikers nodig zijn, kan een groep gebruikers worden aangemaakt op de Object-pagina.
- De DNS-server(s) en WINS-server kunnen worden geselecteerd als het Firewall-apparaat zelf (Zywall) of een aangepaste server IP-adres.
- Indien internettoegang via het Firewall-apparaat nodig is terwijl verbonden met de L2TP/IPSec VPN, zorg dan dat de optie "Allow Traffic Through WAN Zone" is ingeschakeld.
- Klik op "Apply" om de instellingen op te slaan. Hiermee is de L2TP/IPSec VPN nu klaar voor gebruik.
Verplichte configuraties - Toestaan van UDP-poorten 4500 & 500
Zorg dat de firewallregels toegang toestaan voor poorten UDP 4500 en 500 van WAN naar Zywall, en dat de standaard Zone IPSec_VPN toegang heeft tot de netwerkbronnen. Dit kan worden gecontroleerd in:
Configuration > Security Policy > Policy Control Internettoegang inschakelen via L2TP met Policy Routes
Als een deel van het verkeer van de L2TP-clients naar het internet moet gaan, maak dan een policy route aan om het verkeer van de L2TP-tunnels via een WAN-trunk te sturen.
Configuration > Network > Routing > Policy RouteStel Incoming in op Tunnel en selecteer je L2TP VPN-verbinding. Stel het Source Address in op de L2TP-adrespool. Stel het Next-Hop Type in op Trunk en selecteer de juiste WAN-trunk.
Tips & Probleemoplossing - L2TP VPN standaardconfiguratie herstellen
In sommige gevallen kan het nodig zijn om je L2TP VPN-instellingen opnieuw te starten op de pagina:
Configuration > VPN > L2TP VPNL2TP VPN-clients instellen
L2TP over IPSec is zeer populair en wordt vaak ondersteund door veel eindapparaatplatforms met hun eigen ingebouwde clients.
Hier zijn enkele van de meest voorkomende en hoe je ze instelt:
Windows/MacOS/Linux:
Geavanceerde setup: Een L2TP VPN opzetten vanaf het LAN:
VPN is een populaire functie voor het versleutelen van pakketten bij het verzenden van data.
In het huidige ontwerp van ZyWALL/USG/ATP, wanneer de VPN-interface gebaseerd is op WAN1-interface, moet het VPN-verzoek van de WAN1-interface komen (interfacebeperking), anders wordt het verzoek geweigerd. (bijv. VPN-verbinding kwam van LAN1)
In sommige scenario's kan het echter nodig zijn dat gebruikers de VPN-tunnel niet alleen vanaf WAN maar ook vanaf LAN opzetten.
Dit scenario wordt ook ondersteund door ZyWALL/USG/ATP. Gebruikers kunnen de onderstaande procedure volgen om de VPN-interfacebeperking uit te schakelen zodat de VPN-verbinding daarna vanaf zowel WAN als LAN kan komen.
USG Firmwareversie: 4.32 of hoger
USG-configuratie:
Om L2TP vanaf LAN in te schakelen, moet je via een terminalverbinding (Serial, Telnet, SSH) toegang krijgen tot je apparaat en de volgende commando's invoeren:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Geavanceerde setup: Externe servers gebruiken om gebruikers te authenticeren die verbinding maken met L2TP VPN
Deze sectie beschrijft hoe je L2TP over IPSec configureert met MS-CHAPv2 op USG/Zywall series. Voor geavanceerde implementaties kan gebruikersauthenticatie met Active Directory (AD) servers worden toegepast op de L2TP/IPSec VPN-authenticatie.
Scenario:
AD Domein: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navigeer naar Configuration>Object>AAA Server. Schakel Domeinauthenticatie in voor MSCHAP
De inloggegevens zijn meestal hetzelfde als die van de AD-beheerder.
2. Ga naar System>Host Name, typ het AD-domein in Domain Name
Deze stap zorgt ervoor dat USG lid wordt van het AD-domein. De tunnel wordt alleen succesvol tot stand gebracht als dit deel werkt.
3. Controleer of USG lid is geworden van het domein. Navigeer naar Active Directory Users and Computers>Computers
In dit geval kun je zien dat de usg110 lid is geworden van het domein. Je kunt ook de gedetailleerde informatie bekijken via het tabblad Properties>Object door met de rechtermuisknop te klikken.
4. Bewerk de Domain Zone, plaats de domeinnaam in System> DNS >Domain Zone Forwarder.
Soms kan het tijdens het opzetten van de tunnel tot time-outs komen, daarom moet je de volgende instelling configureren. De Query interface is waar je AD-server zich bevindt.
5. Controleer de verbindingsinstellingen op je Windows.
Zorg dat je (MS-CHAP v2) hebt ingeschakeld en de pre-shared key hebt ingevoerd in de geavanceerde instellingen.
6. Controleer de logininformatie op de Monitorpagina>. De AD-gebruiker moet in de Current User List staan zodra de tunnel succesvol is opgezet.
Je kunt zien dat het type gebruiker L2TP is en dat de gebruikersinformatie een externe gebruiker betreft.

Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.