VPN - L2TP over IPSec VPN configureren met PSK Stand-alone modus

Dit artikel laat zien hoe je L2TP over IPSec in Standalone modus configureert voor USG FLEX / ATP / VPN Series en hoe je de Wizard configureert, de configuratie downloadt, L2TP handmatig configureert via het VPN gateway & connectiemenu, wat je moet toestaan in de firewallregels, hoe je internettoegang voor L2TP inschakelt (geen internet), de standaardconfiguratie herstelt, VPN-gebruikers instelt, een VPN vanaf LAN tot stand brengt, externe servers gebruikt om gebruikers te authenticeren, problemen oplost met logs, en MS-CHAPv2 configureert.

Wat is L2TP over IPSec VPN?

Voordat we beginnen met de configuratiehandleiding, geven we een introductie over L2TP over IPSec VPN.

L2TP over IPSec combineert het Layer 2 Tunneling Protocol (L2TP, dat een point-to-point verbinding biedt) met het IPSec-protocol. L2TP alleen biedt geen encryptie van de inhoud, en daarom wordt de tunnel gewoonlijk opgebouwd over een Layer 3 encryptieprotocol IPsec, wat resulteert in de zogenaamde L2TP over IPSec VPN.

In deze handleiding vind je alle informatie die nodig is voor L2TP VPN-verbindingen op Zyxel Firewall-apparaten, met uitleg over de configuratiemethoden (via de wizard en handmatig), de clientinstellingen voor Windows, MAC en Linux; evenals meer geavanceerde instellingen voor authenticatie, verschillende topologieën en probleemoplossing op de Firewall-apparaten en clientapparaten. Toegang tot een virtueel lab is ook gedefinieerd waar het mogelijk is onze setup te bekijken, die ook gebruikt kan worden bij het opzetten van de remote VPN op jouw apparaat.

L2TP VPN configureren met de ingebouwde Wizard

Navigeer naar de Wizard

a. Open het Quick Setup Tab en selecteer in het pop-up venster Remote Access VPN Setup:

mceclip0.png

Selecteer het scenario L2TP over IPSec Client

mceclip1.png

VPN-configuratie instellen

Voer een gewenste Pre-Shared Key in en selecteer de bijbehorende WAN-interface.

Hier kun je ook beslissen of het verkeer van het clientapparaat naar het internet is toegestaan (firewallregels en routes) om via het Firewall-apparaat te passeren, voor het geval het clientapparaat geen split tunneling heeft ingesteld.
VPN Configuration
Definieer de adrespool voor de L2TP-gebruikers wanneer ze verbonden zijn met de VPN. Je kunt hier ook het vooraf gedefinieerde bereik 192.168.51.1-250 kiezen.
Opmerking: Dit mag niet overlappen met een bestaand netwerk op je apparaat.
Kies voor DNS ofwel ZyWALL of voer handmatig een server in.
 DNS

Gebruikersauthenticatie configureren

Selecteer een bestaand gebruikersobject om toe te voegen aan de L2TP-lijst of maak een nieuwe gebruiker aan via de knop "Add New User".
Configure User Authentication

Configuratie opslaan & L2TP-configuratie downloaden

Na het klikken op opslaan is de L2TP-tunnel klaar voor gebruik.
 Download L2TP
g. Zorg dat de firewallregels toegang toestaan voor poorten UDP 4500 en 500 van WAN naar Zywall, en dat de standaard Zone IPSec_VPN toegang heeft tot de netwerkbronnen. Dit kan worden gecontroleerd in:
Configuration  > Security Policy > Policy Control 

L2TP/IPSec VPN handmatig instellen

Hieronder worden de stappen beschreven om een L2TP over IPSec VPN handmatig te configureren. De topologie en toepassing zijn hetzelfde als bij gebruik van de Wizard, het enige verschil zijn de stappen in de configuratie.

VPN Gateway configureren

Ga naar het volgende pad en maak een nieuwe VPN Gateway aan:

Configuration > VPN > IPSEC VPN > VPN Gateway

Druk op "Show Advanced Settings". Voer een naam in voor de gateway, kies je WAN-interface en voeg een pre-shared key toe:

Configure VPN Gateway

Stel de Negotiation Mode in op Main en voeg de volgende (gebruikelijke) voorstellen toe en bevestig door op OK te klikken:

Negotiation Mode to Main

VPN-verbinding configureren

Ga naar het volgende pad en maak een nieuwe VPN-verbinding aan:

 Configuration > VPN > IPSec VPN > VPN Connection

Druk op "Show Advanced Settings". Voer de naam van de verbinding in, stel het Application Scenario in op Remote Access (Server Role) en selecteer de VPN Gateway die je eerder hebt aangemaakt:

Advanced Settings

Voor het Local Policy maak je een nieuw IPv4 Address Object aan (via de knop "Create New Object") voor je echte WAN IP en stel je dit in als Local Policy voor de VPN-verbinding:

 Local Policy

VPN

Stel de Encapsulation in op Transport en voeg de volgende voorstellen toe en bevestig door op OK te klikken:

Transport

L2TP VPN-instellingen configureren

Nu de IPSec-instellingen zijn voltooid, moeten de L2TP-instellingen worden ingesteld. Ga naar het volgende pad:

Configuration -> VPN -> L2TP VPN Settings

Maak indien nodig een nieuwe lokale gebruiker(s) aan die verbinding mag maken met de VPN:
L2TP VPN Settings

L2TP VPN Settings

Maak een L2TP IP-adrespool aan met een reeks IP-adressen die door de clients gebruikt moeten worden terwijl ze verbonden zijn met de L2TP/IPSec VPN.

Opmerking: Dit mag niet conflicteren met enige WAN-, LAN-, DMZ- of WLAN-subnetten, ook niet als ze niet in gebruik zijn.

WAN, LAN, DMZ or WLAN Subnets

WAN, LAN, DMZ or WLAN Subnets

Samenvatting van de L2TP-instellingen

Laten we nu de L2TP-instellingen instellen:

  • Stel de VPN-verbinding in die is aangemaakt in 2.2 Configure VPN Connection
  • Een IP Address Pool: je kunt het L2TP IP-bereik object instellen
  • De Authentication Method kan worden ingesteld als standaard voor lokale gebruikersauthenticatie
  • De toegestane gebruikers kunnen worden ingesteld voor de gebruiker. Als meerdere gebruikers nodig zijn, kan een groep gebruikers worden aangemaakt op de Object-pagina.
  • De DNS-server(s) en WINS-server kunnen worden geselecteerd als het Firewall-apparaat zelf (Zywall) of een aangepaste server IP-adres.
  • Indien internettoegang via het Firewall-apparaat nodig is terwijl verbonden met de L2TP/IPSec VPN, zorg dan dat de optie "Allow Traffic Through WAN Zone" is ingeschakeld.
  • Klik op "Apply" om de instellingen op te slaan. Hiermee is de L2TP/IPSec VPN nu klaar voor gebruik.

 L2TP settings

Verplichte configuraties - Toestaan van UDP-poorten 4500 & 500

Zorg dat de firewallregels toegang toestaan voor poorten UDP 4500 en 500 van WAN naar Zywall, en dat de standaard Zone IPSec_VPN toegang heeft tot de netwerkbronnen. Dit kan worden gecontroleerd in:

Configuration  > Security Policy > Policy Control 

Internettoegang inschakelen via L2TP met Policy Routes

Als een deel van het verkeer van de L2TP-clients naar het internet moet gaan, maak dan een policy route aan om het verkeer van de L2TP-tunnels via een WAN-trunk te sturen.

Ga naar het volgende pad en voeg een nieuwe Policy Route toe:
Configuration > Network > Routing > Policy Route

Stel Incoming in op Tunnel en selecteer je L2TP VPN-verbinding. Stel het Source Address in op de L2TP-adrespool. Stel het Next-Hop Type in op Trunk en selecteer de juiste WAN-trunk.

2TP via Policy Routes

Tips & Probleemoplossing - L2TP VPN standaardconfiguratie herstellen

In sommige gevallen kan het nodig zijn om je L2TP VPN-instellingen opnieuw te starten op de pagina:

Configuration > VPN > L2TP VPN

L2TP VPN-clients instellen

L2TP over IPSec is zeer populair en wordt vaak ondersteund door veel eindapparaatplatforms met hun eigen ingebouwde clients.

Hier zijn enkele van de meest voorkomende en hoe je ze instelt:

Windows/MacOS/Linux:

Geavanceerde setup: Een L2TP VPN opzetten vanaf het LAN:

VPN is een populaire functie voor het versleutelen van pakketten bij het verzenden van data.

In het huidige ontwerp van ZyWALL/USG/ATP, wanneer de VPN-interface gebaseerd is op WAN1-interface, moet het VPN-verzoek van de WAN1-interface komen (interfacebeperking), anders wordt het verzoek geweigerd. (bijv. VPN-verbinding kwam van LAN1)

In sommige scenario's kan het echter nodig zijn dat gebruikers de VPN-tunnel niet alleen vanaf WAN maar ook vanaf LAN opzetten.

Dit scenario wordt ook ondersteund door ZyWALL/USG/ATP. Gebruikers kunnen de onderstaande procedure volgen om de VPN-interfacebeperking uit te schakelen zodat de VPN-verbinding daarna vanaf zowel WAN als LAN kan komen.

Topology:

USG Firmwareversie: 4.32 of hoger

USG-configuratie:

Om L2TP vanaf LAN in te schakelen, moet je via een terminalverbinding (Serial, Telnet, SSH) toegang krijgen tot je apparaat en de volgende commando's invoeren:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.

Geavanceerde setup: Externe servers gebruiken om gebruikers te authenticeren die verbinding maken met L2TP VPN

Deze sectie beschrijft hoe je L2TP over IPSec configureert met MS-CHAPv2 op USG/Zywall series. Voor geavanceerde implementaties kan gebruikersauthenticatie met Active Directory (AD) servers worden toegepast op de L2TP/IPSec VPN-authenticatie.

Scenario:

AD Domein: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Navigeer naar Configuration>Object>AAA Server. Schakel Domeinauthenticatie in voor MSCHAP

De inloggegevens zijn meestal hetzelfde als die van de AD-beheerder.

Configuration>Object>AAA Server

2. Ga naar System>Host Name, typ het AD-domein in Domain Name

Deze stap zorgt ervoor dat USG lid wordt van het AD-domein. De tunnel wordt alleen succesvol tot stand gebracht als dit deel werkt.

System>Host Name

3. Controleer of USG lid is geworden van het domein. Navigeer naar Active Directory Users and Computers>Computers

In dit geval kun je zien dat de usg110 lid is geworden van het domein. Je kunt ook de gedetailleerde informatie bekijken via het tabblad Properties>Object door met de rechtermuisknop te klikken.

Active Directory Users

4. Bewerk de Domain Zone, plaats de domeinnaam in System> DNS >Domain Zone Forwarder.

Soms kan het tijdens het opzetten van de tunnel tot time-outs komen, daarom moet je de volgende instelling configureren. De Query interface is waar je AD-server zich bevindt.

Domain Zone Forwarder.

5. Controleer de verbindingsinstellingen op je Windows.

Zorg dat je (MS-CHAP v2) hebt ingeschakeld en de pre-shared key hebt ingevoerd in de geavanceerde instellingen.

MS-CHAP v2

6. Controleer de logininformatie op de Monitorpagina>. De AD-gebruiker moet in de Current User List staan zodra de tunnel succesvol is opgezet.

Je kunt zien dat het type gebruiker L2TP is en dat de gebruikersinformatie een externe gebruiker betreft.

 L2TP

Artikelen in deze sectie

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 5 van 10
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.