[VPN] Zyxel USG FLEX/ATP VPN [Snelle installatie] - IKEv2 IPSec VPN configureren via Wizard met certificaat op Android / iPhone iOS / Windows / MacOS

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier: Originele versie

In deze handleiding leert u hoe u een IKEv2 IPsec VPN configureert met behulp van de installatiewizard (Quick Setup) op de Zyxel Firewall VPN/USG FLEX/ATP-serie en hoe u verbinding maakt op Android, iPhone (iOS), Windows PC's en Mac-computers met behulp van zowel Zyxel SecuExtender als de native client. We behandelen ook specifieke overwegingen voor het configureren van VPN's op iOS-apparaten, mobiele apparaten met versie 18 en hoger en pc's met Sonoma-firmware of later.

Opmerking: De IP-adressen in de afbeelding zijn slechts een voorbeeld en zijn niet relevant voor het artikel als geheel. Ze kunnen in uw geval anders zijn.

VPN configureren via Quick Setup

Log in op uw firewall WEB GUI en ga naar Quick Setup, kies Remote Access VPN en vervolgens IKEv2 IPSec Client (Zyxel SecuExtender, niet-SecuExtender).

Gebruik dit als u gebruik maakt van de Zyxel SecuExtender IPSec VPN-client of een computerbesturingssysteem dat IPSec VPN met IKEv2 ondersteunt (niet-SecuExtender VPN-client). U kunt een Full Tunnel of Split Tunnel VPN-regel maken met Zyxel SecuExtender VPN-client. U kunt alleen een Full Tunnel VPN-regel maken met niet-SecuExtender VPN-client.

Configureer de IP-adrespool voor de client.

De IP-adrespool zal een geselecteerd niet-gebruikt subnet op het apparaat gebruiken om te voorkomen dat hetzelfde subnet wordt ingesteld. De IP-adrespool zal beginnen bij 192.168.50.1 Als het subnet 192.168.50.1 bestaat in de gateway-instellingen, zal de IP-adrespool automatisch veranderen.

Voeg gebruikers toe of maak gebruikers aan die VPN-toegang krijgen. Zodra gebruikers zijn toegevoegd, klikt u op Volgende en controleert u alle instellingen om er zeker van te zijn dat ze correct zijn. U kunt nu een geautomatiseerd script downloaden om het VPN te configureren of het handmatig configureren met behulp van een certificaat.

Na een succesvolle VPN-configuratie kunt u de scriptbestanden downloaden en installeren op Windows-, MacOS-, iOS- of Android-apparaten om de VPN-instellingen automatisch te configureren.

Opmerking: De VPN-instellingen voor Non-SecuExtender IPSec VPN-clients ondersteunen de volgende functies niet:

  • Limiet bandbreedte uploaden
  • Gesplitste tunnel
  • Twee-factor Authenticatie (Google Authenticator)

Belangrijk: Gebruikers op iOS 18 of hoger en Mac OS 14 Sonoma kunnen het script niet gebruiken en moeten het handmatig configureren. In dit artikel, in het instellingengedeelte voor iPhone en MacOS, vind je een meer gedetailleerde beschrijving van de benodigde stappen.

Houd er rekening mee: Om configuratiefouten en andere potentiële problemen tot een minimum te beperken, raden we aan om een script te gebruiken voor de installatie. U kunt het certificaat echter ook handmatig installeren en configureren, rechtstreeks op uw eindpuntapparaat. Gedetailleerde instructies voor handmatige certificaatinstallatie en VPN-configuratie vindt u in de paragraaf "Handmatige certificaatconfiguratie".

VPN-script onder Windows gebruiken

Sla het archief met het script op uw computer op, pak de map uit en voer het script uit met beheerdersrechten (het is een bestand met de extensie bat).

Nadat de installatie is geslaagd, gaat u naar de VPN-instellingen op uw pc. Daar vind je de aangemaakte VPN-verbinding. Klik op verbinden. Voer vervolgens de gebruikersnaam en het wachtwoord in.

VPN-script op Android gebruiken

Voor Android gebruikers, installeer StrongSwan en volg dit artikel:

VPN Script op iPhone gebruiken

Belangrijk: Gebruikers met iOS 18 of hoger en Mac OS 14 Sonoma kunnen het script niet gebruiken en moeten het handmatig configureren. Dit komt door de verhoogde beveiligingseisen van Apple voor IKEv2 VPN-encryptie. Om dit probleem op te lossen, moet u sleutelgroep- en voorstelwijzigingen aanbrengen in de Fase 1-instellingen en Fase 2-instellingen van de eerder gemaakte VPN-verbinding met behulp van Quick Setup (Wizzard).

Om verder te gaan, gaat u terug naar de web GUI van uw firewall. Selecteer in het linkermenu "Configuratie" en navigeer vervolgens naar "VPN". Open de configuratie-instellingen voor de betreffende VPN-verbinding en voeg een voorstel toe met de volgende instellingen in Fase 2-instelling :

Voorstel

  • Encryptie: AES256
  • Authenticatie: SHA256.

Ga vervolgens naar het tabblad "VPN Gateway", waar we de Fase 1 Instellingen als volgt moeten bijwerken:

Voorstel

  • Encryptie: AES256
  • Authenticatie: SHA256

Sleutelgroep: DH2 DH14 DH19

Vergeet na het aanbrengen van de wijzigingen niet om ze toe te passen door op de knop "Toepassen" te klikken

De volgende stap is het downloaden van het certificaat voor onze VPN-verbinding en het installeren op je apparaat.

Een certificaat downloaden

Navigeer naar Configuratie -> Object -> Certificaat, selecteer het VPN-certificaat en druk op "Downloaden" om het certificaat te downloaden.

Nu kun je besluiten om het certificaat te exporteren met een wachtwoord om het veilig te maken en ervoor te zorgen dat het niet in de verkeerde handen komt, of laat het leeg om het certificaat te exporteren zonder wachtwoord om het te installeren.

Nu kun je dit certificaat toevoegen aan een e-mail die je naar de gebruikers stuurt, waarin je uitlegt hoe je het kunt installeren en verbinding kunt maken met de VPN.

iPhone iOS 18 en hoger: Handmatige certificaatinstallatie en VPN-configuratie

Laten we nu verder gaan met de instellingen op de iPhone zelf. Download het certificaat dat bijvoorbeeld per e-mail is verzonden naar je iPhone.

Opmerking: Deze wijzigingen hebben geen invloed op bestaande VPN-verbindingen, ongeacht hoe deze tot stand zijn gekomen, via "Quick Setup" of handmatig.

Verzend het certificaat bijvoorbeeld per e-mail. Open op uw Iphone het e-mailbericht met het certificaat en voer het uit.

Nadat je het certificaat hebt voltooid, verschijnt er een nieuw profiel in de instellingen van je apparaat. Om het te vinden, ga je naar de instellingen van je Iphone

Klik op "Gedownload profiel": Klik op "Install": Klik op "Install":
Nu heb je een geverifieerd certificaat: Ga naar Instellingen -> VPN & Apparaat Klik op "VPN toevoegen
Voer het WAN IP-adres van uw firewall in de velden "Server" en "Remote ID" in, evenals de gebruikersnaam en het wachtwoord. Maak de verbinding en wacht tot de status "Verbonden" is, dit duurt meestal een paar seconden.

Windows 10 en hoger: Handmatige certificaatinstallatie en VPN-configuratie

Dubbelklik met de linkermuisknop op het certificaat en klik op "Openen" in het nieuw geopende venster Klik op de knop "Certificaat installeren

U kunt ook proberen te dubbelklikken op het certificaat klik op "Install Certificate..." en klik op "Next" (Volgende)

Selecteer of het certificaat beschikbaar moet zijn voor alle gebruikers op de computer of alleen voor de huidige gebruiker. Klik op "Place all certificates in the following store" en kies "Trusted Root Certification Authorities".
Bijna klaar, druk op "Finish". Dan volgt een waarschuwing en zijn we klaar!

Laten we nu het VPN-profiel zelf configureren. Om dit op je PC te doen, ga je naar de VPN-sectie.

Gebruik de Windows zoek-en, zoek naar VPN, en selecteer de "VPN-instellingen" in de Windows zoekbalk: Klik in het nieuwe venster dat wordt geopend op "Een VPN-verbinding toevoegen".

MAC OS 14 Sonoma en hoger: Handmatige certificaatinstallatie en VPN-configuratie

Dubbelklik op het certificaat en selecteer de "sleutelhanger" "systeem". Klik op het WiFi-symbool en op "Netwerkinstellingen". Klik vervolgens op het "+"-teken onder uw WiFi-verbindingen.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Klik op het WiFi-symbool en op "Netwerkinstellingen". Klik vervolgens op het "+"-teken onder uw WiFi-verbindingen en maak een IKEv2 VPN zoals hieronder weergegeven.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Vul het IP-adres / FQDN, de Remote ID en de verificatie-instellingen in. Kies een gebruikersnaam en vul je gebruikersnaam en wachtwoord in.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender past het Zero Trust-principe toe om IT te helpen de identiteit van gebruikers te verifiëren en toegangscontrole af te dwingen om de beveiliging te verhogen. Er is een licentie nodig om SecuExtender te gebruiken . Maar je kunt het gratis downloaden en de gratis proefversie testen door hier te klikken: SecuExtender VPN-client

Dit artikel gaat in op het configureren van Zyxel SecuExtender met de Windows client als voorbeeld. De macOS procedure is echter identiek op een klein verschil in het ontwerp van de applicatie na.

Open de app en klik op "Configuratie" in de linkerbovenhoek. In het vervolgkeuzemenu vind je 2 opties: "Get from Server" en "Wizard".

Beide opties zijn heel eenvoudig. Als je "Get from Server" selecteert, moet je de naam of het adres en de gebruikersnaam en het wachtwoord van de VPN-gebruiker weten. In het geval van Wizard kunt u extra wijzigingen aanbrengen tijdens de configuratie.

Het downloaden van het VPN-profiel is gelukt. Ga nu naar het hoofdmenu en u ziet het nieuwe VPN-profiel in de lijst aan de linkerkant. Dubbelklik op links en voer uw gebruikersnaam en wachtwoord in. Gereed. De verbinding is geslaagd!

Let op : "Certificaatcontrole" moet worden uitgeschakeld als u een standaard en zelfondertekende CA gebruikt.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 8 van 22
Delen