VPN - Konfigurere IKEv2 VPN med sertifikat ved hjelp av SecuExtender IPSec VPN Client

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis du har spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Denne artikkelen viser deg hvordan du konfigurerer IKEv2 IPsec VPN med sertifikat ved hjelp av SecuExtender på både Windows og MacOS. Den viser deg hvordan du konfigurerer VPN på brannmuren (USG FLEX / ATP / VPN Series i stand-alone / on-premise-modus) og hvordan du blir kvitt feilen TGBErrorCodeMgrNotCreated.description på MacOS.

Merk: For IOS 17 brukes en nøkkelgruppe: DH19 må brukes

Video:

Innholdsfortegnelse

A) Konfigurere IKEv2 på brannmuren

B) Konfigurere SecuExtender-klienten

C) Konfigurere på MacOS

A) Konfigurere IKEv2 på brannmuren

  1. Logg på enheten ved å angi IP-adressen og legitimasjonen for en administratorkonto (som standard er brukernavnet "admin" og passordet "1234").

  2. Naviger til Konfigurasjon > Objekt > Adresse/Geo IP, og klikk på "Legg til" for å opprette et objekt av typen "Adressetype" "Område". Gi det navnet "IKEv2_Pool" og skriv inn et IP-område som ikke overlapper med undernettene dine.
    2.PNG.

  3. Opprett et annet IP-adresseobjekt for å gi IKEv2-klientene tilgang til Internett via VPN-tunnelen senere. Velg typen "Range", navngi det for eksempel "All_Traffic", skriv inn "0.0.0.0" for "Starting IP Address" og "255.255.255.255" for "End IP Address".
    3.PNG

  4. Gå til Konfigurasjon > Objekt > Bruker/gruppe og klikk på "Legg til" for å opprette nye brukere.
    6.PNG

  5. Klikk på fanen "Gruppe" og klikk på "Legg til" for å opprette en "IKEv2_Users"-gruppe, og legg til de nødvendige brukerne ved å markere dem og klikke på pilen som peker mot høyre.
    8.PNG

  6. Gå til Konfigurasjon > Objekt > Sertifikat, klikk på "Legg til", velg "Vertsdomenenavn", skriv inn domenenavnet eller DynDNS, bla ned til "Utvidet nøkkelbruk" og kryss av i de tre avmerkingsboksene "Serverautentisering", "Klientautentisering" og "IKE Intermediate" og klikk på "OK".
    8.PNG

  7. Dobbeltklikk på dette sertifikatet og bla nedover for å bruke "Export Certificate Only".
    9.PNG

  8. Gå til Konfigurasjon > Nettverk > VPN > IPSec VPN og klikk på "Legg til", klikk på "Vis avanserte innstillinger", kryss av for "Aktiver", velg "IKEv2", velg "Dynamisk adresse" under "Peer Gateway-adresse", kryss av for "Sertifikat" under "Autentisering" og velg det tidligere opprettede sertifikatet.
    10.PNG


  9. Bla nedover for å velge ønsket forslag under "Phase 1 Settings", kryss av for "Enable Extended Authentication Protocol", velg "Server Mode", la "AAA Method" stå på "default" og velg den tidligere opprettede gruppen "IKEv2_Users" under "Allowed Users" før du til slutt klikker på "OK".
    11.PNG

  10. Åpne nå fanen "VPN-tilkobling" ovenfor, klikk på "Legg til", klikk på "Vis avanserte innstillinger", kryss av for "Aktiver", velg "Fjerntilgang (serverrolle)" for "Applikasjonsscenario", velg den tidligere opprettede VPN-gatewayen for "VPN-gateway", under "Lokal policy" velger du det tidligere opprettede IP-områdeobjektet "All_Traffic".

  11. Kryss av for "Enable Configuration Payload", velg objektet "IKEv2_Pool" som "IP Address Pool" (DNS-serverne er valgfrie), velg ønsket forslag for VPN-tilkoblingen og klikk til slutt på "OK" for å fullføre konfigurasjonen av VPN-tilkoblingen.
    12.PNG
    13.PNG

  12. Gå til Configuration > Object > Network > Routing, klikk på "Add", kryss av for "Enable", velg "Tunnel" for "Incoming", velg den tidligere opprettede IPSec-tilkoblingen for "Please select one member", velg "IKEv2_Pool" for "Source Address" og velg WAN Interface eller WAN Trunk som "Next Hop" før du til slutt klikker på "OK".
    14.PNG

B) Konfigurere SecuExtender-klienten

  1. Åpne IPSec-klienten, høyreklikk på mappen "IKE V2" på venstre side for å legge til en ny "Ikev2Gateway", skriv inn domenenavnet du også skrev inn i sertifikatet på USG-en for "Remote Gateway" og velg matchende forslag under "Cryptography".
    mceclip1.png
  2. Høyreklikk på VPN-gatewayen på venstre side for å legge til VPN-tilkoblingen, velg "Address type" "Subnet Address", skriv inn subnettadressen og subnettmasken til det lokale subnettet på USG-siden som klientene skal ha tilgang til, og velg matchende forslag for VPN-tilkoblingen.
    mceclip0.png

  3. Hvis "Child SA Life Lifetime" ikke stemmer overens med den som er konfigurert på USG-en, må du justere den før du åpner tunnelen ved å høyreklikke på VPN-tilkoblingen på venstre side.

C) Kan ikke importere .tgb-filer på MacOS

Hvis du får denne TGB-filfeilen "TGBErrorCodeMgrNotCreated.description" på MacOS, er dette relatert til personverninnstillingene i MacOS. Du må tillate at SecuExtender er klarert i operativsystemet.

mceclip0.png

Gå til Innstillinger -> Personvern og sikkerhet -> Sikkerhet og velg "App Store og identifiserte utviklere". Da skal "SecuExtender VPN Client" vises, og du må trykke på "Tillat":

mceclip1.png

Nå kan du importere .tgb-filen til SecuExtender Client på MacOS for å få konfigurasjonen din.

+++ Du kan kjøpe lisenser for Zyxel VPN-klienter (SSL VPN, IPsec) med umiddelbar levering med ett klikk: Zyxel Webstore +++

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
3 av 11 syntes dette var nyttig
Del