Legacy VPN - Konfigurere konfigurasjonsklargjøring på USG-serien

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Oversikt

Et VPN (virtuelt privat nettverk) gir sikker kommunikasjon mellom nettsteder uten å måtte bruke leide linjer. VPN brukes til å transportere trafikk over Internett i et usikkert nettverk som bruker TCP/IP-kommunikasjon. Et VPN for ekstern tilgang (klient-til-sted) gir ansatte på reise eller fjernarbeidere sikker tilgang til bedriftens nettverksressurser. Det finnes flere typer VPN-protokoller/teknologier som kan brukes til å etablere en sikker forbindelse til bedriftens nettverk: L2TP, PPTP, SSL, OpenVPN osv. Denne veiledningen tar for seg IPSec-protokollen for å opprette en sikker VPN-tunnel mellom eksterne verter (brukere som er koblet til Internett utenfor bedriftens nettverksstruktur) og ZyWALL-ruteren. Tredjeparts IPSec-programvare er nødvendig for å opprette VPN-tilkoblingen, ettersom dagens operativsystemer mangler en innebygd IPSec-klient.

Scenario

1. VPN-gateway (fase 1)
2. VPN-tilkobling (fase 2)
3. Klargjøring av konfigurasjon
4. ZyWALL VPN-klient
5. Testing og feilsøking

VPN-gateway (fase 1)

Logg inn på ZyWALLs webkonfigurasjonsside og gå til menyen Configuration → VPN → IPSec VPN. I IPSec VPN-menyen klikker du på fanen VPN Gateway for å legge til fase 1 i tunneloppsettet. Klikk på Legg til for å sette inn en ny regel. Klikk på Vis avanserte innstillinger øverst til venstre i vinduet for å vise alle alternativene i menyen.

  • Merk av i boksen for å aktivere VPN-regelen og oppgi et navn.
  • Velg WAN-grensesnittet du ønsker å bruke til å koble til VPN-et under rullegardinmenyen My Address .
  • Forsikre deg om at Peer Gateway Address er satt til "Dynamic Address".
  • Angi/opprett en "forhåndsdelt nøkkel" for VPN-godkjenning.
  • Under Phase 1 Settings, setter du rullegardinmenyen Negotiation Mode til å bruke "Main"-modus.
  • Angi hvilket "Encryption" og "Authentication"-forslag du ønsker å bruke (krypteringsalternativene er DES, 3DES, AES128, AES192, AES256) (autentiseringsalternativene er MD5, SHA1, SHA256, SHA512).
  • Velg Diffie-Hellman-nøkkelgruppen (alternativene er DH1, DH2, DH5).

    CautionMerk: Advarselssymbolet til høyre vises på områder der det er nødvendig å legge inn noe, eller der det er gjort en feil, f.eks. ulovlige/ikke-støttede tegn.
    Picture1.png

VPN-tilkobling (fase 2)

Nå som regelen for VPN-gateway (fase 1) er opprettet, klikker du på fanen VPN Connection for å sette inn fase 2-regelen for VPN-tunnelen. Klikk på knappen Add for å sette inn en regel. Øverst til venstre i vinduet klikker du på Vis avanserte innstillinger for å se alle alternativene i menyen.

  • Merk av i boksen for å aktivere regelen og gi den et navn.
  • Angi at programscenariet VPN Gateway skal bruke "Remote Access (Server Role)".
  • For applikasjonsscenariet angir du at rullegardinmenyen VPN Gateway skal bruke fase 1-policyen som ble opprettet i forrige trinn. (RoadWarrior i dette eksemplet)
  • Bla ned til alternativet Policy og angi at Local Policy skal bruke adresseobjektet "LAN1_SUBNET". Dette vil gi VPN-brukeren tilgang til alle enheter som er koblet til LAN1.
  • Active Protocol under Phase 2 Setting skal settes til "ESP".
  • Innkapslingen er "Tunnel"
  • Angi hvilket "Encryption" og "Authentication"-forslag du ønsker å bruke (krypteringsalternativene er DES, 3DES, AES128, AES192, AES256) (autentiseringsalternativene er MD5, SHA1, SHA256, SHA512).
  • Perfect Forward Secrecy (PFS) er et ekstra krypteringsnivå. Det er ikke nødvendig å aktivere det, men hvis du ønsker å bruke det ekstra krypteringsnivået, er alternativene Ingen, DH1, DH2 og/eller DH5.
  • Under Related Settings, må du kontrollere at sonen er satt til "IPSec_VPN".

    Picture2.png

Nå som fase 1 og fase 2 av VPN-regelen er fullført, fjerner du avmerkingen i boksen "Use Policy Route to control dynamic IPSec rules". Hvis du fjerner merket for dette alternativet, kan ZyWALL opprette ruter for tilkoblede VPN-brukere automatisk.
Picture3.png

Konfigurasjonsklargjøring

Visse VPN-klienter, for eksempel "ZyWALL IPSec VPN Client" og "TheGreenBow VPN Client", har et klargjøringsalternativ som gjør at de kan laste ned innstillingene du har konfigurert for VPN-regelen i stedet for å måtte konfigurere klienten manuelt. For å konfigurere VPN-provisering for den dynamiske VPN-regelen RoadWarrior oppretter vi kategorien Configuration Provisioning i IPSec VPN-menyen(Configuration → VPN → IPSec VPN).

Før vi konfigurerer klargjøringen, må vi opprette en brukerkonto for å tillate nedlasting av innstillinger. Gå til Configuration → Object → User/Group og klikk på knappen Add for ålegge til en konto på brukernivå. Administrative kontoer kan ikke bruke nedlastingsalternativet for konfigurasjonsklargjøring.
Picture4.png

Når brukerkontoen er opprettet, går du til Configuration → VPN → IPSec VPN og klikker på Configuration Provisioning for å sette inn en regel som tillater nedlasting av VPN-klientens RoadWarrior VPN-innstillinger.

  • Aktiver menyen VPN Configuration Provisioning (klargjøring av VPN-konfigurasjon)
  • Klikk på knappen Legg til for å opprette en regel som tillater klargjøring av VPN-tilkoblingen "RoadWarrior_Connection" VPN Connection for "VPN-user" Allowed User. Kontroller at regelen er aktivert, og klikk på Apply for å lagre innstillingene.
    Picture5.png

ZyWALL VPN-klient

Hvis du vil laste ned VPN-konfigurasjonsinnstillingene som er konfigurert på ruteren, åpner du klientprogramvaren, klikker på menyen Configuration og velger alternativet "Get from Server".
Picture6.png

Skriv inn den offentlige IP-adressen, domenenavnet eller DDNS-navnet som er knyttet til ZyWALL-ruteren. Klienten laster ned innstillingen via SSL. ZyWALL er som standard programmert til å bruke port 443 for SSL. Hvis du har endret porten, må du oppgi den nye SSL-porten. Skriv inn brukernavnet og passordet som er knyttet til klargjøringskonfigurasjonen, og klikk på Next.

Picture7.png
Merk: Dette fungerer bare så lenge fjernadministrasjon er aktivert på ZyWALL-ruteren. Hvis fjernadministrasjon er deaktivert, vil ikke konfigurasjonsklargjøringsfunksjonen kunne hente VPN-konfigurasjonsinnstillingene automatisk fra ZyWALL-ruteren.

Klienten sender en forespørsel om å laste ned VPN-konfigurasjonsinnstillingene til ZyWALL-ruteren.
Picture8.png

Nå som konfigurasjonen er lastet ned, kan du opprette en VPN-tunnel mellom datamaskinen og ZyWALL-ruteren. Høyreklikk på fase 2-delen av konfigurasjonen og velg "Åpne tunnel" for å starte VPN-oppringingen.
Picture9.png

Hvis du vil konfigurere full eller delt tunnelering for VPN-trafikken, er det bare å ta en titt her:

VPN full/delt tunnelering

Testing og feilsøking

Prøv å opprette en VPN-tilkobling til ruteren. Når tilkoblingen er opprettet, kan du prøve å pinge eller få tilgang til ressurser fra det eksterne nettverket.

  1. Hvis du ikke får trafikk gjennom VPN-tunnelen:
  • Deaktiver brannmuren på den eksterne verten for å sikre at den ikke blokkerer forespørselen.
  • Forsøker du å få tilgang til ressurser ved hjelp av datamaskinens vertsnavn? Prøv å bruke IP-adressen som er tilordnet datamaskinen i stedet. Bruk av datamaskinens vertsnavn krever NetBIOS-kringkastingsprotokollen for å løse opp datamaskinens IP-adresse; IPSec-standarden støtter ikke kringkasting. Fordi IPSec VPN-standarden ikke støtter broadcast, kan vi ikke garantere at bruk av vertsnavn i stedet for IP-adresser vil fungere. En løsning på denne begrensningen i IPSec-standarden er å bruke en WINS-server.
  • Deaktiver ZyWALL-ruterens brannmur.
  • Kontroller at det ikke er noen IP-konflikter. Hvis ZyWALL-nettverket er konfigurert til å bruke 192.168.1.0/24-nettverket og den eksterne brukeren også bruker samme IP-ordning, vil trafikken ikke gå riktig gjennom VPN-tunnelen.
  • Hvis den lokale ruteren (ikke ZyWALL) ikke har VPN-pass-through aktivert eller nødvendige porter åpnet, kan det hende at VPN ikke fungerer som det skal.
  • Kontakt teknisk support for ytterligere hjelp.
  • VPN-tunnelen kan ikke opprettes/tilkobles:
  • Kontroller at nettverksruteren tillater IPSec-portene (UDP:500 og UDP:4500), eller sørg for å aktivere VPN pass-through hvis ruteren støtter dette alternativet. Det er mulig å omgå ruteren for å sikre at den ikke forårsaker problemet.
  • Kontroller at Internett-leverandøren din ikke blokkerer VPN-porter; noen leverandører blokkerer VPN-porter på sin side.
  • Kontroller at datamaskinens brannmur tillater kommunikasjon fra VPN-klienten.
  • Oppdater driverne for NIC-kortene (Ethernet og/eller Wi-Fi).
  • Kontroller at VPN-innstillingene på ZyWALL stemmer overens med konfigurasjonen av programvareklienten.
  • Kontakt teknisk support for ytterligere hjelp.

Video:

+++ Du kan kjøpe lisenser for Zyxel VPN-klienter (SSL VPN, IPsec) med umiddelbar levering med ett klikk: Zyxel Webstore +++

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
3 av 7 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.