Denne artikkelen viser hvordan du konfigurerer L2TP over IPSec i frittstående modus for USG FLEX / ATP / VPN-serien, hvordan du konfigurerer veiviseren, laster ned konfigurasjonen, konfigurerer L2TP manuelt ved bruk av VPN-gateway og tilkoblingsmeny, hva som må tillates i brannmurreglene, hvordan aktivere internettilgang for L2TP (ingen internett), gjenopprette standardkonfigurasjon, sette opp VPN-brukere, etablere en VPN fra LAN, bruke eksterne servere for å autentisere brukere, feilsøking ved bruk av logger, og konfigurere MS-CHAPv2.
Hva er L2TP over IPSec VPN?
Før vi begynner med konfigurasjonsveiledningen, la oss gi en introduksjon til L2TP over IPSec VPN.
L2TP over IPSec kombinerer Layer 2 Tunneling Protocol (L2TP, som gir en punkt-til-punkt-forbindelse) med IPSec-protokollen. L2TP alene gir ingen kryptering av innhold, og derfor bygges tunnelen vanligvis over en lag 3-krypteringsprotokoll, IPSec, noe som resulterer i den såkalte L2TP over IPSec VPN.
I denne håndboken kan du utforske all informasjon som trengs for L2TP VPN-tilkoblinger i Zyxel Firewall-enheter, med gjennomgang av konfigurasjonsmetoder (via veiviseren og manuelt), klientoppsett for Windows, MAC og Linux; samt mer avanserte oppsett for autentisering, forskjellige topologier og feilsøking på brannmur- og klientenheter. Virtuell lab-tilgang er også definert, hvor det er mulig å gjennomgå vårt oppsett som også kan brukes ved oppsett av fjern-VPN på din enhet.
Konfigurer L2TP VPN ved bruk av innebygd veiviser
Naviger til veiviseren
a. Åpne Quick Setup-fanen og i popup-vinduet velg Remote Access VPN Setup:
Velg L2TP over IPSec Client Scenario
Konfigurer VPN-konfigurasjon
Skriv inn en ønsket Pre-Shared Key og velg tilsvarende WAN-grensesnitt.
Konfigurer brukergodkjenning
Lagre konfigurasjonen og last ned L2TP-konfigurasjon
Configuration > Security Policy > Policy Control Manuell oppsett av L2TP/IPSec VPN
Følgende beskriver trinnene som kreves for å manuelt konfigurere en L2TP over IPSec VPN. Topologien og bruken er den samme som ved bruk av veiviseren, eneste forskjell er trinnene i konfigurasjonen.
Konfigurer VPN Gateway
Gå til følgende sti og opprett en ny VPN Gateway:
Configuration > VPN > IPSEC VPN > VPN GatewayTrykk på "Show Advanced Settings". Skriv inn et navn for gatewayen, velg ditt WAN-grensesnitt og legg til en pre-shared key:
Sett Negotiation Mode til Main og legg til følgende (vanlige) forslag og bekreft ved å klikke OK:
Konfigurer VPN-tilkobling
Gå til følgende sti og opprett en ny VPN-tilkobling:
Configuration > VPN > IPSec VPN > VPN ConnectionTrykk på "Show Advanced Settings". Skriv inn navnet på tilkoblingen, sett Application Scenario til Remote Access (Server Role) og velg VPN Gateway du opprettet tidligere:
For Local Policy, opprett et nytt IPv4-adresseobjekt (fra "Create New Object"-knappen) for din ekte WAN IP og sett det deretter til VPN-tilkoblingen som Local Policy:
Sett Encapsulation til Transport og legg til følgende forslag og bekreft ved å klikke OK:
Konfigurer L2TP VPN-innstillinger
Nå som IPSec-innstillingene er gjort, må L2TP-innstillingene settes opp. Gå til følgende sti:
Configuration -> VPN -> L2TP VPN SettingsOpprett om nødvendig nye lokale brukere som skal ha lov til å koble til VPN:
Opprett en L2TP IP-adressepool med et område av IP-adresser som klientene skal bruke mens de er tilkoblet L2TP/IPSec VPN.
Merk: Dette bør ikke komme i konflikt med noen WAN-, LAN-, DMZ- eller WLAN-subnett, selv når de ikke er i bruk.
Oppsummer L2TP-innstillingene
La oss nå sette L2TP-innstillingene:
- Sett VPN-tilkoblingen opprettet i 2.2 Konfigurer VPN-tilkobling
- En IP-adressepool, du kan sette L2TP IP-områdeobjektet
- Autentiseringsmetoden kan settes som standard for lokal brukergodkjenning
- Tillatte brukere kan settes for brukeren. Hvis flere brukere trengs, kan en brukergruppe opprettes på Objekt-siden.
- DNS-server(e) og WINS-server kan velges å være brannmurenheten selv (Zywall) eller en tilpasset server-IP-adresse.
- Hvis internettilgang er nødvendig via brannmuren mens du er tilkoblet L2TP/IPSec VPN, må du sørge for at alternativet "Allow Traffic Through WAN Zone" er aktivert.
- Klikk på "Apply" for å lagre innstillingene. Med dette er L2TP/IPSec VPN nå klart.
Nødvendige konfigurasjoner - Tillat UDP-portene 4500 og 500
Sørg for at brannmurreglene tillater tilgang for portene UDP 4500 og 500 fra WAN til Zywall, og at standardsonen IPSec_VPN har tilgang til nettverksressursene. Dette kan verifiseres under:
Configuration > Security Policy > Policy Control Aktiver internettilgang over L2TP via Policy Routes
Hvis noe av trafikken fra L2TP-klientene må gå til internett, opprett en policyrute for å sende trafikk fra L2TP-tunnelene ut gjennom en WAN-trunk.
Configuration > Network > Routing > Policy RouteSett Incoming til Tunnel og velg din L2TP VPN-tilkobling. Sett Source Address til L2TP-adressepoolen. Sett Next-Hop Type til Trunk og velg riktig WAN-trunk.
Tips og feilsøking - Gjenoppretting av standard L2TP VPN-konfigurasjon
I noen tilfeller kan det være nødvendig å gi en ny start til dine L2TP VPN-innstillinger på siden:
Configuration > VPN > L2TP VPNOppsett av L2TP VPN-klienter
L2TP over IPSec er svært populært og støttes vanligvis av mange slutt-enhetsplattformer med egne innebygde klienter.
Her er noen av de vanligste og hvordan de settes opp:
Windows/MacOS/Linux:
Avansert oppsett: Etablere en L2TP VPN fra LAN:
VPN er en populær funksjon for kryptering av datapakker ved overføring av data.
I ZyWALL/USG/ATP sitt nåværende design, når VPN-grensesnittet er basert på WAN1-grensesnittet, må VPN-forespørselen komme fra WAN1-grensesnittet (grensesnittbegrensning), ellers vil forespørselen bli avvist. (f.eks. VPN-tilkobling kom fra LAN1)
Likevel, i noen scenarioer kan brukere ha behov for å etablere VPN-tunnelen ikke bare fra WAN, men også fra LAN.
Denne situasjonen støttes også av ZyWALL/USG/ATP. Brukere kan følge operasjonsprosedyren nedenfor for å deaktivere VPN-grensesnittbegrensningen slik at VPN-tilkoblingen kan komme både fra WAN og LAN etterpå.
USG Firmware-versjon: 4.32 eller nyere
USG-konfigurasjon:
For å aktivere L2TP fra LAN, må du få tilgang til enheten via terminaltilkobling (Serial, Telnet, SSH) og skrive inn følgende kommandoer:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Avansert oppsett: Bruke eksterne servere for å autentisere brukere som kobler til L2TP VPN
Denne delen beskriver hvordan du konfigurerer L2TP over IPSec med MS-CHAPv2 på USG/Zywall-serien. For avanserte implementasjoner kan brukergodkjenning med Active Directory (AD) servere implementeres på L2TP/IPSec VPN-autentiseringen.
Scenario:
AD-domene: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Naviger til Configuration>Object>AAA Server. Aktiver domenegodkjenning for MSCHAP
Legitimasjonen er vanligvis den samme som AD-administrator.
2. Gå til System>Host Name, skriv inn AD-domenet i Domain Name
Denne prosessen gjør at USG blir med i AD-domenet. Tunnelen vil kun bli etablert vellykket dersom denne delen fungerer.
3. Bekreft om USG har blitt med i domenet. Naviger til Active Directory Users and Computers>Computers
I dette tilfellet kan du se at usg110 har blitt med i domenet. Du kan også sjekke detaljert informasjon under fanen Properties>Object ved å høyreklikke.
4. Rediger Domain Zone, skriv inn domenenavnet i System> DNS >Domain Zone Forwarder.
Noen ganger kan det bli timeout under oppkobling av tunnelen, så du må konfigurere følgende innstilling. Query interface er der AD-serveren din befinner seg.
5. Sjekk tilkoblingsinnstillingene på din Windows-maskin.
Sørg for at du har aktivert (MS-CHAP v2) og skrevet inn pre-shared key i Avanserte innstillinger.
6. Sjekk påloggingsinformasjonen på Monitor-siden>. AD-brukeren skal være på listen over nåværende brukere når tunnelen er koblet opp vellykket.
Du kan se at brukertypen er L2TP og brukerinfo er ekstern bruker.
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.