Viktig merknad: |
Denne artikkelen viser hvordan du konfigurerer L2TP over IPSec i frittstående modus for USG FLEX / ATP / VPN-serien og hvordan du konfigurerer veiviseren, laster ned konfigurasjonen, konfigurerer L2TP manuelt ved hjelp av VPN-gateway- og tilkoblingsmenyen, hva du skal tillate i brannmurreglene, hvordan du aktiverer internettilgang for L2TP (ikke internett), gjenoppretter standardkonfigurasjon, konfigurerer VPN-brukere, oppretter et VPN fra LAN, bruker eksterne servere til å autentisere brukere, feilsøker ved hjelp av logger, konfigurerer MS-CHAPv2.
Innholdsfortegnelse
1. Konfigurere L2TP VPN ved hjelp av den innebygde veiviseren
1.2 Velg L2TP over IPSec-klientscenarioet
1.3 Konfigurer VPN-konfigurasjonen
1.4 Konfigurere brukerautentisering
1.5 Lagre konfigurasjonen og last ned L2TP-konfigurasjon
2) Konfigurere L2TP/IPSec VPN manuelt
2.2 Konfigurere VPN-tilkobling
2.3 Konfigurere L2TP VPN-innstillinger
2.4 Oppsummering av L2TP-innstillingene
3) Må-ha-konfigurasjoner
3.1 Tillat UDP-porter 4500 og 500
3.2 Aktiver Internett-tilgang via L2TP via policyruter
4. Tips og feilsøking
4.1 Gjenoppretting av L2TP VPN-standardkonfigurasjonen
4.2 Sette opp L2TP VPN-klienter
4.3 Avansert oppsett: Etablere et L2TP VPN fra LAN:
4.4 Avansert oppsett: Bruke eksterne servere til å autentisere brukere som kobler seg til L2TP VPN
4.5 L2TP over IPSec VPN - virtuell øvelse
4.7 Konfigurere L2TP MS-CHAPv2 på USG/Zywall-serien
Hva er L2TP over IPSec VPN?
Før vi begynner med konfigurasjonsveiledningen, skal vi gi en introduksjon til L2TP over IPSec VPN.
L2TP over IPSec kombinerer Layer 2 Tunneling Protocol (L2TP, som gir en punkt-til-punkt-forbindelse) med IPSec-protokollen. L2TP alene gir ingen kryptering av innhold, og derfor bygges tunnelen vanligvis over en lag 3-krypteringsprotokoll IPsec, noe som resulterer i såkalt L2TP over IPSec VPN.
I denne håndboken kan du utforske all informasjon som trengs for L2TP VPN-tilkoblinger i Zyxel-brannmurenhetene, konfigurasjonsmetodene (via veiviseren og manuelt), klientoppsettet for Windows, MAC og Linux, samt mer avanserte oppsett for autentisering, ulike topologier og feilsøking på brannmurenhetene og klientenhetene. Du får også tilgang til en virtuell lab der du kan gå gjennom oppsettet vårt, som også kan brukes når du konfigurerer eksternt VPN på enheten din.
1. Konfigurer L2TP VPN ved hjelp av den innebygde veiviseren.
1.1 Naviger til veiviseren
a. Åpnekategorien Quick Setup og velg Remote Access VPN Setup i popup-vinduet:
1.2 Velg L2TP over IPSec-klientscenarioet.
1.3 Konfigurere VPN-konfigurasjon
Angi en foretrukket Pre-Shared Key og velg det tilsvarende WAN-grensesnittet.
1.4 Konfigurere brukerautentisering
1.5 Lagre konfigurasjonen og last ned L2TP-konfigurasjonen
Configuration > Security Policy > Policy Control
2) Sette opp L2TP/IPSec VPN manuelt
I det følgende beskrives trinnene som trengs for å konfigurere et L2TP over IPSec VPN manuelt. Topologien og applikasjonen er den samme som når du bruker veiviseren, den eneste forskjellen er trinnene i konfigurasjonen.
2.1 Konfigurere VPN-gateway
Gå til følgende bane og opprett en ny VPN-gateway:
Configuration > VPN > IPSEC VPN > VPN Gateway
Trykk på "Vis avanserte innstillinger". Angi et navn på gatewayen, velg WAN-grensesnitt og legg til en forhåndsdelt nøkkel:
Sett Negotiation Mode til Main og legg til følgende (vanlige) forslag, og bekreft ved å klikke på OK:
2.2 Konfigurere VPN-tilkobling
Gå til følgende bane og opprett en ny VPN-tilkobling:
Configuration > VPN > IPSec VPN > VPN Connection
Trykk på "Vis avanserte innstillinger". Skriv inn et navn på tilkoblingen, angi Application Scenario til Remote Access (Server Role) og velg VPN-gatewayen du opprettet tidligere:
For den lokale policyen oppretter du et nytt IPv4-adresseobjekt (fra knappen"Opprett nytt objekt") for den virkelige WAN-IP-en og angir den deretter til VPN-tilkoblingen som lokal policy:
Sett Encapsulation til Transport og legg til følgende forslag og bekreft ved å klikke på OK:
2.3 Konfigurere L2TP VPN-innstillinger
Nå som IPSec-innstillingene er klare, må L2TP-innstillingene konfigureres. Gå til følgende bane:
Configuration -> VPN -> L2TP VPN Settings
Opprett om nødvendig en ny(e) lokal(e) bruker(e) som skal ha tillatelse til å koble til VPN-et:
Opprett et L2TP IP-adresseutvalg med et utvalg IP-adresser som skal brukes av klientene når de er koblet til L2TP/IPSec VPN.
Merk: Dette skal ikke komme i konflikt med noen WAN-, LAN-, DMZ- eller WLAN-undernett, selv når de ikke er i bruk.
2.4 Oppsummering av L2TP-innstillingene
La oss nå angi L2TP-innstillingene:
- Angi VPN-tilkoblingen som ble opprettet i 2.2 Konfigurer VPN-tilkobling
- An IP Address Pool kan du angi L2TP-IP-objektet for IP-område
- Autentiseringsmetoden kan angis som standard for lokal brukerautentisering.
- Tillatte brukere kan angis for brukeren. Hvis det er behov for flere brukere, kan du opprette en gruppe brukere på Objekt-siden.
- DNS-serveren(e) og WINS-serveren kan velges til å være selve brannmurenheten (Zywall) eller en tilpasset server-IP-adresse.
- Hvis det er behov for internettilgang via brannmurenheten mens den er koblet til L2TP/IPSec VPN, må du kontrollere at alternativet "Tillat trafikk gjennom WAN-sone" er aktivert.
- Klikk på "Bruk" for å lagre innstillingene. Dermed er L2TP/IPSec VPN-et som sådan klart.
3) Må-ha-konfigurasjoner
3.1 Tillat UDP-portene 4500 og 500
Kontroller at brannmurreglene tillater tilgang til UDP-portene 4500 og 500 fra WAN til Zywall, og at standardsonen IPSec_VPN har tilgang til nettverksressursene. Dette kan verifiseres i:
Configuration > Security Policy > Policy Control
3.2 Aktivere Internett-tilgang via L2TP via policyruter
Hvis noe av trafikken fra L2TP-klientene må gå til Internett, kan du opprette en policyrute for å sende trafikk fra L2TP-tunnelene ut gjennom en WAN-trunk.
Configuration > Network > Routing > Policy Route
Angi Innkommende til Tunnel og velg L2TP VPN-tilkoblingen. Angi at kildeadressen skal være L2TP-adresseutvalget. Angi Next-Hop Type til Trunk og velg riktig WAN-trunk.
Du finner mer informasjon om dette trinnet i artikkelen:
Slik lar du L2TP-klienter surfe via USG
4. Tips og feilsøking
4.1 Gjenopprette standard L2TP VPN-konfigurasjon
I noen tilfeller kan det være nødvendig å starte på nytt med L2TP VPN-innstillingene på siden:
Configuration > VPN > L2TP VPNVed behov kan du bruke følgende artikkel som beskriver metodene for å gjenopprette standardinnstillingene.
ZyWALL USG: Gjenopprett VPN-L2TP-standardkonfigurasjon
4.2 Sette opp L2TP VPN-klienter
L2TP over IPSec er svært populært og støttes av mange plattformer med egne innebygde klienter.
Her er noen av de vanligste og hvordan du konfigurerer dem:
4.3 Avansert oppsett: Etablere et L2TP VPN fra LAN:
VPN er en populær funksjon for kryptering av pakker ved overføring av data.
I ZyWALL/USG/ATPs nåværende design, når VPN-grensesnittet er basert på WAN1-grensesnittet, må VPN-forespørselen komme fra WAN1-grensesnittet (begrenset grensesnitt), ellers vil forespørselen bli avvist. (f.eks. hvis VPN-tilkoblingen kommer fra LAN1).
I noen scenarier kan det imidlertid hende at brukerne må opprette VPN-tunnelen ikke bare fra WAN, men også fra LAN.
Dette scenariet støttes også av ZyWALL/USG/ATP. Brukere kan følge fremgangsmåten nedenfor for å slå av VPN-grensesnittbegrensningen slik at VPN-tilkoblingen kan komme fra både WAN/LAN etterpå.
Topologi:
USG Firmwareversjon:
4.32 eller nyere
USG-konfigurasjon:
For å aktivere L2TP fra LAN må du få tilgang til enheten med en terminaltilkobling (seriell, Telnet, SSH) og angi følgende kommandoer:
Router> configure terminalStart
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
enhetenpå
nytt.
4.4 Avansert oppsett: Bruke eksterne servere til å autentisere brukere som kobler seg til L2TP VPN
Denne delen beskriver hvordan du konfigurerer L2TP over IPSec med MS-CHAPv2 på USG/Zywall-serien. For avanserte implementeringer kan brukerautentisering med Active Directory (AD)-servere implementeres på L2TP/IPSec VPN-autentiseringen.
Scenario:
AD-domene: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Gå til Configuration>Object>AAA Server. Aktivere domenegodkjenning for MSCHAP
Legitimasjonen er vanligvis den samme som for AD-administratoren.
2. Gå tilSystem>Host Name,skriv inn AD-domeneti Domain Name.
Denne flyten får USG til å koble seg til AD-domenet. Tunnelen opprettes først når denne delen fungerer.
3. Bekreft at USG har sluttet seg til domenet. Naviger til Active Directory-brukere og datamaskiner>Datamaskiner
I dette tilfellet kan du se at usg110 har blitt med i domenet. Du kan også sjekke detaljert informasjon i kategorien Egenskaper>Objekt ved å høyreklikke.
4. Rediger domenesone, legg inn domenenavnet i System> DNS>Domain Zone Forwarder.
Noen ganger kan det oppstå tidsavbrudd under oppringing av tunnelen, så du må konfigurere følgende innstilling, Query interface er der AD-serveren er plassert.
5. Kontroller tilkoblingsinnstillingene i Windows.
Kontroller at du har aktivert (MS-CHAP v2) og angitt forhåndsdelt nøkkel i Avanserte innstillinger.
6. Sjekk påloggingsinformasjonen på Monitor page>, AD-brukeren skal være på Current User List når tunnelen er oppringt.
Du finner at brukertypen er L2TP og brukerinformasjonen er ekstern bruker.
I den følgende artikkelen finner du mer informasjon om hvilke autentiseringer som støttes av våre brannmurer med L2TP/IPSec VPN:
ZyWALL USG - Autentisering som støttes via L2TP
4.5 L2TPover IPSec VPN - Virtuell lab
Ta gjerne en titt på vår virtuelle lab for L2TP VPN-oppsett på våre brannmurenheter. Med denne virtuelle laben kan du ta en titt på riktig konfigurasjon til sammenligning når du setter opp miljøet ditt:
Virtuell lab - VPN fra ende til side (L2TP)