[VPN] Zyxel USG FLEX/ATP VPN [Hurtigoppsett] - Konfigurer IKEv2 IPSec VPN via veiviser med sertifikat på Android / iPhone iOS / Windows / MacOS

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

I denne veiledningen lærer du hvordan du konfigurerer et IKEv2 IPsec VPN ved hjelp av installasjonsveiviseren (hurtigoppsett) på Zyxel Firewall VPN/USG FLEX/ATP-serien, og hvordan du kobler deg til det på Android, iPhone (iOS), Windows-PC-er og Mac-maskiner ved hjelp av både Zyxel SecuExtender og den opprinnelige klienten. Vi vil også dekke spesifikke hensyn for konfigurering av VPN på iOS-enheter, mobile enheter som kjører versjon 18 og nyere, og PC-er med Sonoma-fastvare eller nyere.

Merk: IP-adressene i figuren er kun et eksempel og er ikke relevante for artikkelen som helhet. De kan være forskjellige i ditt tilfelle.

Konfigurere VPN via hurtigoppsett

Logg inn på brannmurens WEB GUI og gå til Hurtigoppsett, og velg Remote Access VPN og deretter IKEv2 IPSec Client (Zyxel SecuExtender, ikke-SecuExtender)

Bruk dette hvis du bruker Zyxel SecuExtender IPSec VPN-klient eller et operativsystem som støtter IPSec VPN med IKEv2 (VPN-klient som ikke er Zyxel SecuExtender). Du kan opprette en VPN-regel for full tunnel eller delt tunnel med Zyxel SecuExtender VPN-klient. Du kan bare opprette en VPN-regel for full tunnel med en VPN-klient som ikke er SecuExtender.

Konfigurer IP-adressepoolen for klienten.

IP-adresseutvalget vil bruke et valgt ikke-brukt delnett på enheten for å unngå å sette opp det samme delnettet. IP-adresseutvalget vil begynne på 192.168.50.1 Hvis delnettet 192.168.50.1 finnes i gateway-innstillingene, vil IP-adresseutvalget automatisk endres.

Legg til eller opprett brukere som skal ha VPN-tilgang. Når brukerne er lagt til, klikker du på Neste og går gjennom alle innstillingene for å sikre at de er nøyaktige. Du kan nå enten laste ned et automatisert skript for å konfigurere VPN-et eller konfigurere det manuelt ved hjelp av et sertifikat.

Etter vellykket VPN-konfigurasjon kan du laste ned og installere skriptfilene på Windows-, MacOS-, iOS- eller Android-enheter for å konfigurere VPN-innstillingene automatisk.

Merk: VPN-innstillingene for IPSec VPN-klienter som ikke er fra SecExtender, støtter ikke følgende funksjoner:

  • Begrensning av opplastingsbåndbredde
  • Spilt tunnel
  • To-faktor autentisering (Google Authenticator)

Viktig: Brukere på iOS 18 eller nyere og Mac OS 14 Sonoma kan ikke bruke skriptet og må konfigurere det manuelt. I denne artikkelen, i innstillingsdelen for iPhone og MacOS, finner du en mer detaljert beskrivelse av de nødvendige trinnene.

Husk på dette: For å minimere konfigurasjonsfeil og andre potensielle problemer anbefaler vi at du bruker et skript for installasjon. Du kan imidlertid også installere og konfigurere sertifikatet manuelt direkte på endepunktsenheten. Detaljerte instruksjoner for manuell sertifikatinstallasjon og VPN-konfigurasjon finner du i delen "Manuell sertifikatkonfigurasjon".

Bruke VPN-skriptet på Windows

Lagre arkivet med skriptet på datamaskinen, pakk ut mappen, og kjør deretter skriptet med administratorrettigheter (det er en fil med bat-utvidelse).

Når installasjonen er fullført, går du til VPN-innstillingene på PC-en. Der finner du den opprettede VPN-tilkoblingen. Klikk på Koble til. Deretter skriver du inn brukernavn og passord.

Bruke VPN-skript på Android

For Android-brukere, vennligst installer StrongSwan og følg denne artikkelen:

Bruke VPN-skript på iPhone

Viktig: Brukere på iOS 18 eller nyere og Mac OS 14 Sonoma kan ikke bruke skriptet og må konfigurere det manuelt. Dette skyldes Apples økte sikkerhetskrav for IKEv2 VPN-kryptering. For å løse dette problemet må du gjøre endringer i Nøkkelgruppe og Forslag i Fase 1-innstillingene og Fase 2-innstillingene for den tidligere opprettede VPN-tilkoblingen ved hjelp av Hurtigoppsett (Wizzard).

For å fortsette, gå tilbake til web-GUI for brannmuren din. Velg "Configuration" i menyen til venstre, og naviger deretter til "VPN". Åpne konfigurasjonsinnstillingene for den aktuelle VPN-tilkoblingen, og legg til forslag med følgende innstillinger i Phase 2 Setting :

Forslag

  • Kryptering: AES256
  • Autentisering: SHA256.

Deretter går du til "VPN Gateway" -fanen, der vi må oppdatere fase 1-innstillingene på følgende måte:

Forslag

  • Encryption: AES256
  • Autentisering: SHA256

Nøkkelgruppe: DH2 DH14 DH19

Når du har gjort endringer, må du ikke glemme å bruke dem ved å klikke på "Apply"-knappen

Neste trinn er å laste ned sertifikatet for VPN-tilkoblingen vår og installere det på enheten din.

Slik laster du ned et sertifikat

Naviger til Konfigurasjon -> Objekt -> Sertifikat, velg VPN-sertifikatet, og trykk på "Last ned" for å laste ned sertifikatet.

Nå kan du enten velge å eksportere sertifikatet med et passord for å gjøre det sikkert og sørge for at det ikke kommer i gale hender, eller la det stå tomt for å eksportere sertifikatet uten passord for å installere det.

Nå kan du legge ved dette sertifikatet i en e-post du sender til brukerne, der du forklarer hvordan de skal installere det og koble seg til VPN-et.

iPhone iOS 18 og nyere: Manuell sertifikatinstallasjon og VPN-konfigurasjon

La oss nå gå videre til innstillingene på selve iPhone. Last ned sertifikatet som for eksempel sendes via e-post til din iPhone.

Merk: Disse endringene påvirker ikke eksisterende VPN-tilkoblinger, uavhengig av hvordan de ble opprettet, enten ved hjelp av "Quick Setup" eller manuelt.

Send sertifikatet via e-post, for eksempel. Åpne e-postmeldingen som inneholder sertifikatet på iPhonen din, og kjør det.

Etter at du har fullført sertifikatet, vises en ny profil i enhetsinnstillingene. For å finne den, gå til innstillingene på din Iphone

Klikk på "Profil lastet ned": Klikk på "Installer": Klikk på "Installer":
Nå har du et verifisert sertifikat: Gå til Innstillinger -> VPN og enhet Klikk på "Legg til VPN"
Skriv inn WAN-IP-adressen til brannmuren din i feltene "Server" og "Remote ID", samt brukernavn og passord. Opprett tilkoblingen og vent til statusen er "Tilkoblet", noe som vanligvis tar noen sekunder.

Windows 10 og nyere: Manuell sertifikatinstallasjon og VPN-konfigurasjon

Dobbeltklikk på sertifikatet med venstre museknapp og klikk på "Åpne" i det nye vinduet som åpnes Klikk på knappen "Installer sertifikat"

Du kan også prøve å dobbeltklikke på sertifikatet, klikke på "Installer sertifikat..." og klikke på "Neste"

Velg om sertifikatet skal være tilgjengelig for alle brukere på datamaskinen eller bare for den aktuelle brukeren. Klikk på "Plasser alle sertifikater i følgende lager" og velg "Trusted Root Certification Authorities"
Nesten ferdig, trykk på "Finish" Så tar vi det med en advarsel, og vi er ferdige!

La oss nå konfigurere selve VPN-profilen. For å gjøre dette på PC-en din, gå til VPN-delen.

Bruk Windows-søket og søk etter VPN, og velg "VPN-innstillinger" fra Windows-søkefeltet: I det nye vinduet som åpnes, klikker du på "Legg til en VPN-tilkobling"

MAC OS 14 Sonoma og nyere: Manuell sertifikatinstallasjon og VPN-konfigurasjon

Dobbeltklikk på sertifikatet og velg "nøkkelring" "system". Klikk på WiFi-symbolet og "Network Settings". Klikk deretter på "+"-tegnet under WiFi-tilkoblingene dine.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Klikk på WiFi-symbolet og "Nettverksinnstillinger". Klikk deretter på "+"-tegnet under WiFi-tilkoblingene dine og Opprett et IKEv2 VPN som vist nedenfor.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Fyll inn IP-adresse / FQDN, ekstern ID, og klikk deretter på autentiseringsinnstillinger nedenfor. Velg et brukernavn og skriv inn brukernavn og passord.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender tilpasser Zero Trust-prinsippet for å hjelpe IT-avdelingen med å verifisere brukernes identitet, og håndhever adgangskontroll for å øke sikkerheten. Det kreves lisens for å bruke SecuExtender. Men du kan laste den ned gratis og teste den gratis prøveversjonen ved å klikke her: SecuExtender VPN-klient

Denne artikkelen tar for seg konfigurering av Zyxel SecuExtender ved å bruke Windows-klienten som eksempel. Fremgangsmåten for macOS er imidlertid identisk, med unntak av en liten forskjell i programmets design.

Åpne appen og klikk på "Configuration" øverst i venstre hjørne. I rullegardinmenyen finner du to alternativer: "Get from Server" og "Wizard".

Begge alternativene er veldig enkle. Når du velger "Get from Server", må du vite navnet eller adressen og brukernavnet og passordet til VPN-brukeren. Hvis du velger "Wizard", kan du gjøre flere endringer under konfigurasjonen.

Nedlastingen av VPN-profilen var vellykket. Gå nå til hovedmenyen, og du vil se den nye VPN-profilen i listen til venstre. Dobbeltklikk til venstre og skriv inn brukernavn og passord. Nå er du ferdig. Tilkoblingen er vellykket!

Vær oppmerksom på at "Certificate check" bør deaktiveres hvis du bruker en standard og selvsignert CA.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
8 av 22 syntes dette var nyttig
Del