Viktig merknad: |
Fra og med ZLD 5.20 støtter USG FLEX- og ATP-enheter forhåndsdefinerte innstillinger for både SecuExtender IPSec- og ikke-SecuExtender IPSec VPN-klienter. I denne artikkelen vil vi veilede deg gjennom bruk av VPN-oppsettveiviseren for ekstern tilgang (hurtigoppsett). Vi vil også demonstrere hvordan du konfigurerer StrongSwan på Android ved hjelp av hurtigoppsettskriptet, installerer sertifikater manuelt og konfigurerer StrongSwan til å opprette en VPN-tunnel ved hjelp av IKEv2 med EAP-MSCHAPv2-godkjenning.
Merk: Du kan også bruke dette hvis L2TP VPN har blitt fjernet på din Android versjon 12+.
Husk på dette: Når du har konfigurert VPN-et ved hjelp av Hurtigoppsett, kan du alltid endre innstillingene senere. Du kan for eksempel legge til eller endre grupper eller inkludere flere forslag etter behov.
Vær imidlertid oppmerksom på at manuelle endringer kan påvirke driften av enheter som opprinnelig ble konfigurert ved hjelp av hurtigoppsettskriptet.
Hvis du må gå inn i hurtigoppsettskriptet på nytt og starte fra begynnelsen - for eksempel når du laster ned skriptet på nytt - vil alle manuelle endringer du tidligere har gjort, bli overskrevet. Men ikke bekymre deg, du kan bare bruke de manuelle endringene på nytt etter at du har kjørt oppsettet.
Merk: IP-adressene i figuren er kun et eksempel, og er ikke relevante for artikkelen som helhet. De kan være annerledes i ditt tilfelle.
Konfigurere VPN via hurtigoppsett
Logg inn på brannmurens WEB GUI og gå til Hurtigoppsett, og velg Remote Access VPN og deretter IKEv2 IPSec Client (Zyxel SecuExtender, ikke-SecuExtender)
Bruk dette hvis du bruker Zyxel SecuExtender IPSec VPN-klient eller et operativsystem som støtter IPSec VPN med IKEv2 (VPN-klient som ikke er Zyxel SecuExtender). Du kan opprette en VPN-regel for full tunnel eller delt tunnel med Zyxel SecuExtender VPN-klient. Du kan bare opprette en VPN-regel for full tunnel med en VPN-klient som ikke er SecuExtender.
Konfigurer IP-adressepoolen for klienten.
IP-adresseutvalget vil bruke et valgt ikke-brukt delnett på enheten for å unngå å sette opp det samme delnettet. IP-adresseutvalget vil begynne på 192.168.50.1 Hvis delnettet 192.168.50.1 finnes i gateway-innstillingene, vil IP-adresseutvalget automatisk endres.
Legg til eller opprett brukere som skal ha VPN-tilgang. Når brukerne er lagt til, klikker du på Neste og går gjennom alle innstillingene for å sikre at de er nøyaktige. Du kan nå enten laste ned et automatisert skript for å konfigurere VPN-et eller konfigurere det manuelt ved hjelp av et sertifikat.
Etter vellykket VPN-konfigurasjon kan du laste ned og installere skriptfilene på Android-enheter for å konfigurere VPN-innstillingene automatisk.
Merk: VPN-innstillingene for IPSec VPN-klienter som ikke er fra SecExtender, støtter ikke følgende funksjoner:
- Begrensning av opplastingsbåndbredde
- Spilt tunnel
- To-faktor autentisering (Google Authenticator)
Detaljer om konfigurering av et VPN for Windows- og Apple-enheter finner du i følgende artikkel:
Vær oppmerksom på dette: For å redusere konfigurasjonsfeil og andre potensielle problemer anbefaler vi at du bruker et skript for installasjon. Du kan imidlertid også installere og konfigurere sertifikatet manuelt direkte på endepunktsenheten. Detaljerte instruksjoner for manuell sertifikatinstallasjon og VPN-konfigurasjon finner du i avsnittet "Manuell sertifikatkonfigurasjon".
Konfigurere StrongSwan VPN på Android via Quick Setup Script
- Last ned StrongSwan fra Google Play Store
- Send skriptet til den mobile enheten via e-post
- Lagre skriptet på din mobile enhet
- Åpne StrongSwan-appen
- Klikk på "LEGG TIL VPN-PROFIL"
- Importer VPN-profil
- Velg et tidligere lagret skript
- Fyll inn brukernavn og passord og lagre
- Klikk på den opprettede profilen
- Vent noen sekunder til tilkoblingen er etablert
Konfigurere StrongSwan VPN på Android ved å installere et sertifikat og opprette en VPN-profil manuelt
Slik laster du ned et sertifikat
Naviger til Konfigurasjon -> Objekt -> Sertifikat, velg VPN-sertifikatet, og trykk på "Last ned" for å laste ned sertifikatet.
Merk: Feltet "Passord" bør ikke fylles ut, ettersom vi må laste ned crt-sertifikatet for å bruke det i StrongSwan-klienten på Android. Hvis du fyller inn passordet, vil sertifikatformatet være pfx, noe som ikke er egnet for vårt tilfelle.
Hvis du har problemer med å velge riktig sertifikat fra listen, kan du identifisere det nødvendige sertifikatet for et bestemt VPN ved å sjekke VPN-innstillingene.
Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest
I delen "Authentication" vil du se hvilket sertifikat som er valgt for VPN-et ditt.
Nå kan du legge ved dette sertifikatet i en e-post du sender til brukerne, og forklare hvordan de skal installere det og koble seg til VPN-et.
Manuell konfigurasjon av StrongSwan VPN på Android (uten skript)
- Last ned StrongSwan fra Google Play Store
- Send sertifikatet til den mobile enheten via e-post
- Lagre sertifikatet på den mobile enheten (ikke prøv å installere sertifikatet direkte fra e-posten; bare lagre det)
- Åpne StrongSwan-appen
- Klikk på de tre symbolene i høyre hjørne og velg "CA Certificate".
- Velg "Importer sertifikat".
- Velg et tidligere lagret sertifikat og klikk på "Importer sertifikat".
- Klikk på de tre symbolene i høyre hjørne og velg "CA Certificate".
- Hvis sertifikatet er importert, vil du se meldingen "Certificate successfullyimported".
- Gå deretter tilbake til StrongSwan-hovedmenyen og klikk på "Legg til VPN-profil".
I konfigurasjonsskjemaet for VPN-profilen som vises, må du fylle ut alle obligatoriske felt:
- Server - den offentlige IP-adressen til brannmuren din
- VPN-type - IKEv2 EAP (brukernavn/passord)
- CA-sertifikat - velges automatisk
- Profilnavn (valgfritt) - et brukervennlig navn
|
|