Ważna uwaga: |
W tym przewodniku pokażemy, jak skonfigurować ten konkretny scenariusz, korzystając z klienta SecuExtender ZyWall IPSec VPN z serii Legacy USG, konfigurując zaporę ogniową (faza 1 i faza 2) oraz wersję SecuExtender (Perpetual).
Aby uzyskać więcej informacji, zobacz wideo:
Kroki przejścia
Uwaga: wszystkie poniższe kroki odnoszą się tylko do IKEv1! Jeśli korzystasz z USG FLEX / ATP, sprawdź ten artykuł .
2. Konfigurowanie klienta ZyXEL IPsec VPN
1. VPN Gateway (faza 1):
1. Zaloguj się do urządzenia, wprowadzając jego adres IP i dane logowania do konta administratora (domyślnie nazwa użytkownika to „admin”, hasło to „1234”)
2. Dodaj nową bramę pod
Konfiguracja > VPN > IPSec VPN > VPN Gateway
Edytuj następujące ustawienia:
„Pokaż ustawienia zaawansowane”, zaznacz „Włącz”, wpisz żądaną nazwę, wybierz żądany interfejs WAN jako „Mój adres”, zaznacz adres dynamiczny dla wielu adresów IP, wprowadź klucz współdzielony.
3. W tym samouczku domyślnie pozostawiamy ustawienia fazy 1, takie jak propozycje, ale dostosuj je do swoich preferencji bezpieczeństwa. Następnie zmień „Tryb negocjacji” na „Główny”.
Kliknij „OK”, aby zastosować wprowadzone zmiany.
Połączenie VPN (faza 2):
1. Przejdź do zakładki „Połączenie VPN” i dodaj nowe połączenie
Konfiguracja > VPN > IPSec VPN > Połączenie VPN
Edytuj następujące ustawienia:
„Pokaż ustawienia zaawansowane”, Zaznacz „Włącz”, wpisz żądaną nazwę, Ustaw „Scenariusz aplikacji” na „Dostęp zdalny (rola serwera”) i wybierz wcześniej utworzoną VPN Gateway
2. W „Polityce lokalnej” wybierz podsieć w swoim USG, do której klienci VPN mają mieć dostęp. Wybierz żądane Propozycje w „Ustawieniach Fazy 2” i kliknij „OK” (przypomnij, aby zabezpieczyć jak najwięcej)
2. Konfigurowanie klienta ZyWall IPSec VPN:
1. Najnowszego klienta można znaleźć tutaj
2. Proszę uruchomić program, zdefiniować porty w „Parametrach IKEv1” (IKE Port = 500, NAT-T-Port=4500)
3. W „Ikev1Gateway” wpisz adres IP interfejsu USGs WAN, na którym nasłuchuje twój VPN Gateway i wprowadź klucz wstępny. Upewnij się, że propozycje pasują do tych, które zdefiniowałeś w swoim VPN Gateway na swoim USG
4. Teraz skonfiguruj tunel VPN: pozostaw „Adres klienta VPN” jako 0.0.0.0 lub wprowadź adres IP, który nie pasuje lokalnie do sieci na USG, wprowadź adres podsieci, który zdefiniowałeś jako politykę lokalną w swoich USG połączenie VPN i upewnij się, że propozycje są zgodne z propozycjami połączeń VPN
Teraz powinieneś być w stanie otworzyć tunel VPN, klikając prawym przyciskiem myszy tunel VPN po lewej stronie i wybierając „Otwórz tunel”. Zielone powiadomienie na pulpicie w prawym dolnym rogu powinno potwierdzić pomyślnie ustanowione połączenie VPN.
Pamiętaj, że reguła zapory WAN-to-ZyWall powinna zezwalać usługom ESP, IKE i NATT!
Aby dowiedzieć się więcej o ustawieniach i algorytmach VPN, odwiedź:
http://www.zyxel-tech.de/previews/zyw70w362wm0c0/h_vpn_rules_edit_adv.html
Aby dowiedzieć się, jak skonfigurować połączenie L2TP w systemie Windows 10, odwiedź stronę:
https://www.youtube.com/watch?v=BYxcjcOxybs
3. Uwaga:
- Nie testuj połączenia VPN w tej samej podsieci, co Twoja polityka lokalna! Spowoduje to problemy z routingiem.
- Możesz wyeksportować plik konfiguracyjny klienta IPSec i udostępnić go różnym komputerom.
- Jeśli twój tunel VPN nie buduje się, mimo że według twojej wiedzy wszystko zostało poprawnie skonfigurowane, być może twój dostawca usług internetowych blokuje IKE (port 500) lub NAT-T (port 4500). Skontaktuj się z usługodawcą internetowym, aby to wyjaśnić.
- Jeśli do interfejsu WAN nie dociera żaden ruch związany z IPSec, być może dostawca usług internetowych blokuje ESP (Protokół 50). Skontaktuj się z usługodawcą internetowym, aby to wyjaśnić.
Również interesujące:
Czy chcesz rzucić okiem bezpośrednio na jedno z naszych urządzeń testowych? Zajrzyj tutaj w naszym wirtualnym laboratorium:
Wirtualne laboratorium — Site-to-Site VPN
+++ Możesz kupić licencje dla swoich klientów Zyxel VPN (SSL VPN, IPsec) z natychmiastową dostawą za jednym kliknięciem: Zyxel Webstore +++