VPN - Konfiguracja IKEv2 VPN z certyfikatem przy użyciu klienta IPSec VPN SecuExtender

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

W tym artykule pokazano, jak skonfigurować IKEv2 IPsec VPN z certyfikatem przy użyciu SecuExtender w systemach Windows i MacOS. Pokaże, jak skonfigurować VPN na zaporze (USG FLEX / ATP / VPN Series w trybie autonomicznym / lokalnym), a także pokaże, jak pozbyć się błędu TGBErrorCodeMgrNotCreated.description w systemie MacOS.

Uwaga: W systemie IOS 17 używana jest grupa kluczy: DH19 musi być użyta

Wideo:

Spis treści

A) Konfiguracja IKEv2 na zaporze sieciowej

B) Konfiguracja klienta SecuExtender

C) Konfiguracja w systemie MacOS

A) Konfiguracja IKEv2 na zaporze sieciowej

  1. Zaloguj się do urządzenia, wprowadzając jego adres IP i poświadczenia konta administratora (domyślnie nazwa użytkownika to "admin", a hasło to "1234").

  2. Przejdź do Configuration > Object > Address/Geo IP, kliknij "Add", aby utworzyć obiekt "Address Type" "Range". Nazwij go "IKEv2_Pool" i wpisz zakres IP, który nie pokrywa się z podsieciami.
    2.PNG.

  3. Utwórz kolejny obiekt adresu IP, aby później umożliwić klientom IKEv2 dostęp do Internetu przez tunel VPN. Wybierz typ "Range", nazwij go na przykład "All_Traffic", wpisz "0.0.0.0" dla "Początkowego adresu IP" i "255.255.255.255" dla "Końcowego adresu IP".
    3.PNG

  4. Przejdź do Konfiguracja > Obiekt > Użytkownik/Grupa i kliknij "Dodaj", aby utworzyć nowych użytkowników.
    6.PNG

  5. Kliknij zakładkę "Group" i kliknij "Add", aby utworzyć grupę "IKEv2_Users" i dodać potrzebnych użytkowników, zaznaczając ich i klikając strzałkę skierowaną w prawo.
    8.PNG

  6. Przejdź do Configuration > Object > Certificate, kliknij "Add", wybierz "Host Domain Name", wpisz nazwę domeny lub DynDNS, przewiń w dół do "Extended Key Usage" i zaznacz trzy pola wyboru "Server Authentication", "Client Authentication" i "IKE Intermediate" i kliknij "OK".
    8.PNG

  7. Kliknij dwukrotnie ten certyfikat i przewiń w dół, aby użyć opcji "Export Certificate Only".
    9.PNG

  8. Przejdź do Configuration > Network > VPN > IPSec VPN i kliknij "Add", kliknij "Show Advanced Settings", zaznacz "Enable", wybierz "IKEv2", wybierz "Dynamic Address" w sekcji "Peer Gateway Address", zaznacz "Certificate" w sekcji "Authentication" i wybierz wcześniej utworzony certyfikat.
    10.PNG


  9. Przewiń w dół, aby wybrać żądane propozycje w "Phase 1 Settings", zaznacz "Enable Extended Authentication Protocol", wybierz "Server Mode", pozostaw "AAA Method" na "default" i wybierz wcześniej utworzoną grupę "IKEv2_Users" dla "Allowed Users", a następnie kliknij "OK".
    11.PNG

  10. Teraz otwórz zakładkę "Połączenie VPN" powyżej, kliknij "Dodaj", kliknij "Pokaż ustawienia zaawansowane", zaznacz "Włącz", wybierz "Dostęp zdalny (rola serwera)" dla "Scenariusza aplikacji", wybierz wcześniej utworzoną bramę VPN dla "Bramy VPN", w "Polityce lokalnej" wybierz wcześniej utworzony obiekt zakresu IP "All_Traffic".

  11. Zaznacz "Enable Configuration Payload", wybierz obiekt "IKEv2_Pool" jako "IP Address Pool" (serwery DNS są opcjonalne), wybierz żądane propozycje dla połączenia VPN i na koniec kliknij "OK", aby zakończyć konfigurację połączenia VPN.
    12.PNG
    13.PNG

  12. Teraz przejdź do Configuration > Object > Network > Routing, kliknij "Add", zaznacz "Enable", wybierz "Tunnel" dla "Incoming", wybierz wcześniej utworzone połączenie IPSec dla "Please select one member", wybierz "IKEv2_Pool" dla "Source Address" i na koniec wybierz interfejs WAN lub WAN Trunk jako "Next Hop" przed ostatecznym kliknięciem "OK".
    14.PNG

B) Konfiguracja klienta SecuExtender

  1. Otwórz klienta IPSec, kliknij prawym przyciskiem myszy folder "IKE V2" po lewej stronie, aby dodać nowy "Ikev2Gateway", wprowadź nazwę domeny wprowadzoną również w certyfikacie na USG dla "Remote Gateway" i wybierz pasujące propozycje w sekcji "Cryptography".
    mceclip1.png
  2. Kliknij prawym przyciskiem myszy bramę VPN po lewej stronie, aby dodać połączenie VPN, wybierz "Typ adresu" "Adres podsieci", wpisz adres podsieci i maskę podsieci lokalnej w witrynie USG, do której klienci powinni mieć dostęp, i wybierz pasujące propozycje dla połączenia VPN.
    mceclip0.png

  3. Jeśli "Child SA Life Lifetime" nie pasuje do tego skonfigurowanego w USG, dostosuj go przed ostatecznym otwarciem tunelu, klikając ponownie prawym przyciskiem myszy połączenie VPN po lewej stronie.

C) Nie można zaimportować pliku .tgb na MacOS

Jeśli w systemie MacOS pojawia się błąd pliku TGB "TGBErrorCodeMgrNotCreated.description", jest to związane z ustawieniami prywatności w systemie MacOS. Musisz zezwolić SecuExtender na bycie zaufanym w systemie operacyjnym.

mceclip0.png

Przejdź do ustawień -> Prywatność i bezpieczeństwo -> Bezpieczeństwo i wybierz "App Store i zidentyfikowani programiści". Następnie powinien pojawić się "SecuExtender VPN Client" i należy nacisnąć "Zezwól":

mceclip1.png

Teraz możesz pomyślnie zaimportować plik .tgb do klienta SecuExtender na MacOS, aby uzyskać konfigurację.

+++ Możesz kupić licencje dla swoich klientów Zyxel VPN (SSL VPN, IPsec) z natychmiastową dostawą za pomocą jednego kliknięcia: Zyxel Webstore +++

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 3 z 11
Udostępnij