VPN - Skonfiguruj SSL VPN przez SecuExtender [Stand-alone mode]

W niektórych przypadkach budowanie VPN przez klienta L2TP lub IPSec może być nieodpowiednie. W takich przypadkach nadal możesz użyć SSL do zestawienia tunelu VPN.

Ten podręcznik opisuje, jak skonfigurować tunel SSL VPN w naszej serii firewalli dla firm za pomocą oprogramowania SecuExtender z przykładową konfiguracją na urządzeniu z systemem Windows i zapewniającym bezpośrednie łącze do bardziej zaawansowanej konfiguracji, takiej jak 2FA, uwierzytelnianie za pomocą Active Directory, MAC OS i informacje dotyczące rozwiązywania problemów.

 

Poniższy film przedstawia niezbędne kroki, aby skonfigurować urządzenie Firewall i stację kliencką. Zapoznaj się z treścią tego artykułu poniżej, aby uzyskać bardziej szczegółowe informacje.

 

1. Przewodnik konfiguracji Firewall

2. Przewodnik po konfiguracji SecuExtender w systemie Windows

3. Konfiguracja MAC OS

4. SSL VPN z uwierzytelnianiem 2FA

5. SSL VPN z uwierzytelnianiem AD

6. SSL VPN - Wirtualne laboratorium

7. Rozwiązywanie problemów

 

 

1. Przewodnik konfiguracji Firewall

a. Zaloguj się do urządzenia, wprowadzając jego adres IP i dane logowania do konta administratora (domyślnie nazwa użytkownika to „admin”, hasło to „1234”)

 

 

b. Przejdź do

Configuration > VPN > SSL VPN

 

C. Kliknij „Dodaj” i wprowadź nazwę tunelu, opuść strefę jako „SSL_VPN” i przenieś potrzebnych użytkowników do „Wybranych obiektów użytkownika/grupy” po prawej stronie. Kliknij Utwórz nowy obiekt > użytkownik/grupa, aby dodać użytkownika, jeśli chcesz.

Przewiń w dół do „ Rozszerzenie sieci (tryb pełnego tunelu) ” i zaznacz „ Wymuś cały ruch klientów, aby wejść do tunelu SSL VPN ”, aby mieć dostęp do całej sieci Firewall podczas połączenia z SSL VPN. W przeciwnym razie wybierz określone podsieci, do których potrzebujesz dostępu z „ Listy sieci ”.

 

Utwórz nowy obiekt adresowy typu „ RANGE ” i skonfiguruj zakres, który zostanie przypisany do klientów podczas połączenia z SSL VPN. Wybierz ten zakres później dla „ Przypisz pulę adresów IP ”.

Uwaga: upewnij się, że zdefiniowałeś zakres, który nie jest w konflikcie z żadną istniejącą lub znaną podsiecią w twoim USG!

Na koniec przypisz serwer DNS, który będzie używany przez klientów VPN po połączeniu z tunelem SSL VPN.

 

Konfiguracja VPN powinna wyglądać podobnie do:

 

D. SSL VPN używa domyślnie Port 443 do nawiązania połączenia. Istnieje również możliwość ręcznej zmiany SSL VPN Server Port w zakładce „ Ustawienia globalne”.

 

Bardziej szczegółowe informacje na temat niestandardowych portów w tym łączu:

Jak korzystać z SSL VPN na innym porcie niż Web GUI

 

mi. Upewnij się, że do reguły zapory sieciowej WAN-to-Zywall dodano SSL VPN Port.

 

Jeśli używasz dostosowanego portu dla SSL VPN, upewnij się, że utworzyłeś nowy obiekt usługi w:

Konfiguracja > Obiekt > Usługa

Kliknij „ Dodaj ”, aby utworzyć nowy obiekt i dodać go do grupy Domyślne-WAN-do-Zywall.

 

2. Przewodnik po konfiguracji SecuExtender w systemie Windows

Jeśli nie zainstalowałeś jeszcze oprogramowania klienckiego SecuExtender, kliknij tutaj . SecuExtender dla Windows jest bezpłatny.

a. Rozpocznij instalację i uruchom plik .exe po instalacji.

b. SecuExtender pojawi się jako mała czerwona ikona w prawym dolnym rogu na pasku zadań, kliknij ikonę, aby otworzyć ekran logowania.

 

C. Jeśli SecuExtender mówi, że połączenie jest niezaufane, kliknij TAK.

Teraz powinieneś pomyślnie nawiązać połączenie SSL VPN.

Więcej informacji na temat „Trybu pełnego tunelu” można znaleźć na stronie:
Co to jest SSL VPN w trybie pełnego tunelu?

 

D. Testowanie konfiguracji:

Otwórz CMD i wyślij ping do urządzenia znajdującego się w sieci zdalnej.

 

 

 

3. Konfiguracja MAC OS

Istnieje również wersja SecuExtender dla MAC OS, której konfiguracja jest podobna do tej pokazanej w sekcji 2 dla urządzeń z systemem Windows. Aby pobrać najnowszą wersję dla systemu MAC OS, zapoznaj się z naszym artykułem:

SecuExtender dla macOS 12 / Monterey

 

Uwaga: ze względu na zasady Apple, korzystanie z SecuExtender dla MAC wymaga uiszczenia opłaty licencyjnej.

+++ Możesz kupić licencje dla swoich klientów Zyxel VPN (SSL VPN, IPsec) z natychmiastową dostawą jednym kliknięciem: Sklep internetowy Zyxel +++

 

4. SSL VPN z uwierzytelnianiem 2FA

Uwierzytelnianie dwuskładnikowe można skonfigurować dla uwierzytelniania SSL VPN. Więcej informacji znajdziesz w artykule:

Uwierzytelnianie dwuskładnikowe (na pocztę) w Zywall/USG

 

5. SSL VPN z uwierzytelnianiem AD

W zaawansowanych implementacjach uwierzytelnianie użytkowników z serwerami Active Directory (AD) może być realizowane na uwierzytelnianiu SSL VPN. Zapoznaj się z następującym artykułem opisującym kroki:

Seria USG — uwierzytelnianie klientów SSL VPN za pomocą Microsoft Active Directory

 

6. SSL VPN - Wirtualne laboratorium

Zapraszam do zapoznania się z naszym wirtualnym laboratorium konfiguracji SSL VPN na naszych urządzeniach Firewall. Dzięki temu wirtualnemu laboratorium możesz przyjrzeć się poprawnej konfiguracji na SSL VPN:

Wirtualne laboratorium — End-to-Site VPN (SSL)

 

7. Rozwiązywanie problemów

Poniższe linki zawierają informacje o rozwiązywaniu typowych problemów, które zidentyfikowaliśmy podczas konfigurowania SSL VPN z SecuExtender.

• Jeśli masz problemy z konfiguracją SSL VPN, zapoznaj się z następującymi artykułami:
  
  • SecuExtender nie działa z moim urządzeniem ZyWall USG — dlaczego?
  • Usługa „ZyWALL SecuExtender Helper” (ZyWALL SecuExtende Helper) nie została uruchomiona!
• Jeśli skonfigurowałeś SSL VPN, ale napotykasz problemy, zapoznaj się z tymi artykułami:
  • SecuExtender SSL VPN Client rozłącza się zaraz po połączeniu! Co robić?
  • SecuExtender przerywa połączenie podczas korzystania z WIFI po kilku sekundach
  • USG/ATP/VPN - Połączenie SSL VPN nie powiodło się (brak reguły zapory)

  • Dlaczego błąd sterownika TAP (Code52) na komputerze z systemem Windows 7 podczas ustanawiania tunelu SSL VPN nie powiedzie się przez SecuExtender?