Legacy VPN - konfiguracja udostępniania konfiguracji w urządzeniach z serii USG

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Przegląd

VPN (wirtualna sieć prywatna) zapewnia bezpieczną komunikację między witrynami bez kosztów linii dzierżawionych. Sieci VPN są używane do przesyłania ruchu przez Internet w niezabezpieczonej sieci wykorzystującej komunikację TCP/IP. Zdalny dostęp VPN (client-to-site) umożliwia pracownikom podróżującym lub telepracownikom bezpieczny dostęp do zasobów sieciowych firmy. Istnieje wiele rodzajów protokołów/technologii VPN, które można wykorzystać do ustanowienia bezpiecznego połączenia z siecią firmową, L2TP, PPTP, SSL, OpenVPN itp. Ten przewodnik będzie odnosił się do protokołu IPSec w celu ustanowienia bezpiecznego tunelu VPN między hostami zewnętrznymi (użytkownikami podłączonymi do Internetu poza strukturą sieci firmowej) a routerem ZyWALL. Do ustanowienia połączenia VPN wymagane jest oprogramowanie IPSec innej firmy, ponieważ obecne systemy operacyjne nie mają wbudowanego klienta IPSec.

Scenario

1. Brama VPN (faza 1)
2. Połączenie VPN (faza 2)
3. Udostępnianie konfiguracji
4. Klient ZyWALL VPN
5. Testowanie i rozwiązywanie problemów

Brama VPN (faza 1)

Zaloguj się do strony konfiguracji ZyWALL i przejdź do menu Configuration → VPN → IPSec VPN. W menu IPSec VPN kliknij kartę VPN Gateway , aby dodać fazę 1 konfiguracji tunelu. Kliknij przycisk Add , aby wstawić nową regułę. W lewym górnym rogu okna kliknij przycisk Show Advanced Settings , aby wyświetlić wszystkie opcje w menu.

  • Zaznacz pole, aby włączyć regułę VPN i podaj jej nazwę
  • Wybierz interfejs WAN, którego chcesz użyć do połączenia VPN w polu rozwijanym My Address .
  • Upewnij się, że Peer Gateway Address jest ustawiony na "Dynamic Address".
  • Wprowadź/utwórz uwierzytelnianie VPN "Pre-Shared Key".
  • Pod Phase 1 Settings, ustaw rozwijane menu Negotiation Mode na tryb "Main".
  • Ustaw propozycję "Szyfrowanie" i "Uwierzytelnianie", której chcesz użyć (opcje szyfrowania to DES, 3DES, AES128, AES192, AES256) (opcje uwierzytelniania to MD5, SHA1, SHA256, SHA512).
  • Wybierz grupę kluczy Diffie-Hellman (dostępne opcje to DH1, DH2, DH5).

    CautionUwaga: Symbol ostrzeżenia po prawej stronie pojawi się w obszarach, w których wymagane jest wprowadzenie danych lub wystąpił błąd we wpisie, taki jak nielegalne/nieobsługiwane znaki.
    Picture1.png

Połączenie VPN (Faza 2)

Po utworzeniu reguły bramy VPN (faza 1) kliknij kartę VPN Connection , aby wstawić regułę fazy 2 dla tunelu VPN. Kliknij przycisk Add , aby wstawić regułę. W lewym górnym rogu okna kliknij przycisk Pokaż ustawienia zaawansowane , aby wyświetlić wszystkie opcje w menu.

  • Zaznacz pole, aby włączyć regułę i nadaj jej nazwę
  • Ustaw scenariusz aplikacji VPN Gateway na "Dostęp zdalny (rola serwera)".
  • W scenariuszu aplikacji ustaw rozwijane menu VPN Gateway, aby używało zasad fazy 1 utworzonych w poprzednim kroku. (RoadWarrior dla tego przykładu)
  • Przewiń w dół do opcji Policy i ustaw Local Policy, aby używać obiektu adresu "LAN1_SUBNET". Zapewni to użytkownikowi VPN dostęp do wszystkich urządzeń podłączonych do sieci LAN1.
  • Aktywny protokół pod Phase 2 Setting powinien być ustawiony na "ESP".
  • Encapsulation (enkapsulacja) to "Tunnel" (tunel)
  • Ustaw propozycję "Szyfrowanie" i "Uwierzytelnianie", której chcesz użyć (opcje szyfrowania to DES, 3DES, AES128, AES192, AES256) (opcje uwierzytelniania to MD5, SHA1, SHA256, SHA512).
  • Perfect Forward Secrecy (PFS) to dodatkowy poziom szyfrowania. Jego włączenie nie jest konieczne, ale jeśli chcesz użyć dodatkowego poziomu szyfrowania, dostępne opcje to Brak, DH1, DH2 i/lub DH5.
  • W sekcji Powiązane ustawienia, upewnij się, że Strefa jest ustawiona na "IPSec_VPN".

    Picture2.png

Teraz, gdy Faza 1 i Faza 2 reguły VPN zostały zakończone, usuń zaznaczenie pola wyboru "Użyj trasy zasad do kontrolowania dynamicznych reguł IPSec". Odznaczenie tej opcji umożliwi ZyWALL automatyczne tworzenie tras dla podłączonych użytkowników VPN.
Picture3.png

Udostępnianie konfiguracji

Niektóre klienty VPN, takie jak "ZyWALL IPSec VPN Client" i "TheGreenBow VPN Client", mają opcję udostępniania, która pozwala im pobierać ustawienia skonfigurowanej reguły VPN zamiast konieczności ręcznej konfiguracji klienta. Aby skonfigurować provisioning VPN dla dynamicznej reguły VPN RoadWarrior, po prostu utworzyliśmy zakładkę Configuration Provisioning w menu IPSec VPN(Configuration → VPN → IPSec VPN).

Przed skonfigurowaniem provisioningu musimy utworzyć konto użytkownika, aby umożliwić pobranie ustawień. Przejdź do Configuration → Object → User/Group i kliknij przycisk Add , aby wstawić konto na poziomie "User". Konta administracyjne nie mogą korzystać z opcji pobierania konfiguracji.
Picture4.png

Po utworzeniu konta użytkownika przejdź do Configuration → VPN → IPSec VPN i kliknij kartę Configuration Provisioning , aby wstawić regułę zezwalającą na pobieranie ustawień klienta VPN RoadWarrior VPN.

  • Włącz menu VPN Configuration Provisioning (Udostępnianie konfiguracji VPN)
  • Kliknij przycisk Add , aby utworzyć regułę zezwalającą na udostępnianie "RoadWarrior_Connection" VPN Connection dla "VPN-user" Allowed User. Upewnij się, że reguła jest włączona i kliknij Apply , aby zapisać ustawienia.
    Picture5.png

Klient ZyWALL VPN

Aby pobrać ustawienia udostępniania konfiguracji VPN skonfigurowane na routerze, otwórz oprogramowanie klienckie, kliknij menu Configuration i wybierz opcję "Get from Server".
Picture6.png

Wpisz publiczny adres IP, nazwę domeny lub nazwę DDNS powiązaną z routerem ZyWALL. Klient pobierze ustawienia za pośrednictwem protokołu SSL. Domyślnie ZyWALL jest zaprogramowany do korzystania z portu 443 dla SSL. Jeśli zmieniłeś port, podaj nowy port SSL. Wpisz nazwę użytkownika i hasło powiązane z konfiguracją udostępniania i kliknij Next.

Picture7.png
Uwaga: Działa to tylko wtedy, gdy zdalne zarządzanie jest włączone na routerze ZyWALL, jeśli zdalne zarządzanie zostało wyłączone, funkcja udostępniania konfiguracji nie będzie w stanie automatycznie pobrać ustawień konfiguracji VPN z routera ZyWALL.

Klient wyśle żądanie pobrania ustawień konfiguracji VPN do routera ZyWALL.
Picture8.png

Po pobraniu konfiguracji można ustanowić tunel VPN między komputerem a routerem ZyWALL. Kliknij prawym przyciskiem myszy część konfiguracji fazy 2 i wybierz "Open Tunnel", aby zainicjować dialer VPN.
Picture9.png

Aby skonfigurować pełne lub podzielone tunelowanie dla ruchu VPN, wystarczy zajrzeć tutaj:

VPN Full/Split Tunneling

Testowanie i rozwiązywanie problemów

Spróbuj nawiązać połączenie VPN z routerem. Po nawiązaniu połączenia; spróbuj pingować lub uzyskać dostęp do dowolnych zasobów z sieci zdalnej.

  1. Jeśli nie można uzyskać ruchu przez tunel VPN:
  • Wyłącz zaporę sieciową na zdalnym hoście, aby upewnić się, że nie blokuje ona żądania.
  • Próba uzyskania dostępu do zasobów przy użyciu nazwy hosta komputera? Spróbuj zamiast tego użyć adresu IP przypisanego do komputera. Używanie nazwy hosta komputera wymaga protokołu rozgłoszeniowego NetBIOS do rozpoznania adresu IP komputera; standard IPSec nie obsługuje rozgłoszeń. Ponieważ standard IPSec VPN nie obsługuje rozgłaszania, nie możemy zagwarantować, że używanie nazw hostów zamiast adresów IP będzie działać. Obejściem tego ograniczenia standardu IPSec byłoby użycie serwera WINS.
  • Wyłącz zaporę sieciową routera ZyWALL.
  • Upewnić się, że nie występują konflikty adresów IP. Jeśli sieć ZyWALL jest skonfigurowana do korzystania z sieci 192.168.1.0/24, a użytkownik zdalny również korzysta z tego samego schematu IP, ruch nie będzie prawidłowo kierowany przez tunel VPN.
  • Sprawdź bramę sieciową hosta, jeśli lokalny router (nie ZyWALL) nie ma włączonego przejścia VPN lub otwartych niezbędnych portów, VPN może nie działać poprawnie.
  • Skontaktuj się z pomocą techniczną, aby uzyskać dalszą pomoc.
  • Tunel VPN nie nawiązuje połączenia:
  • Upewnij się, że router sieciowy zezwala na porty IPSec (UDP:500 i UDP:4500) lub włącz VPN pass-through, jeśli router obsługuje tę opcję. Możliwe jest obejście routera, aby upewnić się, że to nie on jest przyczyną problemu.
  • Upewnij się, że Twój dostawca usług internetowych nie blokuje portów VPN; niektórzy dostawcy blokują porty VPN po swojej stronie.
  • Sprawdź, czy zapora komputera zezwala na komunikację z klientem VPN.
  • Zaktualizuj sterowniki kart NIC (Ethernet i/lub Wi-Fi).
  • Sprawdź ustawienia VPN w ZyWALL i upewnij się, że są one zgodne z konfiguracją klienta oprogramowania.
  • Skontaktuj się z pomocą techniczną w celu uzyskania dalszej pomocy.

Wideo:

+++ Możesz kupić licencje dla swoich klientów Zyxel VPN (SSL VPN, IPsec) z natychmiastową dostawą jednym kliknięciem: Zyxel Webstore +++

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 3 z 7
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.