Ważna informacja: |
W tym artykule pokazano, jak skonfigurować L2TP przez IPSec w trybie autonomicznym dla USG FLEX / ATP / VPN Series i jak skonfigurować kreatora, pobrać konfigurację, skonfigurować L2TP ręcznie za pomocą bramy VPN i menu połączenia, na co zezwolić w regułach zapory, jak włączyć dostęp do Internetu dla L2TP (bez Internetu), przywrócić domyślną konfigurację, skonfigurować użytkowników VPN, ustanowić VPN z sieci LAN, używając zewnętrznych serwerów do uwierzytelniania użytkowników, rozwiązywać problemy za pomocą dzienników, skonfigurować MS-CHAPv2.
Spis treści
1. Konfiguracja L2TP VPN przy użyciu wbudowanego kreatora
1.2 Wybierz scenariusz klienta L2TP over IPSec
1.3 Skonfiguruj konfigurację VPN
1.4 Konfiguracja uwierzytelniania użytkownika
1.5 Zapisz konfigurację i pobierz konfigurację L2TP
2) Ręczna konfiguracja L2TP/IPSec VPN
2.2 Konfiguracja połączenia VPN
2.3 Konfiguracja ustawień L2TP VPN
2.4 Podsumowanie ustawień L2TP
3) Niezbędne konfiguracje
3.1 Zezwól na porty UDP 4500 i 500
3.2 Włącz dostęp do Internetu przez L2TP za pośrednictwem tras zasad
4. Wskazówki i rozwiązywanie problemów
4.1 Przywracanie domyślnej konfiguracji L2TP VPN
4.2 Konfigurowanie klientów L2TP VPN
4.3 Konfiguracja zaawansowana: Ustanowienie sieci L2TP VPN z sieci LAN:
4.5 L2TP Over IPSec VPN - Wirtualne laboratorium
4.7 Konfiguracja L2TP MS-CHAPv2 na urządzeniach z serii USG/Zywall
Co to jest L2TP przez IPSec VPN?
Zanim rozpoczniemy przewodnik konfiguracji, przedstawmy wprowadzenie do L2TP over IPSec VPN.
L2TP over IPSec łączy Layer 2 Tunneling Protocol (L2TP, który zapewnia połączenie punkt-punkt) z protokołem IPSec. Sam protokół L2TP nie zapewnia żadnego szyfrowania treści, dlatego tunel jest zwykle budowany w oparciu o protokół szyfrowania warstwy 3 IPsec, w wyniku czego powstaje tak zwany L2TP over IPSec VPN.
W tym podręczniku można zapoznać się ze wszystkimi informacjami potrzebnymi do połączeń L2TP VPN w urządzeniach Zyxel Firewall, badając metody konfiguracji (za pomocą kreatora i ręcznie), konfigurację klienta dla systemów Windows, MAC i Linux; a także bardziej zaawansowane konfiguracje uwierzytelniania, różne topologie i rozwiązywanie problemów na urządzeniach Firewall i urządzeniach klienckich. Zdefiniowano również dostęp do wirtualnego laboratorium, w którym można przejrzeć naszą konfigurację, która może być również używana podczas konfigurowania zdalnej sieci VPN w urządzeniu.
1. Skonfiguruj L2TP VPN za pomocą wbudowanego kreatora
1.1 Przejdź do kreatora
a. Otwórzzakładkę Quick Setup i w wyskakującym oknie wybierz Remote Access VPN Setup:
1.2 Wybierz scenariusz klienta L2TP over IPSec.
1.3 Konfiguracja konfiguracji VPN
Wprowadź preferowanyklucz Pre-Shared Key i wybierz odpowiedniinterfejs WAN.
1.4 Konfiguracja uwierzytelniania użytkownika
1.5 Zapisz konfigurację i pobierz konfigurację L2TP
2) Ręczna konfiguracja L2TP/IPSec VPN
Poniżej opisano kroki potrzebne do ręcznego skonfigurowania L2TP over IPSec VPN. Topologia i aplikacja są takie same jak w przypadku korzystania z kreatora, jedyną różnicą są kroki konfiguracji.
2.1 Konfiguracja bramy VPN
Przejdź do następującej ścieżki i utwórz nową bramę VPN:
dyn_repppp_1Naciśnij przycisk "Pokaż ustawienia zaawansowane". Wprowadź nazwę bramy, wybierz interfejs WAN i dodaj klucz współdzielony:
Ustaw Tryb negocjacji na Główny i dodaj następujące (wspólne) propozycje i potwierdź klikając OK:
2.2 Konfiguracja połączenia VPN
Przejdź do następującej ścieżki i utwórz nowe połączenie VPN:
dyn_repppp_2Naciśnij "Pokaż ustawienia zaawansowane". Wprowadź nazwę połączenia, ustaw Scenariusz aplikacji na Dostęp zdalny (Rola serwera) i wybierz utworzoną wcześniej bramę VPN:
Dla polityki lokalnej utwórz nowy obiekt adresu IPv4 (za pomocą przycisku"Utwórz nowy obiekt") dla rzeczywistego adresu IP sieci WAN , a następnie ustaw go na połączenie VPN jako politykę lokalną:
Ustaw Encapsulation na Transport i dodaj następujące propozycje i potwierdź klikając OK:
2.3 Konfiguracja ustawień L2TP VPN
Teraz, gdy ustawienia IPSec są gotowe, należy skonfigurować ustawienia L2TP. Przejdź do następującej ścieżki:
dyn_repppp_3W razie potrzeby utwórz nowych użytkowników lokalnych, którzy będą mogli łączyć się z VPN:
Utwórz pulę adresów IP L2TP z zakresem adresów IP, które powinny być używane przez klientów podczas połączenia z siecią VPN L2TP/IPSec.
Uwaga: Nie powinno to kolidować z żadnymi podsieciami WAN, LAN, DMZ lub WLAN, nawet jeśli nie są one używane.
2.4 Podsumowanie ustawień L2TP
Skonfigurujmy teraz ustawienia L2TP:
- Ustaw połączenie VPN utworzone w 2.2 Konfigurowanie połączenia VPN
- Pula adresów IP umożliwia ustawienie obiektu zakresu adresów IP L2TP.
- Metoda uwierzytelniania może być ustawiona jako domyślna dla lokalnego uwierzytelniania użytkownika.
- Dozwoleni użytkownicy można ustawić dla użytkownika. Jeśli potrzebnych jest wielu użytkowników, można utworzyć grupę użytkowników na stronie Obiekt.
- Serwer(y) DNS i WINS można wybrać jako samo urządzenie Firewall (Zywall) lub niestandardowy adres IP serwera.
- W przypadku, gdy wymagany jest dostęp do Internetu przez urządzenie Firewall podczas połączenia z L2TP/IPSec VPN, upewnij się, że opcja "Allow Traffic Through WAN Zone" jest włączona.
- Kliknij "Zastosuj", aby zapisać ustawienia. W ten sposób sieć L2TP/IPSec VPN jest już gotowa.
3) Niezbędne konfiguracje
3.1 Zezwalaj na porty UDP 4500 i 500
Upewnij się, że reguły firewalla zezwalają na dostęp do portów UDP 4500 i 500 z sieci WAN do Zywall, a domyślna strefa IPSec_VPN ma dostęp do zasobów sieciowych. Można to zweryfikować w:
dyn_repppp_4
3.2 Włączanie dostępu do Internetu przez L2TP za pomocą tras zasad
Jeśli część ruchu z klientów L2TP musi przejść do Internetu, utwórz trasę zasad, aby wysyłać ruch z tuneli L2TP przez łącze WAN.
Ustaw Przychodzące na Tunel i wybierz połączenie L2TP VPN. Ustaw Adres źródłowy jako pulę adresów L2TP. Ustaw Next-Hop Type na Trunk i wybierz odpowiednie łącze WAN.
Więcej szczegółów na temat tego kroku można znaleźć w artykule:
Jak pozwolić klientom L2TP surfować przez USG
4. Wskazówki i rozwiązywanie problemów
4.1 Przywracanie domyślnej konfiguracji L2TP VPN
W niektórych przypadkach może być konieczne przywrócenie ustawień L2TP VPN na stronie:
dyn_repppp_6W razie potrzeby skorzystaj z poniższego artykułu, w którym opisano metody przywracania ustawień domyślnych.
ZyWALL USG: Przywróć domyślną konfigurację VPN-L2TP
4.2 Konfigurowanie klientów L2TP VPN
L2TP over IPSec jest bardzo popularny i powszechnie obsługiwany przez wiele platform urządzeń końcowych z własnymi wbudowanymi klientami.
Oto niektóre z najpopularniejszych i jak je skonfigurować:
4.3 Konfiguracja zaawansowana: Ustanowienie L2TP VPN z sieci LAN:
VPN to popularna funkcja szyfrowania pakietów podczas przesyłania danych.
W obecnym projekcie ZyWALL/USG/ATP, gdy interfejs VPN jest oparty na interfejsie WAN1, żądanie VPN musi pochodzić z interfejsu WAN1 (interfejs ograniczony), w przeciwnym razie żądanie zostanie odrzucone. (np. połączenie VPN pochodzi z LAN1)
Jednak w niektórych scenariuszach użytkownicy mogą potrzebować ustanowić tunel VPN nie tylko z sieci WAN, ale także z sieci LAN.
Ten scenariusz jest również obsługiwany przez ZyWALL/USG/ATP. Użytkownicy mogą postępować zgodnie z poniższą procedurą operacyjną, aby wyłączyć ograniczenie interfejsu VPN, aby połączenie VPN mogło pochodzić zarówno z sieci WAN, jak i LAN.
Topologia:
USG Wersja oprogramowania sprzętowego:
4.32 lub wyższa
Konfiguracja USG:
Aby włączyć L2TP z sieci LAN, należy uzyskać dostęp do urządzenia za pomocą połączenia terminalowego (szeregowego, Telnet, SSH) i wprowadzić następujące polecenia:
Router> configure terminalter
Rou
(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot urządzenia.
4.4 Konfiguracja zaawansowana: Używanie zewnętrznych serwerów do uwierzytelniania użytkowników łączących się z L2TP VPN
W tej sekcji opisano sposób konfigurowania protokołu L2TP przez IPSec z MS-CHAPv2 w urządzeniach z serii USG/Zywall. W przypadku zaawansowanych wdrożeń uwierzytelnianie użytkowników za pomocą serwerów Active Directory (AD) można zaimplementować w uwierzytelnianiu L2TP/IPSec VPN.
Scenariusz:
Domena AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Przejdź do Configuration>Object>AA Server. Włącz uwierzytelnianie domeny dla MSCHAP
Poświadczenia są zwykle takie same jak administratora AD.
2. Przejdź doSystem>Host Name,wpisz domenę ADw Domain Name
Ten przepływ powoduje, że USG dołącza do domeny AD. Tunel zostanie pomyślnie ustanowiony tylko wtedy, gdy ta część zadziała.
3. Sprawdź, czy USG dołączył do domeny. Przejdź do Użytkownicy i komputery usługi Active Directory>Komputery
W tym przypadku można znaleźć usg110 dołączył do domeny. Można również sprawdzić szczegółowe informacje na karcie Właściwości>Obiekt, klikając prawym przyciskiem myszy.
4. Edytuj strefę domeny, Umieść nazwę domeny w System> DNS >Domain Zone Forwarder.
Czasami może się to zdarzyć podczas wybierania tunelu, dlatego należy skonfigurować następujące ustawienie: Query interface to miejsce, w którym znajduje się serwer AD.
5. Sprawdź ustawienia połączenia w systemie Windows.
Upewnij się, że włączyłeś (MS-CHAP v2) i wprowadziłeś klucz wstępny w ustawieniach zaawansowanych.
6. Sprawdź dane logowania na stronie Monitor>, użytkownik AD powinien znajdować się na liście bieżących użytkowników po pomyślnym nawiązaniu połączenia z tunelem.
Typ użytkownika to L2TP, a informacje o użytkowniku to użytkownik zewnętrzny.
Aby uzyskać więcej informacji, w poniższym artykule wyszczególniono obsługiwane uwierzytelnianie, które są obsługiwane przez nasze zapory sieciowe z L2TP/IPSec VPN:
ZyWALL USG - Obsługiwane uwierzytelnianie przez L2TP
4.5 L2TPOver IPSec VPN - wirtualne laboratorium
Zapraszamy do zapoznania się z naszym wirtualnym laboratorium do konfiguracji L2TP VPN na naszych urządzeniach Firewall. Dzięki temu wirtualnemu laboratorium możesz przyjrzeć się prawidłowej konfiguracji w celu porównania podczas konfigurowania swojego środowiska:
Wirtualne laboratorium - End-to-Site VPN (L2TP)
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.