VPN – Konfiguracja VPN L2TP przez IPSec w trybie Stand-alone z PSK

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ten artykuł pokazuje, jak skonfigurować L2TP przez IPSec w trybie Standalone dla serii USG FLEX / ATP / VPN oraz jak skonfigurować kreatora, pobrać konfigurację, ręcznie skonfigurować L2TP za pomocą menu bramy VPN i połączenia, co zezwolić w regułach zapory, jak włączyć dostęp do internetu dla L2TP (brak internetu), przywrócić domyślną konfigurację, ustawić użytkowników VPN, nawiązać VPN z sieci LAN, używać zewnętrznych serwerów do uwierzytelniania użytkowników, rozwiązywać problemy za pomocą logów oraz skonfigurować MS-CHAPv2.

Czym jest VPN L2TP przez IPSec?

Zanim zaczniemy przewodnik konfiguracyjny, wprowadźmy pojęcie VPN L2TP przez IPSec.

L2TP przez IPSec łączy protokół tunelowania warstwy 2 (L2TP, który zapewnia połączenie punkt-punkt) z protokołem IPSec. Sam L2TP nie zapewnia szyfrowania zawartości, dlatego tunel jest zwykle budowany na protokole szyfrującym warstwy 3 – IPSec, co daje tzw. VPN L2TP przez IPSec.

W tym podręczniku znajdziesz wszystkie informacje potrzebne do połączeń VPN L2TP w urządzeniach Zyxel Firewall, poznasz metody konfiguracji (za pomocą kreatora i ręcznie), konfigurację klienta dla Windows, MAC i Linux oraz bardziej zaawansowane ustawienia dotyczące uwierzytelniania, różnych topologii i rozwiązywania problemów na urządzeniach Firewall i klientach. Dostępny jest także wirtualny lab, gdzie można przejrzeć naszą konfigurację, którą można wykorzystać podczas ustawiania zdalnego VPN na swoim urządzeniu.

Konfiguracja VPN L2TP za pomocą wbudowanego kreatora

Przejdź do kreatora

a. Otwórz Zakładkę Szybkiej konfiguracji i w okienku podręcznym wybierz Konfiguracja VPN zdalnego dostępu:

mceclip0.png

Wybierz scenariusz klienta L2TP przez IPSec

mceclip1.png

Konfiguracja VPN

Wprowadź preferowany klucz wstępnie współdzielony (Pre-Shared Key) i wybierz odpowiedni interfejs WAN.

Możesz także zdecydować, czy ruch z urządzenia klienta do internetu jest dozwolony (reguły zapory i trasy) przez urządzenie Firewall, jeśli klient nie ma ustawionego split tunneling.
VPN Configuration
Zdefiniuj pulę adresów dla użytkowników L2TP połączonych z VPN. Możesz również wybrać predefiniowany zakres 192.168.51.1-250.
Uwaga: Nie powinien nakładać się z żadną istniejącą siecią na Twoim urządzeniu.
Dla DNS wybierz ZyWALL lub wpisz serwer ręcznie.
 DNS

Konfiguracja uwierzytelniania użytkowników

Wybierz istniejący obiekt użytkownika, aby dodać go do listy członków L2TP lub utwórz nowego użytkownika za pomocą przycisku "Dodaj nowego użytkownika".
Configure User Authentication

Zapisz konfigurację i pobierz konfigurację L2TP

Po kliknięciu zapisz, tunel L2TP jest gotowy do użycia.
Download L2TP
g. Upewnij się, że reguły zapory zezwalają na dostęp do portów UDP 4500 i 500 z WAN do Zywall oraz że domyślna strefa IPSec_VPN ma dostęp do zasobów sieciowych. Można to zweryfikować w:
Konfiguracja > Polityka bezpieczeństwa > Kontrola polityki

Ręczna konfiguracja VPN L2TP/IPSec

Poniżej opisano kroki potrzebne do ręcznej konfiguracji VPN L2TP przez IPSec. Topologia i zastosowanie są takie same jak przy użyciu kreatora, różnią się jedynie kroki konfiguracji.

Konfiguracja bramy VPN

Przejdź do następującej ścieżki i utwórz nową bramę VPN:

Konfiguracja > VPN > IPSEC VPN > Brama VPN

Naciśnij "Pokaż ustawienia zaawansowane". Wprowadź nazwę bramy, wybierz interfejs WAN i dodaj klucz wstępnie współdzielony:

Configure VPN Gateway

Ustaw tryb negocjacji na Main i dodaj następujące (typowe) propozycje, potwierdź klikając OK:

Negotiation Mode to Main

Konfiguracja połączenia VPN

Przejdź do następującej ścieżki i utwórz nowe połączenie VPN:

 Konfiguracja > VPN > IPSec VPN > Połączenie VPN

Naciśnij "Pokaż ustawienia zaawansowane". Wprowadź nazwę połączenia, ustaw scenariusz aplikacji na Zdalny dostęp (rola serwera) i wybierz wcześniej utworzoną bramę VPN:

Advanced Settings

Dla Polityki lokalnej utwórz nowy obiekt adresu IPv4 (przycisk "Utwórz nowy obiekt") dla swojego rzeczywistego IP WAN i ustaw go w połączeniu VPN jako Politykę lokalną:

Local Policy

VPN

Ustaw enkapsulację na Transport i dodaj następujące propozycje, potwierdź klikając OK:

Transport

Konfiguracja ustawień VPN L2TP

Po skonfigurowaniu ustawień IPSec, należy ustawić ustawienia L2TP. Przejdź do następującej ścieżki:

Konfiguracja -> VPN -> Ustawienia VPN L2TP

Jeśli potrzeba, utwórz nowego lokalnego użytkownika(ów), którzy będą mogli łączyć się z VPN:
L2TP VPN Settings

L2TP VPN Settings

Utwórz pulę adresów IP L2TP z zakresem adresów IP, które będą używane przez klientów podczas połączenia z VPN L2TP/IPSec.

Uwaga: Nie powinno to kolidować z żadnymi podsieciami WAN, LAN, DMZ lub WLAN, nawet jeśli nie są używane.

WAN, LAN, DMZ or WLAN Subnets

WAN, LAN, DMZ or WLAN Subnets

Podsumowanie ustawień L2TP

Ustaw teraz parametry L2TP:

  • Wybierz połączenie VPN utworzone w 2.2 Konfiguracja połączenia VPN
  • Dla puli adresów IP ustaw obiekt zakresu adresów L2TP
  • Metodę uwierzytelniania ustaw domyślnie na lokalne uwierzytelnianie użytkownika
  • Dozwolonych użytkowników możesz ustawić dla pojedynczego użytkownika. Jeśli potrzebnych jest wielu użytkowników, można utworzyć grupę użytkowników na stronie Obiekty.
  • Serwery DNS i WINS mogą być wybrane jako urządzenie Firewall (Zywall) lub niestandardowy adres IP serwera.
  • Jeśli potrzebny jest dostęp do internetu przez urządzenie Firewall podczas połączenia z VPN L2TP/IPSec, upewnij się, że opcja "Zezwalaj na ruch przez strefę WAN" jest włączona.
  • Kliknij "Zastosuj", aby zapisać ustawienia. W ten sposób VPN L2TP/IPSec jest gotowy.

L2TP settings

Konfiguracje niezbędne – zezwolenie na porty UDP 4500 i 500

Upewnij się, że reguły zapory zezwalają na dostęp do portów UDP 4500 i 500 z WAN do Zywall oraz że domyślna strefa IPSec_VPN ma dostęp do zasobów sieciowych. Można to zweryfikować w:

Konfiguracja > Polityka bezpieczeństwa > Kontrola polityki

Włącz dostęp do internetu przez L2TP za pomocą tras polityk

Jeśli część ruchu z klientów L2TP musi przechodzić do internetu, utwórz trasę polityki, aby wysłać ruch z tuneli L2TP przez trunk WAN.

Przejdź do następującej ścieżki i dodaj nową trasę polityki:
Konfiguracja > Sieć > Routing > Trasa polityki

Ustaw Przychodzący na Tunel i wybierz swoje połączenie VPN L2TP. Ustaw Adres źródłowy na pulę adresów L2TP. Ustaw Typ następnego skoku na Trunk i wybierz odpowiedni trunk WAN.

2TP via Policy Routes

Wskazówki i rozwiązywanie problemów – przywracanie domyślnej konfiguracji VPN L2TP

W niektórych przypadkach może być potrzebne odświeżenie ustawień VPN L2TP na stronie:

Konfiguracja > VPN > VPN L2TP

Konfiguracja klientów VPN L2TP

L2TP przez IPSec jest bardzo popularny i powszechnie wspierany przez wiele platform urządzeń końcowych z własnymi wbudowanymi klientami.

Oto niektóre z najpopularniejszych i jak je skonfigurować:

Windows/MacOS/Linux:

Zaawansowana konfiguracja: Nawiązywanie VPN L2TP z sieci LAN:

VPN to popularna funkcja szyfrowania pakietów podczas przesyłania danych.

W obecnym projekcie ZyWALL/USG/ATP, gdy interfejs VPN bazuje na interfejsie WAN1, żądanie VPN musi pochodzić z interfejsu WAN1 (ograniczenie interfejsu), w przeciwnym razie żądanie zostanie odrzucone (np. połączenie VPN pochodziło z LAN1).

Jednak w niektórych scenariuszach użytkownicy mogą potrzebować ustanowić tunel VPN nie tylko z WAN, ale także z LAN.

Ten scenariusz jest również wspierany przez ZyWALL/USG/ATP. Użytkownicy mogą wykonać poniższą procedurę, aby wyłączyć ograniczenie interfejsu VPN, tak aby połączenie VPN mogło pochodzić zarówno z WAN, jak i LAN.

Topology:

Wersja firmware USG: 4.32 lub nowsza

Konfiguracja USG:

Aby włączyć L2TP z LAN, musisz uzyskać dostęp do urządzenia przez terminal (Serial, Telnet, SSH) i wprowadzić następujące polecenia:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Uruchom ponownie urządzenie.

Zaawansowana konfiguracja: Używanie zewnętrznych serwerów do uwierzytelniania użytkowników łączących się z VPN L2TP

W tej sekcji opisano, jak skonfigurować L2TP przez IPSec z MS-CHAPv2 na serii USG/Zywall. Dla zaawansowanych implementacji uwierzytelnianie użytkowników za pomocą serwerów Active Directory (AD) może być zastosowane przy uwierzytelnianiu VPN L2TP/IPSec.

Scenariusz:

Domena AD: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Przejdź do Konfiguracja>Obiekt>Serwer AAA. Włącz uwierzytelnianie domenowe dla MSCHAP

Dane uwierzytelniające są zwykle takie same jak administratora AD.

Configuration>Object>AAA Server

2. Przejdź do System>Nazwa hosta, wpisz domenę AD w Nazwa domeny

Ten proces umożliwia dołączenie USG do domeny AD. Tunel zostanie ustanowiony pomyślnie tylko wtedy, gdy ten krok się powiedzie.

System>Host Name

3. Potwierdź, czy USG dołączył do domeny. Przejdź do Active Directory Users and Computers>Komputery

W tym przypadku widać, że usg110 dołączył do domeny. Można także sprawdzić szczegóły w zakładce Właściwości>Obiekt klikając prawym przyciskiem myszy.

Active Directory Users

4. Edytuj strefę domenową, wpisz nazwę domeny w System> DNS > Przekierowanie strefy domenowej.

Czasami podczas łączenia tunelu może wystąpić timeout, dlatego należy skonfigurować poniższe ustawienia, gdzie interfejs zapytań to miejsce, gdzie znajduje się serwer AD.

Domain Zone Forwarder.

5. Sprawdź ustawienia połączenia na swoim Windows.

Upewnij się, że włączono (MS-CHAP v2) i wpisano klucz wstępnie współdzielony w ustawieniach zaawansowanych.

MS-CHAP v2

6. Sprawdź informacje o logowaniu na stronie Monitor>. Użytkownik AD powinien pojawić się na liście aktualnych użytkowników po pomyślnym nawiązaniu tunelu.

Widać, że typ użytkownika to L2TP, a informacje o użytkowniku wskazują na użytkownika zewnętrznego.

L2TP

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 5 z 10
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.