[VPN] Zyxel USG FLEX/ATP VPN [Szybka konfiguracja] - Konfiguracja IKEv2 IPSec VPN za pomocą kreatora z certyfikatem na Android / iPhone iOS / Windows / MacOS

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

W tym przewodniku dowiesz się, jak skonfigurować IKEv2 IPsec VPN za pomocą kreatora konfiguracji (Quick Setup) w serii Zyxel Firewall VPN/USG FLEX/ATP oraz jak połączyć się z nim na Androidzie, iPhonie (iOS), komputerach z systemem Windows i komputerach Mac przy użyciu zarówno Zyxel SecuExtender, jak i natywnego klienta. Omówimy również szczególne kwestie dotyczące konfiguracji VPN na urządzeniach z systemem iOS, urządzeniach mobilnych z wersją 18 i nowszą oraz komputerach PC z oprogramowaniem Sonoma lub nowszym.

Uwaga: Adresy IP na rysunku są tylko przykładowe i nie mają znaczenia dla całego artykułu. W Twoim przypadku mogą one być inne.

Konfiguracja VPN za pomocą Szybkiej konfiguracji

Zaloguj się do interfejsu WEB GUI zapory i przejdź do Quick Setup, a następnie wybierz Remote Access VPN, a następnie IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender)

Użyj tej opcji, jeśli korzystasz z klienta Zyxel SecuExtender IPSec VPN lub systemu operacyjnego komputera obsługującego IPSec VPN z IKEv2 (klient VPN inny niż SecuExtender). Za pomocą klienta Zyxel SecuExtender VPN można utworzyć regułę Full Tunnel lub Split Tunnel VPN. Regułę Full Tunnel VPN można utworzyć tylko za pomocą klienta VPN innego niż SecuExtender.

Skonfiguruj pulę adresów IP dla klienta.

Pula adresów IP użyje wybranej nieużywanej podsieci na urządzeniu, aby uniknąć konfigurowania tej samej podsieci. Pula adresów IP rozpocznie się od 192.168.50.1 Jeśli podsieć 192.168.50.1 istnieje w ustawieniach bramy, pula adresów IP zostanie automatycznie zmieniona.

Dodaj lub utwórz użytkowników, którzy będą mieli dostęp do VPN. Po dodaniu użytkowników kliknij Dalej i przejrzyj wszystkie ustawienia, aby upewnić się, że są prawidłowe. Możesz teraz pobrać automatyczny skrypt, aby skonfigurować VPN lub skonfigurować go ręcznie przy użyciu certyfikatu.

Po pomyślnej konfiguracji VPN można pobrać i zainstalować pliki skryptu na urządzeniach z systemem Windows, MacOS, iOS lub Android, aby automatycznie skonfigurować ustawienia VPN.

Uwaga: Ustawienia VPN dla klientów IPSec VPN innych niż SecuExtender nie obsługują następujących funkcji:

  • Limit przepustowości wysyłania
  • Tunel rozproszony
  • Uwierzytelnianie dwuskładnikowe (Google Authenticator)

Ważne: Użytkownicy systemu iOS 18 lub nowszego oraz Mac OS 14 Sonoma nie mogą korzystać ze skryptu i muszą skonfigurować go ręcznie. W tym artykule, w sekcji ustawień dla iPhone'a i MacOS, znajdziesz bardziej szczegółowy opis niezbędnych kroków.

Należy pamiętać: Aby zminimalizować błędy konfiguracji i inne potencjalne problemy, zalecamy użycie skryptu do instalacji. Można jednak również ręcznie zainstalować i skonfigurować certyfikat bezpośrednio na urządzeniu końcowym. Szczegółowe instrukcje dotyczące ręcznej instalacji certyfikatu i konfiguracji VPN można znaleźć w sekcji "Ręczna konfiguracja certyfikatu".

Korzystanie ze skryptu VPN w systemie Windows

Zapisz archiwum ze skryptem na komputerze, rozpakuj folder, a następnie uruchom skrypt z uprawnieniami administratora (jest to plik z rozszerzeniem bat).

Po pomyślnej instalacji przejdź do ustawień VPN na swoim komputerze. Znajdziesz tam utworzone połączenie VPN. Kliknij przycisk Połącz. Następnie wprowadź nazwę użytkownika i hasło.

Korzystanie ze skryptu VPN na Androidzie

Użytkownicy Androida powinni zainstalować StrongSwan i postępować zgodnie z tym artykułem:

Korzystanie ze skryptu VPN na iPhonie

Ważne: Użytkownicy iOS 18 lub nowszego i Mac OS 14 Sonoma nie mogą korzystać ze skryptu i muszą skonfigurować go ręcznie. Wynika to ze zwiększonych wymagań bezpieczeństwa Apple dotyczących szyfrowania IKEv2 VPN. Aby rozwiązać ten problem, należy wprowadzić zmiany Grupy kluczy i Propozycji w Ustawieniach fazy 1 i Ustawieniach fazy 2 wcześniej utworzonego połączenia VPN za pomocą Szybkiej konfiguracji (Wizzard).

Aby kontynuować, wróć do internetowego interfejsu GUI zapory. Z menu po lewej stronie wybierz "Konfiguracja", a następnie przejdź do "VPN". Otwórz ustawienia konfiguracji odpowiedniego połączenia VPN i dodaj propozycję z następującymi ustawieniami w Ustawieniu fazy 2 :

Propozycja

  • Szyfrowanie: AES256
  • Uwierzytelnianie: SHA256.

Następnie przechodzimy do zakładki "VPN Gateway", gdzie musimy zaktualizować ustawienia fazy 1 w następujący sposób:

Propozycja

  • Szyfrowanie: AES256
  • Uwierzytelnianie: SHA256

Grupa kluczy: DH2 DH14 DH19

Po wprowadzeniu zmian nie zapomnij ich zastosować, klikając przycisk "Zastosuj"

Następnym krokiem jest pobranie certyfikatu dla naszego połączenia VPN i zainstalowanie go na urządzeniu.

Jak pobrać certyfikat

Przejdź do Konfiguracja -> Obiekt -> Certyfikat, wybierz certyfikat VPN i naciśnij "Pobierz", aby pobrać certyfikat.

Teraz możesz zdecydować się na wyeksportowanie certyfikatu z hasłem, aby go zabezpieczyć i upewnić się, że nie dostanie się w niepowołane ręce, lub pozostawić to pole puste, aby wyeksportować certyfikat bez hasła do zainstalowania.

Teraz możesz dołączyć ten certyfikat do wiadomości e-mail wysyłanej do użytkowników, wyjaśniając, jak go zainstalować i połączyć się z VPN.

iPhone iOS 18 i nowsze: Ręczna instalacja certyfikatu i konfiguracja VPN

Przejdźmy teraz do ustawień na samym iPhonie. Pobierz certyfikat wysłany na przykład pocztą na iPhone'a.

Uwaga: Zmiany te nie mają wpływu na istniejące połączenia VPN, niezależnie od tego, w jaki sposób zostały utworzone - przez "Szybką konfigurację" lub ręcznie.

Wyślij certyfikat na przykład pocztą. Na telefonie iPhone otwórz wiadomość e-mail zawierającą certyfikat i wykonaj ją.

Po wypełnieniu certyfikatu w ustawieniach urządzenia pojawi się nowy profil. Aby go znaleźć, przejdź do ustawień telefonu Iphone

Kliknij na "Pobrany profil": Kliknij "Zainstaluj": Kliknij "Zainstaluj":
Teraz masz zweryfikowany certyfikat: Przejdź do Ustawienia -> VPN i urządzenie Kliknij "Dodaj VPN"
Wprowadź adres IP WAN firewalla w polach "Server" i "Remote ID", a także nazwę użytkownika i hasło. Nawiąż połączenie i poczekaj, aż status zmieni się na "Połączono", co zwykle zajmuje kilka sekund.

Windows 10 i nowsze: Ręczna instalacja certyfikatu i konfiguracja VPN

Kliknij dwukrotnie certyfikat lewym przyciskiem myszy i kliknij "Otwórz" w nowo otwartym oknie. Kliknij przycisk "Zainstaluj certyfikat"

Możesz także spróbować kliknąć dwukrotnie na certyfikat, kliknąć "Zainstaluj certyfikat..." i kliknąć "Dalej".

Wybierz, czy certyfikat będzie dostępny dla wszystkich użytkowników komputera, czy tylko dla bieżącego użytkownika. Kliknij "Umieść wszystkie certyfikaty w następującym magazynie" i wybierz "Zaufane główne urzędy certyfikacji".
Prawie tam, naciśnij "Zakończ" Następnie przyjmujemy ostrzeżenie i gotowe!

Teraz skonfigurujmy sam profil VPN. Aby to zrobić na komputerze, przejdź do sekcji VPN.

Skorzystaj z wyszukiwarki Windows i wyszukaj VPN, a następnie wybierz "Ustawienia VPN" z paska wyszukiwania Windows: W nowo otwartym oknie kliknij "Dodaj połączenie VPN".

MAC OS 14 Sonoma i nowsze: Ręczna instalacja certyfikatu i konfiguracja VPN

Kliknij dwukrotnie na certyfikat i wybierz "keychain" "system". Kliknij symbol WiFi i "Ustawienia sieci". Następnie kliknij znak "+" poniżej połączeń WiFi.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Kliknij symbol WiFi i "Ustawienia sieciowe". Następnie kliknij znak "+" pod połączeniami Wi-Fi i Utwórz IKEv2 VPN, jak pokazano poniżej.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Wpisz adres IP / FQDN, zdalny identyfikator, a następnie kliknij ustawienia uwierzytelniania poniżej. Wybierz nazwę użytkownika i wprowadź nazwę użytkownika oraz hasło.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender dostosowuje zasadę Zero Trust, aby pomóc IT w weryfikacji tożsamości użytkowników, egzekwując kontrolę dostępu w celu zwiększenia bezpieczeństwa. Do korzystania z SecuExtender wymagana jest licencja . Możesz jednak pobrać go za darmo i przetestować bezpłatną wersję próbną, klikając tutaj: SecuExtender VPN Client

W tym artykule przyjrzymy się konfiguracji Zyxel SecuExtender na przykładzie klienta Windows. Jednak procedura macOS jest identyczna, z wyjątkiem niewielkiej różnicy w wyglądzie aplikacji.

Otwórz aplikację i kliknij "Konfiguracja" w lewym górnym rogu. W rozwijanym menu znajdziesz 2 opcje "Pobierz z serwera" i "Kreator".

Obie opcje są bardzo proste. Wybierając "Pobierz z serwera", musisz znać nazwę lub adres oraz nazwę użytkownika i hasło użytkownika VPN. W przypadku Kreatora można wprowadzić dodatkowe zmiany podczas konfiguracji.

Pobieranie profilu VPN powiodło się. Teraz przejdź do menu głównego, a zobaczysz nowy profil VPN na liście po lewej stronie. Kliknij dwukrotnie lewym przyciskiem myszy i wprowadź swoją nazwę użytkownika i hasło. Gotowe. Połączenie zostało nawiązane!

Należy pamiętać, że "Sprawdzanie certyfikatu" powinno być wyłączone, jeśli używasz domyślnego i samopodpisanego CA.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 8 z 22
Udostępnij