Acest articol vă va arăta cum să configurați IKEv2 IPsec VPN cu certificat folosind SecuExtender atât pe Windows, cât și pe MacOS. Acesta vă va arăta cum să configurați VPN-ul pe firewall (USG FLEX / ATP / VPN Series în modul stand-alone / on-premise), precum și cum să scăpați de eroarea TGBErrorCodeMgrNotCreated.description pe MacOS.

Notă: Pentru IOS 17 se utilizează un grup de chei: DH19 trebuie să fie utilizat

Video:

Tabelul de conținut

A) Configurați IKEv2 pe firewall

B) Configurați clientul SecuExtender

C) Configurarea pe MacOS

A) Configurați IKEv2 pe firewall

1. Conectați-vă la unitate prin introducerea adresei IP a acesteia și a credențialelor pentru un cont de administrator (în mod implicit, numele de utilizator este "admin" și parola este "1234")
   
   
2. Navigați la Configuration > Object > Address/Geo IP (Configurație > Obiect > Adresă/Geo IP), faceți clic pe "Add" (Adăugare) pentru a crea un obiect de tip "Address Type" (Tip adresă) "Range" (Interval). Numiți-l "IKEv2_Pool" și introduceți un interval IP care nu se suprapune cu subrețelele dvs.
   .
   
   
3. Creați un alt obiect IP Address (Adresă IP) pentru a permite ulterior clienților IKEv2 accesul la internet prin tunelul VPN. Alegeți tipul "Range", denumiți-l "All_Traffic", de exemplu, introduceți "0.0.0.0.0" pentru "Starting IP Address" și "255.255.255.255.255" pentru "End IP Address".
   
   
   
4. Navigați la Configuration > Object > User/Group (Configurație > Obiect > Utilizator/Grup) și faceți clic pe "Add" (Adăugare) pentru a crea noi utilizatori.
   
   
   
5. Faceți clic pe fila "Group" (Grup) și faceți clic pe "Add" (Adăugare) pentru a crea un grup "IKEv2_Users" (Utilizatori IKEv2) și adăugați utilizatorii necesari marcându-i și făcând clic pe săgeata îndreptată spre dreapta.
   
   
   
6. Navigați la Configuration > Object > Certificate, faceți clic pe "Add", alegeți "Host Domain Name", introduceți numele domeniului sau DynDNS, derulați până la "Extended Key Usage" și bifați cele trei căsuțe de selectare "Server Authentication", "Client Authentication" și "IKE Intermediate" și faceți clic pe "OK".
   
   
   
7. Faceți dublu clic pe acest certificat și derulați în jos pentru a utiliza "Export Certificate Only".
   
   
   
8. Navigați la Configuration > Network > VPN > IPSec VPN și faceți clic pe "Add" (Adăugare), faceți clic pe "Show Advanced Settings" (Afișare setări avansate), bifați "Enable" (Activare), alegeți "IKEv2" (IKEv2), alegeți "Dynamic Address" (Adresă dinamică) la "Peer Gateway Address" (Adresă gateway peer), bifați "Certificate" (Certificat) la "Authentication" (Autentificare) și alegeți certificatul creat anterior.
   
   
   
   
9. Derulați în jos pentru a alege propunerile dorite în "Phase 1 Settings", bifați "Enable Extended Authentication Protocol", alegeți "Server Mode", lăsați "AAA Method" la "default" și alegeți grupul "IKEv2_Users" creat anterior pentru "Allowed Users" înainte de a face clic pe "OK".
   
   
   
10. Acum deschideți fila "VPN Connection" de mai sus, faceți clic pe "Add" (Adăugare), faceți clic pe "Show Advanced Settings" (Afișare setări avansate), bifați "Enable" (Activare), alegeți "Remote Access (rol de server)" pentru "Application Scenario" (Scenariul aplicației), alegeți gateway-ul VPN creat anterior pentru "VPN Gateway" (Gateway VPN), sub "Local Policy" (Politică locală) alegeți obiectul "All_Traffic" (Tot_Trafic) din intervalul IP creat anterior.
    
    
11. Bifați "Enable Configuration Payload", alegeți obiectul "IKEv2_Pool" ca "IP Address Pool" (The DNS Servers are optional), alegeți propunerile dorite pentru conexiunea VPN și, în final, faceți clic pe "OK" pentru a finaliza configurarea conexiunii VPN.
    
    
    
    
12. Acum, navigați la Configuration > Object > Network > Routing, faceți clic pe "Add" (Adăugare), bifați "Enable" (Activare), alegeți "Tunnel" (Tunel) pentru "Incoming" (Intrare), alegeți conexiunea IPSec creată anterior pentru "Please select one member" (Selectați un membru), alegeți "IKEv2_Pool" pentru "Source Address" (Adresă sursă) și, în cele din urmă, alegeți interfața WAN sau WAN Trunk (Tronson WAN) ca "Next Hop" (Următorul salt) înainte de a face clic pe "OK".
    

B) Configurați clientul SecuExtender

1. Deschideți clientul IPSec, faceți clic dreapta pe folderul "IKE V2" din partea stângă pentru a adăuga un nou "Ikev2Gateway", introduceți numele de domeniu pe care l-ați introdus și în certificatul de pe USG pentru "Remote Gateway" și alegeți propunerile corespunzătoare în "Cryptography".
   
2. Faceți clic dreapta pe "VPN Gateway" în partea stângă pentru a adăuga conexiunea VPN, alegeți "Address type" (Tip adresă) "Subnet Address" (Adresă subrețea), introduceți adresa de subrețea și masca de subrețea a subrețelei locale de pe site-ul USG, la care ar trebui să aibă acces clienții și alegeți propunerile corespunzătoare pentru conexiunea VPN.
   
   
   
3. În cazul în care "Child SA Life Lifetime" (Durata de viață a SA pentru copii) nu se potrivește cu cea configurată pe USG, vă rugăm să o ajustați înainte de a deschide în cele din urmă tunelul, efectuând din nou un clic dreapta pe VPN Connection (Conexiune VPN) în partea stângă.

C) Nu se poate importa fișierul .tgb pe MacOS

Dacă primiți această eroare de fișier TGB "TGBErrorCodeMgrNotCreated.description", pe MacOS, aceasta este legată de setările de confidențialitate din MacOS. Trebuie să permiteți ca SecuExtender să fie de încredere în sistemul dvs. de operare.

Navigați la Setări -> Confidențialitate și securitate -> Securitate și selectați "App Store și dezvoltatori identificați". Apoi, ar trebui să apară "SecuExtender VPN Client" și trebuie să apăsați "Allow":

Acum puteți importa cu succes fișierul .tgb în SecuExtender Client pe MacOS pentru a obține configurația.

+++ Puteți cumpăra licențe pentru clienții VPN Zyxel (SSL VPN, IPsec) cu livrare imediată prin 1 clic: Zyxel Webstore +++