Legacy VPN - Configurați configurarea provizionării configurației pe seria USG

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Aviz important:
Stimate client, vă rugăm să fiți conștienți de faptul că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Prezentare generală

O rețea VPN (rețea privată virtuală) oferă o comunicare securizată între site-uri, fără a suporta cheltuielile legate de liniile închiriate. VPN-urile sunt utilizate pentru a transporta traficul pe internet al unei rețele nesigure care utilizează comunicații TCP/IP. O rețea VPN cu acces la distanță (client-la-sediu) permite angajaților care călătoresc sau telelucrează să aibă acces securizat la resursele rețelei companiei. Există mai multe tipuri de protocoale/tehnologii VPN care pot fi utilizate pentru a stabili o legătură securizată cu rețeaua companiei, L2TP, PPTP, SSL, OpenVPN etc. Acest ghid va face referire la protocolul IPSec pentru a stabili un tunel VPN securizat între gazdele externe (utilizatori conectați la internet în afara structurii rețelei companiei) și routerul ZyWALL. Este necesar un software IPSec terț pentru a stabili conexiunea VPN, deoarece sistemele de operare actuale nu dispun de un client IPSec încorporat.

Scenario

1. Gateway VPN (faza 1)
2. Conexiune VPN (faza 2)
3. Aprovizionarea configurației
4. Clientul ZyWALL VPN
5. Testare și depanare

Gateway VPN (faza 1)

Conectați-vă la pagina de configurare web ZyWALL și accesați meniul Configuration → VPN → IPSec VPN. În meniul IPSec VPN, faceți clic pe VPN Gateway fila pentru a adăuga Faza 1 a configurării tunelului. Faceți clic pe butonul Add (Adăugare ) pentru a introduce o nouă regulă. În stânga sus a ferestrei, faceți clic pe butonul Show Advanced Settings pentru a vizualiza toate opțiunile din meniu.

  • Bifați caseta pentru a activa regula VPN și furnizați un nume
  • Selectați interfața WAN pe care doriți să o utilizați pentru a conecta VPN-ul în câmpul derulant My Address
  • Asigurați-vă că Peer Gateway Address este setat la "Dynamic Address" (Adresă dinamică)
  • Introduceți/creați o "Cheie preîmpărțită" de autentificare VPN
  • Sub Phase 1 Settings, setați în câmpul derulant Negotiation Mode (Mod de negociere) să utilizați modul "Main" (Principal)
  • Setați propunerea de "Encryption" și "Authentication" pe care doriți să o utilizați (opțiunile de criptare sunt DES, 3DES, AES128, AES192, AES256) (opțiunile de autentificare sunt MD5, SHA1, SHA256, SHA512)
  • Selectați grupul de chei Diffie-Hellman (opțiunile sunt DH1, DH2, DH5).

    CautionNotă: Simbolul de avertizare din dreapta va apărea în zonele în care este necesară introducerea de date sau o greșeală la introducere, cum ar fi caractere ilegale/neacceptate.
    Picture1.png

Conexiune VPN (faza 2)

Acum că regula VPN Gateway (Phase 1) a fost creată, faceți clic pe VPN Connection pentru a insera regula Phase 2 pentru tunelul VPN. Faceți clic pe butonul Add pentru a insera o regulă. În stânga sus a ferestrei, faceți clic pe butonul Show Advanced Settings pentru a vizualiza toate opțiunile din meniu.

  • Bifați caseta pentru a activa regula și dați-i un nume
  • Setați scenariul aplicației VPN Gateway pentru a utiliza "Remote Access (Server Role)" (Acces la distanță (rol de server))
  • Pentru scenariul aplicației, setați dropdown VPN Gateway pentru a utiliza politica Phase 1 creată la pasul anterior. (RoadWarrior pentru acest exemplu)
  • Derulați în jos până la opțiunea Policy și setați Politica locală pentru a utiliza obiectul de adresă "LAN1_SUBNET". Acest lucru va oferi utilizatorului VPN acces peste toate dispozitivele conectate la LAN1
  • Protocolul activ din cadrul Phase 2 Setting trebuie să fie setat la "ESP"
  • Encapsularea este "Tunel"
  • Setați propunerea de "Encryption" și "Authentication" pe care doriți să o utilizați (opțiunile de criptare sunt DES, 3DES, AES128, AES192, AES256) (opțiunile de autentificare sunt MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) este un nivel suplimentar de criptare. Nu este necesar să îl activați, dar dacă doriți să utilizați nivelul de criptare adăugat, opțiunile sunt None, DH1, DH2 și/sau DH5.
  • La Related Settings (Setări conexe), asigurați-vă că Zone (Zona) este setată pentru "IPSec_VPN"

    Picture2.png

Acum, că Faza 1 și Faza 2 a regulii VPN au fost finalizate, debifați căsuța de la "Use Policy Route to control dynamic IPSec rules". Debifarea acestei opțiuni va permite ZyWALL să creeze automat rute pentru utilizatorii VPN conectați.
Picture3.png

Provizionarea configurației

Anumiți clienți VPN, cum ar fi "ZyWALL IPSec VPN Client" și "TheGreenBow VPN Client", au o opțiune de provizionare care le permite să descarce setările pe care le-ați configurat regula VPN în loc să fie nevoie să configurați manual clientul. Pentru a configuraprovizionarea VPN pentru regula VPN dinamică RoadWarrior, tocmai am creat fila Configuration Provisioning din meniul IPSec VPN(Configuration → VPN → IPSec VPN).

Înainte de a configura provizionarea, trebuie să creăm un cont de utilizator pentru a permite descărcarea setărilor. Accesați Configuration → Object → User/Group și faceți clic pe butonul Add pentru a insera un cont de nivel "User". Conturile administrative nu pot utiliza opțiunea de descărcare a provizionării configurației.
Picture4.png

Acum că a fost creat contul de utilizator, mergeți la Configuration → VPN → IPSec VPN și faceți clic pe fila Configuration Provisioning pentru a insera o regulă care să permită descărcarea setărilor RoadWarrior VPN de la clientul VPN.

  • Activați meniul VPN Configuration Provisioning (Aprovizionare configurare VPN)
  • Faceți clic pe butonul Add (Adăugare ) pentru a crea o regulă care să permită provizionareaconexiunii VPN "RoadWarrior_Connection" pentru "VPN-user" Allowed User (Utilizator permis). Asigurați-vă că regula este activată și faceți clic pe Apply pentru a salva setările.
    Picture5.png

ZyWALL VPN Client

Pentru a descărca setările de furnizare a configurației VPN configurate pe router, deschideți software-ul client, faceți clic pe meniul Configuration și selectați opțiunea "Get from Server" (Obține de la server).
Picture6.png

Introduceți adresa IP publică, numele de domeniu sau numele DDNS asociat routerului ZyWALL. Clientul descarcă setările prin SSL. În mod implicit, ZyWALL este programat să utilizeze portul 443 pentru SSL. Dacă ați schimbat portul, vă rugăm să furnizați noul port SSL. Introduceți numele de utilizator și parola asociate cu configurația de provizionare și faceți clic pe Next (Următorul).

Picture7.png
Notă: Acest lucru funcționează numai în timp ce gestionarea la distanță este activată pe routerul ZyWALL; dacă gestionarea la distanță a fost dezactivată, funcția de furnizare a configurației nu va putea prelua automat setările de configurare VPN de pe routerul ZyWALL.

Clientul va trimite cererea de descărcare a setărilor de configurare VPN către routerul ZyWALL.
Picture8.png

Acum, după ce configurația a fost descărcată, puteți stabili un tunel VPN între computerul dumneavoastră și routerul ZyWALL. Faceți clic dreapta pe porțiunea din faza 2 a configurației și selectați "Open Tunnel" (Deschidere tunel) pentru a iniția dialerul VPN.
Picture9.png

Pentru a configura tuneluri complete sau separate pentru traficul VPN, aruncați o privire aici:

VPN Full/Split Tunneling

Testare și rezolvare a problemelor

Încercați să stabiliți o conexiune VPN la router. După ce conexiunea este stabilită, încercați să faceți ping sau să accesați orice resurse din rețeaua la distanță.

  1. Dacă nu puteți obține trafic prin tunelul VPN:
  • Dezactivați firewall-ul de pe gazda de la distanță pentru a vă asigura că nu blochează solicitarea.
  • Încercați să accesați resurse utilizând numele de gazdă al computerului? Încercați să utilizați în schimb adresa IP atribuită computerului. Utilizarea unui nume de gazdă al computerului necesită protocolul de difuzare NetBIOS pentru a rezolva adresa IP a computerului; standardul IPSec nu acceptă difuzările. Deoarece standardul VPN IPSec nu acceptă broadcasts, nu putem garanta că utilizarea numelor de gazdă în loc de IP-uri va funcționa. O soluție pentru această limitare a standardului IPSec ar fi utilizarea unui server WINS.
  • Dezactivați firewall-ul routerului ZyWALL.
  • Asigurați-vă că nu există conflicte IP. Dacă rețeaua ZyWALL este configurată pentru a utiliza rețeaua 192.168.1.0/24, iar utilizatorul de la distanță utilizează aceeași schemă IP, traficul nu va fi direcționat corect prin tunelul VPN.
  • Verificați gateway-ul rețelei gazdă, dacă routerul local (nu ZyWALL) nu are VPN pass-through activat sau porturile necesare deschise, este posibil ca VPN-ul să nu funcționeze corect.
  • Contactați suportul tehnic pentru asistență suplimentară.
  • Tunelul VPN nu se stabilește/conectează:
  • Asigurați-vă că routerul de rețea permite trecerea porturilor IPSec (UDP:500 și UDP:4500) sau asigurați-vă că activați VPN pass-through dacă routerul acceptă această opțiune. Este posibilă ocolirea routerului pentru a vă asigura că acesta nu cauzează problema.
  • Asigurați-vă că ISP-ul dvs. nu blochează porturile VPN; unii furnizori vor bloca porturile VPN din partea lor.
  • Verificați dacă firewall-ul computerului dvs. permite comunicațiile de la clientul VPN.
  • Actualizați driverele cardurilor NIC (Ethernet și/sau Wi-Fi).
  • Verificați setările VPN de pe ZyWALL și asigurați-vă că acestea corespund configurației clientului software.
  • Contactați suportul tehnic pentru asistență suplimentară.

Video:

+++ Puteți cumpăra licențe pentru clienții VPN Zyxel (SSL VPN, IPsec) cu livrare imediată printr-un singur clic: Zyxel Webstore +++

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
3 din 7 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.