Aviz important: Stimate client, vă rugăm să fiți conștienți de faptul că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

Acest articol arată cum se configurează L2TP prin IPSec în modul Standalone pentru USG FLEX / ATP / VPN Series și cum se configurează Wizard, cum se descarcă configurația, cum se configurează L2TP manual folosind meniul VPN gateway & connection, Ce să permiteți în regulile firewall, cum se permite accesul la internet pentru L2TP (fără internet), cum se restabilește configurația implicită, cum se configurează utilizatorii VPN, cum se stabilește o rețea VPN din LAN, cum se utilizează servere externe pentru autentificarea utilizatorilor, cum se rezolvă problemele folosind jurnalele, cum se configurează MS-CHAPv2.

Tabelul de conținut

1. Configurarea VPN L2TP utilizând asistentul încorporat

1.1 Navigați către Expertul

1.2 Selectați L2TP over IPSec Client Scenario (Scenariu client L2TP peste IPSec)

1.3 Configurați configurația VPN

1.4 Configurați autentificarea utilizatorului

1.5 Salvați configurația și descărcați configurația L2TP

2) Configurarea manuală a VPN-ului L2TP/IPSec

2.1 Configurați gateway-ul VPN

2.2 Configurarea conexiunii VPN

2.3 Configurați setările VPN L2TP

2.4 Rezumați setările L2TP

3) Configurații obligatorii

3.1 Permiteți porturile UDP 4500 și 500

3.2 Permiteți accesul la internet prin L2TP prin intermediul rutelor de politică

4. Sfaturi și rezolvarea problemelor

4.1 Restabilirea configurației implicite L2TP VPN

4.2 Configurarea clienților L2TP VPN

4.3 Configurare avansată: Stabilirea unui VPN L2TP din LAN:

4.4 Configurare avansată: Utilizarea serverelor externe pentru a autentifica utilizatorii care se conectează la L2TP VPN

4.5 L2TP peste VPN IPSec - Laborator virtual

4.6 Rezolvarea problemelor

4.7 Configurarea L2TP MS-CHAPv2 pe seria USG/Zywall

Ce este L2TP peste VPN IPSec?

Înainte de a începe cu ghidul de configurare, să facem o introducere în L2TP over IPSec VPN.

L2TP over IPSec combină Layer 2 Tunneling Protocol (L2TP, care asigură o conexiune punct-la-punct) cu protocolul IPSec. L2TP singur nu asigură criptarea conținutului și, prin urmare, tunelul este construit de obicei peste un protocol de criptare de nivel 3 IPsec, având ca rezultat așa-numitul L2TP over IPSec VPN.

În acest manual puteți explora toate informațiile necesare pentru conexiunile L2TP VPN în dispozitivele Zyxel Firewall, explorând metodele de configurare (prin intermediul expertului și manual), configurarea clientului pentru Windows, MAC și Linux; precum și configurații mai avansate pentru autentificare, diferite topologii și depanare pe dispozitivele Firewall și pe dispozitivele client. De asemenea, este definit accesul la laboratorul virtual, unde este posibil să se revizuiască configurația noastră, care poate fi utilizată și la configurarea VPN-ului de la distanță în dispozitivul dumneavoastră.

1. Configurați L2TP VPN utilizând asistentul integrat

1.1 Navigați către Wizard

a. Deschidețifila Quick Setup (Configurare rapidă ) și, în fereastra pop-up, selectați Remote Access VPN Setup (Configurare VPN pentru acces la distanță):

1.2 Selectați L2TP over IPSec Client Scenario (Scenariu client L2TP peste IPSec)

1.3 Configurați configurația VPN

Introduceți ocheie preîmpărțită preferată și selectațiinterfața WAN corespunzătoare.

1.4 Configurați autentificarea utilizatorului

1.5 Save the Configuration & Download L2TP Configuration (Salvați configurația și descărcați configurația L2TP)

Configuration  > Security Policy > Policy Control 

2) Configurarea manuală a VPN-ului L2TP/IPSec

În cele ce urmează sunt descriși pașii necesari pentru a configura manual un VPN L2TP peste IPSec. Topologia și aplicația sunt aceleași ca atunci când se utilizează Wizard, singura diferență fiind pașii de configurare.

2.1 Configurarea gateway-ului VPN

Accesați următoarea cale și creați un nou VPN Gateway:

dyn_repppppppp_1

Apăsați pe "Show Advanced Settings" (Afișați setările avansate). Introduceți un nume pentru gateway, alegeți interfața WAN și adăugați o cheie pre-partajată:

Setați Negotiation Mode (Mod de negociere) pe Main (Principal ) și adăugați următoarele propuneri (comune) și confirmați apăsând pe OK:

2.2 Configurarea conexiunii VPN

Accesați următoarea cale și creați o nouă conexiune VPN:

dyn_repppppppp_2

Apăsați pe "Show Advanced Settings" (Afișați setările avansate). Introduceți un nume al conexiunii, setați Application Scenario (Scenariul aplicației) la Remote Access (Remote Access (Rol de server)) și selectați Gateway-ul VPN pe care l-ați creat anterior:

Pentru Politica locală, creați un nou obiect de adresă IPv4 (de la butonul"Create New Object") pentru IP-ul WAN real și apoi setați-l pentru conexiunea VPN ca politică locală:

Setați încapsularea pe Transport și adăugați următoarele propuneri și confirmați făcând clic pe OK:

2.3 Configurarea setărilor L2TP VPN

Acum că setările IPSec sunt gata, trebuie să setați setările L2TP. Mergeți la următoarea cale:

dyn_repppppppp_3

Dacă este necesar, creați un nou utilizator (utilizatori) local(i) căruia (cărora) i se va permite să se conecteze la VPN:

Creați un grup de adrese IP L2TP cu o serie de adrese IP care trebuie utilizate de clienți în timpul conectării la VPN L2TP/IPSec.

Notă: Aceasta nu trebuie să intre în conflict cu nicio subrețea WAN, LAN, DMZ sau WLAN, chiar și atunci când nu sunt utilizate.

2.4 Rezumatul setărilor L2TP

Acum să setăm setările L2TP:

• Setați conexiunea VPN creată în 2.2 Configurarea conexiunii VPN
• Un grup de adrese IP (IP Address Pool) puteți seta obiectul L2TP IP range (interval IP)
• The Authentication Method (Metoda de autentificare) poate fi setată ca implicită pentru autentificarea locală a utilizatorului
• The Allowed users (Utilizatori permiși) poate fi setat pentru utilizator. Dacă sunt necesari mai mulți utilizatori, se poate crea un grup de utilizatori în pagina Object.
• Serverul (serverele) DNS și serverul WINS pot fi selectate pentru a fi chiar dispozitivul Firewall (Zywall) sau o adresă IP de server personalizată.
• În cazul în care este nevoie de acces la internet prin dispozitivul Firewall în timp ce este conectat la VPN L2TP/IPSec, asigurați-vă că opțiunea "Allow Traffic Through WAN Zone" (Permiteți traficul prin zona WAN) este activată.
• Faceți clic pe "Apply" (Aplicați) pentru a salva setările. Cu aceasta, VPN-ul L2TP/IPSec ca atare este acum gata.

3) Configurații obligatorii

3.1 Permiteți porturile UDP 4500 și 500

Asigurați-vă că regulile de firewall permit accesul pentru porturile UDP 4500 și 500 de la WAN la Zywall și că zona implicită IPSec_VPN are acces la resursele de rețea. Acest lucru poate fi verificat în:

dyn_repppppppp_4

3.2 Activarea accesului la internet prin L2TP prin intermediul Policy Routes (Rute de politică)

Dacă o parte din traficul de la clienții L2TP trebuie să ajungă pe internet, creați o rută de politică pentru a trimite traficul de la tunelurile L2TP prin intermediul unui tronson WAN.

dyn_repppppppp_5

Setați Incoming to Tunnel și selectați conexiunea VPN L2TP. Setați Source Address (Adresă sursă ) să fie grupul de adrese L2TP. Setați Next-Hop Type (Tip de salt următor ) la Trunk (Tronson) și selectați tronsonul WAN corespunzător.

Pentru mai multe detalii despre acest pas, vă rugăm să consultați articolul:

Cum să permiteți clienților L2TP să navigheze prin USG

4. Sfaturi și rezolvarea problemelor

4.1 Restabilirea configurației implicite L2TP VPN

În unele cazuri, ar putea fi necesar să dați un nou început setărilor L2TP VPN din pagină:

dyn_repppppppp_6

Atunci când este necesar, utilizați următorul articol care descrie metodele de readucere a setărilor implicite.

ZyWALL USG: Restaurarea configurației implicite VPN-L2TP (Restore VPN-L2TP Default Configuration)

4.2 Configurarea clienților VPN L2TP

L2TP prin IPSec este foarte popular și este în mod obișnuit acceptat de multe platforme de dispozitive finale cu clienții lor încorporați.

Iată câteva dintre cele mai comune și cum să le configurați:

• Windows/MacOS/Linux:
  • Nebula VPN - Configurați L2TP pe un firewall Nebula folosind Android, iOS, Windows și Linux Ubuntu

4.3 Configurare avansată: Stabilirea unui VPN L2TP din LAN:

VPN-ul este o funcție populară pentru criptarea pachetelor atunci când se transmit date.

În designul actual al ZyWALL/USG/ATP, atunci când interfața VPN se bazează pe interfața WAN1, solicitarea VPN trebuie să provină de la interfața WAN1 (interfață restricționată), în caz contrar, solicitarea va fi refuzată. (de exemplu, conexiunea VPN provine de la LAN1)

Cu toate acestea, în anumite scenarii, utilizatorii pot avea nevoie să stabilească tunelul VPN nu numai din WAN, ci și din LAN.

Acest scenariu este, de asemenea, acceptat de ZyWALL/USG/ATP. Utilizatorii pot urma procedura de operare de mai jos pentru a dezactiva restricția interfeței VPN, astfel încât conexiunea VPN să poată proveni ulterior atât din WAN/LAN.

Topologie:

USG Versiunea de firmware:

4.32 sau mai sus

Configurația USG:

Pentru a activa L2TP din LAN, trebuie să accesați dispozitivul cu o conexiune de terminal (Serial, Telnet, SSH) și să introduceți următoarele comenzi:

Router> configure terminal

Router

(config)# vpn-interface-restriction deactivate

Router

(config)# write
Reboot device

.

4.4 Configurare avansată: Utilizarea serverelor externe pentru a autentifica utilizatorii care se conectează la L2TP VPN

Această secțiune descrie modul de configurare a L2TP peste IPSec cu MS-CHAPv2 pe seria USG/Zywall. Pentru implementări avansate, autentificarea utilizatorilor cu servere Active Directory (AD) poate fi implementată pe autentificarea VPN L2TP/IPSec.

Scenariu:

Domeniu AD: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Navigați la Configuration>Object>AAA Server. 2. Activați autentificarea domeniului pentru MSCHAP

Credențialul este de obicei același cu cel al administratorului AD.

2. AccesațiSystem>Host Name (Sistem>Nume gazdă),introduceți domeniul ADîn Domain Name (Nume domeniu).

Acest flux face ca USG să se alăture domeniului AD. Tunelul va fi stabilit cu succes numai dacă această parte funcționează.

3. Confirmați dacă USG s-a alăturat domeniului. Navigați la Active Directory Users and Computers>Computers (Utilizatori și calculatoare din Active Directory)

În acest caz, puteți găsi că usg110 s-a alăturat domeniului. De asemenea, puteți verifica informațiile detaliate în fila Properties>Object (Proprietăți>Obiect) prin clic dreapta.

4. Editați Domain Zone, introduceți numele domeniului în System> DNS >Domain Zone Forwarder.

Uneori se poate întâmpla să se întrerupă în timpul apelării tunelului, deci trebuie să configurați următoarea setare, Interfața de interogare este locul unde se află serverul AD.

5. Verificați setările de conectare de pe Windows.

Asigurați-vă că ați activat (MS-CHAP v2) și că ați introdus cheia pre-partajată în setările avansate.

6. Verificați informațiile de conectare la pagina Monitor page>, Utilizatorul AD ar trebui să fie în lista de utilizatori actuali după ce tunelul a fost format cu succes.

Puteți constata că tipul de utilizator este L2TP, iar informațiile despre utilizator sunt utilizator extern.

Ca informații suplimentare, următorul articol detaliază care sunt autentificările acceptate de firewall-urile noastre cu L2TP/IPSec VPN:

ZyWALL USG - Autentificarea suportată prin L2TP

4.5 L2TP peste VPNIPSec - Laborator virtual

Nu ezitați să aruncați o privire la laboratorul nostru virtual pentru configurarea L2TP VPN pe dispozitivele noastre Firewall. Cu ajutorul acestui laborator virtual puteți arunca o privire asupra configurației corecte pentru comparație în timp ce vă configurați mediul:

Laborator virtual - VPN de la un capăt la altul al site-ului (L2TP)