Acest articol arată cum să configurați L2TP peste IPSec în modul Standalone pentru seria USG FLEX / ATP / VPN și cum să configurați Wizard-ul, să descărcați configurația, să configurați manual L2TP folosind meniul gateway VPN & conexiune, ce să permiteți în regulile firewall-ului, cum să activați accesul la internet pentru L2TP (fără internet), restaurarea configurației implicite, configurarea utilizatorilor VPN, stabilirea unui VPN din LAN, utilizarea serverelor externe pentru autentificarea utilizatorilor, depanarea folosind jurnalele, configurarea MS-CHAPv2.
Ce este L2TP peste IPSec VPN?
Înainte de a începe cu ghidul de configurare, să oferim o introducere în L2TP peste IPSec VPN.
L2TP peste IPSec combină Protocolul de Tunelare la Nivelul 2 (L2TP, care oferă o conexiune punct-la-punct) cu protocolul IPSec. L2TP singur nu oferă criptare a conținutului și, prin urmare, tunelul este de obicei construit peste un protocol de criptare la Nivelul 3, IPsec, rezultând așa-numitul L2TP peste IPSec VPN.
În acest manual puteți explora toate informațiile necesare pentru conexiunile VPN L2TP pe dispozitivele Zyxel Firewall, explorând metodele de configurare (prin wizard și manual), configurarea clientului pentru Windows, MAC și Linux; precum și configurări mai avansate pentru autentificare, topologii diferite și depanare pe dispozitivele Firewall și pe dispozitivele client. De asemenea, este definit accesul la laboratorul virtual unde este posibil să revizuiți configurarea noastră, care poate fi folosită și când configurați VPN-ul la distanță pe dispozitivul dvs.
Configurarea VPN L2TP folosind Wizard-ul integrat
Navigați la Wizard
a. Deschideți Fila Quick Setup și în fereastra pop-up selectați Remote Access VPN Setup:
Selectați scenariul L2TP peste IPSec Client
Configurați Configurația VPN
Introduceți o Cheie Pre-Distribuită (Pre-Shared Key) preferată și selectați interfața WAN corespunzătoare.
Configurați Autentificarea Utilizatorului
Salvați Configurația & Descărcați Configurația L2TP
Configuration > Security Policy > Policy Control Configurarea manuală a L2TP/IPSec VPN
Următoarele descriu pașii necesari pentru a configura manual un VPN L2TP peste IPSec. Topologia și aplicația sunt aceleași ca la utilizarea Wizard-ului, singura diferență fiind pașii din configurare.
Configurați Gateway-ul VPN
Mergeți la următoarea cale și creați un nou VPN Gateway:
Configuration > VPN > IPSEC VPN > VPN GatewayApăsați pe „Show Advanced Settings”. Introduceți un nume pentru gateway, alegeți interfața WAN și adăugați o cheie pre-distribuită:
Setați Modului de Negociere la Main și adăugați următoarele propuneri (uzuale), apoi confirmați făcând clic pe OK:
Configurați Conexiunea VPN
Mergeți la următoarea cale și creați o nouă conexiune VPN:
Configuration > VPN > IPSec VPN > VPN ConnectionApăsați pe „Show Advanced Settings”. Introduceți numele conexiunii, setați Scenariul de Aplicație la Remote Access (Server Role) și selectați VPN Gateway-ul creat anterior:
Pentru Politica Locală, creați un nou Obiect Adresă IPv4 (din butonul "Create New Object") pentru IP-ul WAN real și apoi setați-l în Conexiunea VPN ca Local Policy:
Setați Încapsularea la Transport și adăugați următoarele propuneri, apoi confirmați făcând clic pe OK:
Configurați Setările VPN L2TP
Acum că setările IPSec sunt făcute, trebuie configurate setările L2TP. Mergeți la următoarea cale:
Configuration -> VPN -> L2TP VPN SettingsDacă este necesar, creați un utilizator local nou care va avea permisiunea să se conecteze la VPN:
Creați un pool de adrese IP L2TP cu un interval de adrese IP care vor fi folosite de clienți în timp ce sunt conectați la VPN-ul L2TP/IPSec.
Notă: Acesta nu trebuie să intre în conflict cu niciun subnet WAN, LAN, DMZ sau WLAN, chiar dacă acestea nu sunt utilizate.
Rezumat al Setărilor L2TP
Acum să setăm setările L2TP:
- Setați Conexiunea VPN creată la 2.2 Configurarea Conexiunii VPN
- Un Pool de Adrese IP puteți seta obiectul intervalului IP L2TP
- Metoda de Autentificare poate fi setată implicit pentru autentificarea utilizatorilor locali
- Utilizatorii Permiși pot fi setați pentru utilizator. Dacă sunt necesari mai mulți utilizatori, se poate crea un grup de utilizatori pe pagina Obiect.
- Serverele DNS și WINS pot fi selectate să fie dispozitivul Firewall în sine (Zywall) sau o adresă IP de server personalizată.
- În cazul în care este nevoie de acces la internet prin dispozitivul Firewall în timp ce sunteți conectați la VPN-ul L2TP/IPSec, asigurați-vă că opțiunea „Allow Traffic Through WAN Zone” este activată.
- Faceți clic pe „Apply” pentru a salva setările. Astfel, VPN-ul L2TP/IPSec este acum gata.
Configurații obligatorii - Permiteți porturile UDP 4500 & 500
Asigurați-vă că regulile firewall permit accesul pentru porturile UDP 4500 și 500 de la WAN către Zywall și că Zona implicită IPSec_VPN are acces la resursele rețelei. Acest lucru poate fi verificat în:
Configuration > Security Policy > Policy Control Activați Accesul la Internet prin L2TP prin Rute Politică
Dacă o parte din traficul clienților L2TP trebuie să meargă către internet, creați o rută politică pentru a trimite traficul din tunelurile L2TP printr-un trunk WAN.
Configuration > Network > Routing > Policy RouteSetați Incoming la Tunnel și selectați conexiunea dvs. VPN L2TP. Setați Source Address să fie pool-ul de adrese L2TP. Setați Next-Hop Type la Trunk și selectați trunk-ul WAN corespunzător.
Sfaturi & Depanare - Restaurarea configurației implicite L2TP VPN
În unele cazuri, poate fi necesar să resetați setările VPN L2TP în pagina:
Configuration > VPN > L2TP VPNConfigurarea Clienților VPN L2TP
L2TP peste IPSec este foarte popular și este suportat în mod comun de multe platforme de dispozitive finale cu clienții lor integrați.
Iată câteva dintre cele mai comune și cum să le configurați:
Windows/MacOS/Linux:
Configurare avansată: Stabilirea unui VPN L2TP din LAN:
VPN-ul este o funcție populară pentru criptarea pachetelor la transmiterea datelor.
În designul curent ZyWALL/USG/ATP, când interfața VPN este bazată pe interfața WAN1, cererea VPN trebuie să vină de la interfața WAN1 (interfață restricționată), altfel cererea va fi refuzată. (de exemplu, conexiunea VPN a venit de la LAN1)
Totuși, în unele scenarii, utilizatorii pot avea nevoie să stabilească tunelul VPN nu doar din WAN, ci și din LAN.
Acest scenariu este de asemenea suportat de ZyWALL/USG/ATP. Utilizatorii pot urma procedura de operare de mai jos pentru a dezactiva restricția interfeței VPN astfel încât conexiunea VPN să poată veni atât din WAN cât și din LAN ulterior.
Versiune Firmware USG: 4.32 sau mai nouă
Configurare USG:
Pentru a activa L2TP din LAN, trebuie să accesați dispozitivul cu o conexiune terminal (Serial, Telnet, SSH) și să introduceți următoarele comenzi:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Configurare avansată: Utilizarea serverelor externe pentru autentificarea utilizatorilor care se conectează la VPN L2TP
Această secțiune descrie cum să configurați L2TP peste IPSec cu MS-CHAPv2 pe seria USG/Zywall. Pentru implementări avansate, autentificarea utilizatorilor cu servere Active Directory (AD) poate fi implementată pe autentificarea VPN L2TP/IPSec.
Scenariu:
Domeniu AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navigați la Configuration>Object>AAA Server. Activați Autentificarea Domeniului pentru MSCHAP
Credentialul este de obicei același cu cel al administratorului AD.
2. Mergeți la System>Host Name, introduceți domeniul AD în Domain Name
Acest flux face ca USG să se alăture domeniului AD. Tunelul va fi stabilit cu succes doar dacă această parte funcționează.
3. Confirmați dacă USG s-a alăturat domeniului. Navigați la Active Directory Users and Computers>Computers
În acest caz, puteți vedea că usg110 s-a alăturat domeniului. De asemenea, puteți verifica informațiile detaliate în fila Properties>Object prin clic dreapta.
4. Editați Zona Domeniului, introduceți numele domeniului în System> DNS >Domain Zone Forwarder.
Uneori poate apărea timeout în timpul apelării tunelului, deci trebuie să configurați următoarea setare, interfața de interogare este unde se află serverul AD.
5. Verificați setările conexiunii pe Windows-ul dvs.
Asigurați-vă că ați activat (MS-CHAP v2) și ați introdus cheia pre-distribuită în setările Avansate.
6. Verificați informațiile de autentificare în pagina Monitor>. Utilizatorul AD ar trebui să fie pe Lista Utilizatorilor Curentă odată ce tunelul este stabilit cu succes.
Puteți vedea că tipul utilizatorului este L2TP iar informațiile utilizatorului sunt utilizator extern.
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.