Notificare importantă: |
În acest ghid, veți afla cum să configurați un VPN IKEv2 IPsec utilizând Asistentul de configurare (Quick Setup) pe seria Zyxel Firewall VPN/USG FLEX/ATP și cum să vă conectați la acesta pe Android, iPhone (iOS), PC-uri Windows și computere Mac utilizând atât Zyxel SecuExtender, cât și clientul nativ. Vom acoperi, de asemenea, considerații specifice pentru configurarea VPN-urilor pe dispozitive iOS, dispozitive mobile care rulează versiunea 18 și ulterioare și PC-uri cu firmware Sonoma sau ulterior.
Notă: Adresele IP din figură sunt, de exemplu, doar și nu sunt relevante pentru articol în ansamblu. Acestea pot fi diferite în cazul dvs.
Configurarea VPN prin intermediul Quick Setup
Conectați-vă la interfața grafică WEB a firewall-ului și accesați Quick Setup, apoi alegeți Remote Access VPN și apoi IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender)
Utilizați această opțiune dacă utilizați clientul VPN IPSec Zyxel SecuExtender sau un sistem de operare care acceptă VPN IPSec cu IKEv2 (client VPN non-SecuExtender). Puteți crea o regulă VPN Full Tunnel sau Split Tunnel cu clientul VPN Zyxel SecuExtender. Puteți crea o regulă VPN Full Tunnel numai cu clientul VPN non-SecuExtender.
Configurați grupul de adrese IP pentru client.
Grupul de adrese IP va utiliza o subrețea selectată neutilizată pe dispozitiv pentru a evita configurarea aceleiași subrețele. Grupul de adrese IP va începe la 192.168.50.1 Dacă subrețeaua 192.168.50.1 există în setările gateway-ului, grupul de adrese IP se va schimba automat.
Adăugați sau creați utilizatori care vor avea acces VPN. După adăugarea utilizatorilor, faceți clic pe Next (Următorul ) și revizuiți toate setările pentru a vă asigura de acuratețe. Acum puteți descărca un script automat pentru a configura VPN-ul sau îl puteți configura manual utilizând un certificat.
După o configurare VPN reușită, puteți descărca și instala fișierele script pe dispozitive Windows, MacOS, iOS sau Android pentru a configura automat setările VPN.
Notă: Setările VPN pentru clienții VPN IPSec Non-SecuExtender nu acceptă următoarele caracteristici:
- Limita lățimii de bandă de încărcare
- Tunel deversat
- Autentificare cu doi factori (Google Authenticator)
Important: Utilizatorii de pe iOS 18 sau ulterior și Mac OS 14 Sonoma nu pot utiliza scriptul și trebuie să îl configureze manual. În acest articol, în secțiunea de setări pentru iPhone și MacOS, veți găsi o descriere mai detaliată a pașilor necesari.
Rețineți: Pentru a minimiza erorile de configurare și alte probleme potențiale, vă recomandăm să utilizați un script pentru instalare. Cu toate acestea, puteți, de asemenea, să instalați și să configurați manual certificatul direct pe dispozitivul endpoint. Instrucțiuni detaliate pentru instalarea manuală a certificatului și configurarea VPN pot fi găsite în secțiunea "Configurarea manuală a certificatului".
Utilizarea scriptului VPN pe Windows
Salvați arhiva cu scriptul pe computer, dezarhivați folderul și apoi rulați scriptul cu drepturi de administrator (este un fișier cu extensia bat).
După ce instalarea este reușită, accesați setările VPN de pe PC. Acolo, veți găsi conexiunea VPN creată. Faceți clic pe conectare. Apoi, introduceți numele de utilizator și parola.
Utilizarea VPN Script pe Android
Pentru utilizatorii Android, vă rugăm să instalați StrongSwan și să urmați acest articol:
Utilizarea VPN Script pe iPhone
Important: Utilizatorii de pe iOS 18 sau ulterior și Mac OS 14 Sonoma nu pot utiliza scriptul și trebuie să îl configureze manual. Acest lucru se datorează cerințelor de securitate sporite ale Apple pentru criptarea VPN IKEv2. Pentru a rezolva această problemă, trebuie să efectuați modificări Key Group și Proposal la Phase 1 Settings și Phase 2 Settings ale conexiunii VPN create anterior utilizând Quick Setup (Wizzard).
Pentru a continua, vă rugăm să reveniți la interfața grafică web a firewall-ului dvs. Din meniul din stânga, selectați "Configurare", apoi navigați la "VPN". Deschideți setările de configurare pentru conexiunea VPN relevantă și adăugați propunerea cu următoarele setări în Phase 2 Setting :
Proposal (Propunere)
- Criptare: AES256
- Autentificare: SHA256.
Apoi, mergeți la fila "VPN Gateway", unde trebuie să actualizăm Setările fazei 1 după cum urmează:
Propunere
- Criptare: AES256
- Autentificare: SHA256
Grup de chei: DH2 DH14 DH19
După efectuarea modificărilor, nu uitați să le aplicați făcând clic pe butonul "Apply"
Următorul pas este să descărcați certificatul pentru conexiunea noastră VPN și să îl instalați pe dispozitivul dvs.
Cum să descărcați un certificat
Navigați la Configuration -> Object -> Certificate, selectați certificatul VPN și apăsați "Download" pentru a descărca certificatul.
Acum, puteți decide fie să exportați certificatul cu o parolă pentru a-l securiza și a vă asigura că nu va ajunge în mâini greșite, fie să lăsați în alb pentru a exporta certificatul fără o parolă pentru instalare.
Acum, puteți atașa acest certificat la un e-mail pe care îl trimiteți utilizatorilor, explicând cum să îl instalați și să vă conectați la VPN.
iPhone iOS 18 și superior: Instalarea manuală a certificatului și configurarea VPN
Acum, să trecem la setările de pe iPhone însuși. Descărcați certificatul trimis prin poștă, de exemplu, pe iPhone.
Notă: Aceste modificări nu afectează conexiunile VPN existente, indiferent de modul în care au fost realizate, fie prin "Configurare rapidă", fie manual.
| Trimiteți certificatul prin poștă, de exemplu. Pe Iphone, deschideți mesajul poștal care conține certificatul și executați-l. | ||
După ce ați completat certificatul, un nou profil va apărea în setările dispozitivului. Pentru a-l găsi, mergeți la setările Iphone-ului dvs.
| Сlick pe "Profil descărcat": | Faceți clic pe "Instalare": | Faceți clic pe "Install": |
| Acum aveți un certificat verificat: | Mergeți la Setări -> VPN și dispozitiv | Faceți clic pe "Add VPN" |
| Introduceți adresa IP WAN a firewall-ului dvs. în câmpurile "Server" și "Remote ID", precum și numele de utilizator și parola. | Efectuați conexiunea și așteptați până când starea este "Conectat", acest lucru durează de obicei câteva secunde. |
Windows 10 și superior: Instalarea manuală a certificatului și configurarea VPN
| Faceți dublu clic pe certificat cu butonul stâng al mouse-ului și faceți clic pe "Open" în noua fereastră deschisă | Faceți clic pe butonul "Install Certificate" (Instalare certificat) |
De asemenea, puteți încerca să faceți dublu clic pe certificat faceți clic pe "Install Certificate..." și faceți clic pe "Next"
| Selectați dacă certificatul va fi disponibil pentru toți utilizatorii de pe computer sau numai pentru utilizatorul curent. | Faceți clic pe "Place all certificates in the following store" și alegeți "Trusted Root Certification Authorities" |
| Aproape de final, apăsați "Finish" | Apoi îl luăm cu un avertisment și am terminat! |
Acum, să configurăm profilul VPN în sine. Pentru a face acest lucru pe PC, mergeți la secțiunea VPN.
| Utilizați căutarea Windows și, căutați VPN și selectați "VPN settings" din bara de căutare Windows: | În noua fereastră care se deschide, faceți clic pe "Add a VPN connection" |
MAC OS 14 Sonoma și superior: Instalare manuală a certificatului și configurare VPN
| Faceți dublu clic pe certificat și selectați "keychain" "system". | Faceți clic pe simbolul WiFi și pe "Network Settings". Apoi faceți clic pe semnul "+" de sub conexiunile dvs. WiFi. |
Faceți clic pe simbolul WiFi și pe "Network Settings". Apoi faceți clic pe semnul "+" de sub conexiunile dvs. WiFi și Creați un VPN IKEv2 după cum se arată mai jos.
Completați adresa IP / FQDN, ID-ul la distanță și apoi faceți clic pe setările de autentificare de mai jos. Alegeți un nume de utilizator și introduceți numele de utilizator și parola.
Zyxel SecuExtender
SecuExtender adaptează principiul Zero Trust pentru a ajuta IT să verifice identitatea utilizatorilor, aplicând controlul admiterii pentru a crește securitatea. Este necesară o licență pentru a utiliza SecuExtender. Dar îl puteți descărca gratuit și puteți testa versiunea de încercare gratuită făcând clic aici: Client VPN SecuExtender
Acest articol va analiza configurarea Zyxel SecuExtender folosind clientul Windows ca exemplu. Cu toate acestea, procedura macOS este identică, cu excepția unei ușoare diferențe în designul aplicației.
Deschideți aplicația și faceți clic pe "Configurare" în colțul din stânga sus. În meniul derulant, veți găsi 2 opțiuni "Get from Server" și "Wizard".
Ambele opțiuni sunt foarte simple. Atunci când selectați "Get from Server", trebuie să știți numele sau adresa și numele de utilizator și parola utilizatorului VPN. În cazul Wizard, puteți face modificări suplimentare în timpul configurării.
Descărcarea profilului VPN a avut succes. Acum mergeți la meniul principal și veți vedea noul profil VPN în lista din stânga. Vă rugăm să faceți dublu clic pe stânga și să introduceți numele de utilizator și parola. Gata. Conexiunea este reușită!
Vă rugăm să rețineți că "Verificarea certificatului" ar trebui să fie dezactivată dacă utilizați un CA implicit și auto-semnat.