VPN - Настройка IKEv2 VPN с сертификатом с помощью SecuExtender IPSec VPN Client

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье рассказывается о том, как настроить IKEv2 IPsec VPN с сертификатом с помощью SecuExtender под Windows и MacOS. Будет показано, как настроить VPN на межсетевом экране (USG FLEX / ATP / VPN Series в автономном / локальном режиме), а также как избавиться от ошибки TGBErrorCodeMgrNotCreated.description на MacOS.

Примечание: Для IOS 17 используется группа ключей: Необходимо использовать DH19

Видео:

Оглавление

A) Настройка IKEv2 на межсетевом экране

B) Настройка клиента SecuExtender

C) Настройка на MacOS

A) Настройка IKEv2 на межсетевом экране

  1. Войдите в устройство, введя его IP-адрес и учетные данные учетной записи администратора (по умолчанию имя пользователя - "admin", пароль - "1234").

  2. Перейдите в раздел Configuration > Object > Address/Geo IP, нажмите кнопку "Add" для создания объекта "Address Type" "Range". Назовите его "IKEv2_Pool" и введите диапазон IP-адресов, не пересекающийся с вашими подсетями
    2.PNG.

  3. Создайте еще один объект IP Address, чтобы в дальнейшем предоставить клиентам IKEv2 доступ в Интернет через VPN-туннель. Выберите тип "Диапазон", назовите его, например, "All_Traffic", введите "0.0.0.0" для "Начального IP-адреса" и "255.255.255.255" для "Конечного IP-адреса".
    3.PNG

  4. Перейдите в меню Configuration > Object > User/Group и нажмите кнопку "Add" для создания новых пользователей.
    6.PNG

  5. Перейдите на вкладку "Группа" и нажмите кнопку "Добавить", чтобы создать группу "IKEv2_Users" и добавить необходимых пользователей, отметив их и нажав стрелку, указывающую вправо.
    8.PNG

  6. Перейдите в раздел Configuration > Object > Certificate, нажмите "Add", выберите "Host Domain Name", введите имя домена или DynDNS, прокрутите вниз до пункта "Extended Key Usage" и отметьте три флажка "Server Authentication", "Client Authentication" и "IKE Intermediate" и нажмите "OK".
    8.PNG

  7. Дважды щелкните на этом сертификате и прокрутите вниз, чтобы использовать "Только экспорт сертификата".
    9.PNG

  8. Перейдите в меню Configuration > Network > VPN > IPSec VPN и нажмите "Add", нажмите "Show Advanced Settings", отметьте "Enable", выберите "IKEv2", выберите "Dynamic Address" под "Peer Gateway Address", отметьте "Certificate" под "Authentication" и выберите ранее созданный сертификат.
    10.PNG


  9. Прокрутите страницу вниз, чтобы выбрать нужные предложения в разделе "Phase 1 Settings", отметьте "Enable Extended Authentication Protocol", выберите "Server Mode", оставьте "AAA Method" на "default" и выберите ранее созданную группу "IKEv2_Users" для "Allowed Users", после чего нажмите "OK".
    11.PNG

  10. Теперь откройте вкладку "VPN Connection", нажмите "Add", нажмите "Show Advanced Settings", отметьте "Enable", выберите "Remote Access (Server Role)" для "Application Scenario", выберите ранее созданный VPN-шлюз для "VPN Gateway", в разделе "Local Policy" выберите ранее созданный объект IP-диапазона "All_Traffic".

  11. Отметьте "Enable Configuration Payload", выберите объект "IKEv2_Pool" в качестве "Пула IP-адресов" (DNS-серверы необязательны), выберите желаемые предложения для VPN-соединения и нажмите "OK" для завершения настройки VPN-соединения.
    12.PNG
    13.PNG

  12. Теперь перейдите в Configuration > Object > Network > Routing, нажмите "Add", отметьте "Enable", выберите "Tunnel" для "Incoming", выберите ранее созданное IPSec-соединение для "Please select one member", выберите "IKEv2_Pool" для "Source Address" и, наконец, выберите ваш WAN-интерфейс или WAN-магистраль в качестве "Next Hop", после чего нажмите "OK".
    14.PNG

B) Настройка клиента SecuExtender

  1. Откройте клиент IPSec, щелкните правой кнопкой мыши на папке "IKE V2" с левой стороны, чтобы добавить новый "Ikev2Gateway", введите доменное имя, которое вы также ввели в сертификат на USG для "Remote Gateway", и выберите подходящие предложения в разделе "Cryptography".
    mceclip1.png
  2. Щелкните правой кнопкой мыши на VPN-шлюзе слева, чтобы добавить VPN-соединение, выберите "Тип адреса" "Адрес подсети", введите адрес и маску подсети локальной подсети на сайте USG, к которой должны иметь доступ клиенты, и выберите подходящие предложения для VPN-соединения.
    mceclip0.png

  3. Если значение параметра "Child SA Life Lifetime" не совпадает с настроенным на USG, то перед окончательным открытием туннеля настройте его, снова щелкнув правой кнопкой мыши на VPN Connection с левой стороны.

C) Невозможно импортировать .tgb-файл на MacOS

Если на MacOS возникает ошибка "TGBErrorCodeMgrNotCreated.description", то это связано с настройками конфиденциальности в MacOS. Вам необходимо разрешить доверять SecuExtender в вашей операционной системе.

mceclip0.png

Перейдите в Настройки -> Конфиденциальность и безопасность -> Безопасность и выберите "App Store и идентифицированные разработчики". После этого должен появиться "SecuExtender VPN Client", и необходимо нажать кнопку "Разрешить":

mceclip1.png

Теперь вы можете успешно импортировать .tgb-файл в SecuExtender Client на MacOS, чтобы получить свою конфигурацию.

+++ Вы можете приобрести лицензии для своих VPN-клиентов Zyxel (SSL VPN, IPsec) с немедленной доставкой в один клик: Zyxel Webstore +++

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 11
Поделиться