Legacy VPN - настройка предоставления конфигурации на USG Series

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Обзор

VPN (виртуальная частная сеть) обеспечивает безопасную связь между сайтами без затрат на выделенные линии. VPN используются для передачи трафика через интернет в незащищенной сети, использующей TCP/IP-коммуникации. VPN с удаленным доступом (клиент-сайт) позволяет сотрудникам, находящимся в командировках или работающим на дому, получить безопасный доступ к сетевым ресурсам компании. Существует множество типов протоколов/технологий VPN, которые можно использовать для создания безопасного соединения с сетью компании: L2TP, PPTP, SSL, OpenVPN и т. д. В данном руководстве рассматривается протокол IPSec для создания безопасного VPN-туннеля между внешними хостами (пользователями, подключенными к Интернету вне структуры сети компании) и маршрутизатором ZyWALL. Для создания VPN-соединения требуется программное обеспечение IPSec сторонних производителей, поскольку в современных операционных системах отсутствует встроенный клиент IPSec.

Scenario

1. VPN-шлюз (этап 1)
2. VPN-соединение (фаза 2)
3. Предоставление конфигурации
4. Клиент ZyWALL VPN
5. Тестирование и устранение неполадок

VPN-шлюз (этап 1)

Войдите на страницу веб-конфигурации ZyWALL и перейдите в меню Конфигурация → VPN → IPSec VPN. В меню IPSec VPN перейдите на вкладку VPN Gateway , чтобы добавить Фазу 1 настройки туннеля. Нажмите кнопку Добавить , чтобы вставить новое правило. В верхней левой части окна нажмите кнопку Показать дополнительные параметры , чтобы просмотреть все опции в меню.

  • Установите флажок, чтобы включить правило VPN, и укажите его имя.
  • Выберите WAN-интерфейс, который вы хотите использовать для подключения VPN, в раскрывающемся поле My Address .
  • Убедитесь, что для параметра Peer Gateway Address установлено значение "Dynamic Address".
  • Введите/создайте "Предварительный общий ключ" аутентификации VPN.
  • В разделе Phase 1 Settings, установите в выпадающем поле Negotiation Mode режим "Main".
  • Установите предложение "Шифрование" и "Аутентификация", которые вы хотите использовать (варианты шифрования: DES, 3DES, AES128, AES192, AES256) (варианты аутентификации: MD5, SHA1, SHA256, SHA512)
  • Выберите группу ключей Диффи-Хеллмана (варианты: DH1, DH2, DH5).

    CautionПримечание: Символ предупреждения справа появится в местах, где требуется ввод, или в местах, где допущена ошибка, например, недопустимые/неподдерживаемые символы.
    Picture1.png

Подключение VPN (этап 2)

Теперь, когда правило VPN-шлюза (фаза 1) создано, перейдите на вкладку VPN Connection , чтобы вставить правило фазы 2 для VPN-туннеля. Нажмите кнопку Добавить , чтобы вставить правило. В верхней левой части окна нажмите кнопку Show Advanced Settings , чтобы просмотреть все опции в меню.

  • Установите флажок, чтобы включить правило, и дайте ему имя.
  • Установите сценарий приложения VPN Gateway на использование "Удаленный доступ (роль сервера)".
  • Для сценария приложения установите в выпадающем списке VPN Gateway на использование политики Phase 1, созданной на предыдущем шаге. (RoadWarrior для данного примера)
  • Прокрутите вниз до опции Policy и установите локальную политику для использования объекта адреса "LAN1_SUBNET". Это даст пользователю VPN доступ ко всем устройствам, подключенным к LAN1.
  • Активный протокол внастройках Phase 2 Setting должен быть установлен на "ESP".
  • Инкапсуляция - "Tunnel".
  • Установите предложение "Encryption" и "Authentication", которое вы хотите использовать (Encryption options are DES, 3DES, AES128, AES192, AES256) (Authentication options are MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) - это дополнительный уровень шифрования. Включать его нет необходимости, но если вы хотите использовать дополнительный уровень шифрования, то можно выбрать следующие варианты: None, DH1, DH2 и/или DH5.
  • В разделе Related Settings, убедитесь, что для Zone установлено значение "IPSec_VPN".

    Picture2.png

Теперь, когда фаза 1 и фаза 2 правила VPN завершены, снимите флажок "Использовать маршрут политики для управления динамическими правилами IPSec". Снятие этой опции позволит ZyWALL автоматически создавать маршруты для подключенных пользователей VPN.
Picture3.png

Предоставление конфигурации

Некоторые VPN-клиенты, такие как "ZyWALL IPSec VPN Client" и "TheGreenBow VPN Client", имеют опцию инициализации, которая позволяет им загружать параметры, настроенные вами правила VPN, вместо того чтобы настраивать клиент вручную. Чтобы настроить предоставление VPN для динамического VPN правила RoadWarrior, мы просто создали вкладку Configuration Provisioning в меню IPSec VPN(Configuration → VPN → IPSec VPN).

Прежде чем настраивать инициализацию, нам нужно создать учетную запись пользователя, чтобы разрешить загрузку настроек. Перейдите по адресу Configuration → Object → User/Group и нажмите кнопку Add , чтобы вставить учетную запись уровня "Пользователь". Административные учетные записи не могут использовать опцию загрузки настроек.
Picture4.png

Теперь, когда учетная запись пользователя создана, перейдите по адресу Configuration → VPN → IPSec VPN и нажмите на вкладку Configuration Provisioning , чтобы вставить правило, разрешающее загрузку VPN настроек RoadWarrior VPN клиента.

  • Включите меню VPN Configuration Provisioning.
  • Нажмите кнопку Add , чтобы создать правило, разрешающее созданиеVPN-соединения "RoadWarrior_Connection" для "VPN-user" Allowed User. Убедитесь, что правило включено, и нажмите Применить , чтобы сохранить настройки.
    Picture5.png

Клиент ZyWALL VPN

Чтобы загрузить настройки обеспечения конфигурации VPN, настроенные на маршрутизаторе, откройте клиентское программное обеспечение, нажмите Конфигурация меню и выберите опцию "Получить с сервера".
Picture6.png

Введите публичный IP-адрес, доменное имя или имя DDNS, связанное с маршрутизатором ZyWALL. Клиент загружает настройки по протоколу SSL. По умолчанию ZyWALL запрограммирован на использование порта 443 для SSL. Если вы изменили порт, укажите новый SSL-порт. Введите имя пользователя и пароль, связанные с конфигурацией инициализации, и нажмите Next.

Picture7.png
Примечание: Это работает только при включенном удаленном управлении на маршрутизаторе ZyWALL, если удаленное управление было отключено, функция предоставления конфигурации не сможет получить параметры конфигурации VPN автоматически с маршрутизатора ZyWALL.

Клиент отправит запрос на загрузку параметров конфигурации VPN на маршрутизатор ZyWALL.
Picture8.png

Теперь, когда конфигурация загружена, вы можете создать VPN-туннель между вашим компьютером и маршрутизатором ZyWALL. Щелкните правой кнопкой мыши на части конфигурации фазы 2 и выберите "Открыть туннель", чтобы запустить VPN-дозвон.
Picture9.png

Чтобы настроить полное или раздельное туннелирование для VPN-трафика, просто посмотрите здесь:

Полное/раздельное туннелирование VPN

Тестирование и устранение неполадок

Попытайтесь установить VPN-соединение с маршрутизатором. Как только соединение будет установлено, попробуйте выполнить пинг или получить доступ к любым ресурсам из удаленной сети.

  1. Если вы не можете получить трафик через VPN-туннель:
  • Отключите брандмауэр на удаленном узле, чтобы убедиться, что он не блокирует запрос.
  • Пытаетесь получить доступ к ресурсам, используя имя хоста компьютера? Попробуйте вместо этого использовать IP-адрес, присвоенный компьютеру. Использование имени хоста компьютера требует широковещательного протокола NetBIOS для определения IP-адреса компьютера; стандарт IPSec не поддерживает широковещательные протоколы. Поскольку стандарт IPSec VPN не поддерживает широковещательные передачи, мы не можем гарантировать, что использование имен хостов вместо IP-адресов будет работать. Обходным путем для этого ограничения стандарта IPSec может быть использование WINS-сервера.
  • Отключите брандмауэр маршрутизатора ZyWALL.
  • Убедитесь в отсутствии конфликтов IP-адресов. Если сеть ZyWALL настроена на использование сети 192.168.1.0/24, а удаленный пользователь использует ту же IP-схему, трафик не будет правильно проходить через VPN-туннель.
  • Проверьте шлюз хост-сети, если на локальном маршрутизаторе (не на ZyWALL) не включен проход VPN или не открыты необходимые порты, VPN может работать неправильно.
  • Обратитесь в службу технической поддержки для получения дальнейшей помощи.
  • VPN-туннель не устанавливается/подключается:
  • Убедитесь, что ваш сетевой маршрутизатор пропускает порты IPSec (UDP:500 и UDP:4500), или включите сквозной VPN, если маршрутизатор поддерживает эту опцию. Можно обойти маршрутизатор, чтобы убедиться, что проблема не в нем.
  • Убедитесь, что ваш интернет-провайдер не блокирует порты VPN; некоторые провайдеры блокируют порты VPN на своей стороне.
  • Убедитесь, что брандмауэр вашего компьютера разрешает соединения с VPN-клиентом.
  • Обновите драйверы сетевых карт (Ethernet и/или Wi-Fi).
  • Проверьте настройки VPN на ZyWALL и убедитесь, что они соответствуют конфигурации программного клиента.
  • Обратитесь в службу технической поддержки для получения дальнейшей помощи.

Видео:

+++ Вы можете купить лицензии для ваших клиентов Zyxel VPN (SSL VPN, IPsec) с немедленной доставкой в 1 клик: Zyxel Webstore +++

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 7
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.