VPN - Настройка L2TP поверх IPSec VPN в режиме Stand-alone с использованием PSK

Создан 04/06/2021 11:50 - Обновлено 25/06/2026 10:49

Serhii Boiarynov

В этой статье показано, как настроить L2TP поверх IPSec в автономном режиме для серий USG FLEX / ATP / VPN, как использовать Мастер настройки, скачать конфигурацию, настроить L2TP вручную через меню VPN-шлюза и подключения, что разрешить в правилах брандмауэра, как включить доступ в интернет для L2TP (без интернета), восстановить конфигурацию по умолчанию, настроить VPN-пользователей, установить VPN из LAN, использовать внешние серверы для аутентификации пользователей, устранение неполадок с помощью логов, настройка MS-CHAPv2.

Что такое L2TP поверх IPSec VPN?

Прежде чем начать руководство по настройке, давайте дадим краткое введение в L2TP поверх IPSec VPN.

L2TP поверх IPSec объединяет протокол туннелирования канального уровня (L2TP, который обеспечивает точка-точка соединение) с протоколом IPSec. Сам по себе L2TP не обеспечивает шифрование содержимого, поэтому туннель обычно строится поверх протокола шифрования уровня 3 — IPsec, что в итоге дает так называемый L2TP поверх IPSec VPN.

В этом руководстве вы найдете всю необходимую информацию для подключения L2TP VPN на устройствах Zyxel Firewall, рассмотрены методы настройки (через мастер и вручную), настройка клиента для Windows, MAC и Linux; а также более продвинутые настройки аутентификации, различные топологии и устранение неполадок на устройствах Firewall и клиентах. Также определен доступ к виртуальной лаборатории, где можно ознакомиться с нашей настройкой, которую можно использовать при настройке удаленного VPN на вашем устройстве.

Настройка L2TP VPN с помощью встроенного Мастера

Перейдите в Мастер настройки

a. Откройте вкладку Quick Setup и в появившемся окне выберите Remote Access VPN Setup:

Выберите сценарий L2TP поверх IPSec Client

Настройка VPN-конфигурации

Введите предпочитаемый Предварительно общий ключ (Pre-Shared Key) и выберите соответствующий WAN-интерфейс.

Здесь вы также можете решить, разрешать ли трафику с клиентского устройства в интернет (правила брандмауэра и маршруты) проходить через устройство Firewall, если на клиентском устройстве не настроен split tunneling.

Определите пул адресов для пользователей L2TP при подключении к VPN. Здесь можно выбрать также предопределенный диапазон 192.168.51.1-250.

Примечание: пул адресов не должен пересекаться с какой-либо существующей сетью на вашем устройстве.

Для DNS выберите ZyWALL или введите сервер вручную.

Настройка аутентификации пользователей

Выберите существующий объект пользователя, чтобы добавить его в список участников L2TP, или создайте нового пользователя с помощью кнопки "Add New User".

Сохранение конфигурации и загрузка конфигурации L2TP

После нажатия кнопки сохранения туннель L2TP готов к использованию.

g. Убедитесь, что правила брандмауэра разрешают доступ к портам UDP 4500 и 500 с WAN на Zywall, а также что зона по умолчанию IPSec_VPN имеет доступ к сетевым ресурсам. Это можно проверить в:

Configuration  > Security Policy > Policy Control

Ручная настройка L2TP/IPSec VPN

Ниже описаны шаги, необходимые для ручной настройки L2TP поверх IPSec VPN. Топология и применение такие же, как при использовании Мастера, отличие только в шагах настройки.

Настройка VPN-шлюза

Перейдите по следующему пути и создайте новый VPN-шлюз:

Configuration > VPN > IPSEC VPN > VPN Gateway

Нажмите "Show Advanced Settings". Введите имя шлюза, выберите ваш WAN-интерфейс и добавьте предварительно общий ключ:

Configure VPN Gateway

Установите режим переговоров в Main и добавьте следующие (общие) предложения, подтвердите нажатием OK:

Negotiation Mode to Main

Настройка VPN-подключения

Перейдите по следующему пути и создайте новое VPN-подключение:

 Configuration > VPN > IPSec VPN > VPN Connection

Нажмите "Show Advanced Settings". Введите имя подключения, установите сценарий применения в Remote Access (Server Role) и выберите ранее созданный VPN-шлюз:

Advanced Settings

Для Local Policy создайте новый объект IPv4-адреса (через кнопку "Create New Object") для вашего реального WAN IP и затем назначьте его в VPN-подключении как Local Policy:

Local Policy

VPN

Установите Encapsulation в Transport и добавьте следующие предложения, подтвердите нажатием OK:

Transport

Настройка параметров L2TP VPN

Теперь, когда настройки IPSec завершены, необходимо настроить параметры L2TP. Перейдите по следующему пути:

Configuration -> VPN -> L2TP VPN Settings

При необходимости создайте новых локальных пользователей, которым будет разрешено подключение к VPN:
L2TP VPN Settings

L2TP VPN Settings

Создайте пул IP-адресов L2TP с диапазоном IP-адресов, который будет использоваться клиентами при подключении к L2TP/IPSec VPN.

Примечание: этот пул не должен конфликтовать с подсетями WAN, LAN, DMZ или WLAN, даже если они не используются.

WAN, LAN, DMZ or WLAN Subnets

Обобщение настроек L2TP

Теперь давайте установим настройки L2TP:

Выберите VPN-подключение, созданное в разделе 2.2 Настройка VPN-подключения
Для пула IP-адресов выберите объект диапазона IP L2TP
Метод аутентификации можно установить по умолчанию для локальной аутентификации пользователей
Разрешенные пользователи могут быть назначены для пользователя. Если нужно несколько пользователей, можно создать группу пользователей на странице объектов.
DNS и WINS серверы можно выбрать как устройство Firewall (Zywall) или указать IP-адрес кастомного сервера.
Если нужен доступ в интернет через устройство Firewall при подключении к L2TP/IPSec VPN, убедитесь, что опция "Allow Traffic Through WAN Zone" включена.
Нажмите "Apply", чтобы сохранить настройки. Таким образом, L2TP/IPSec VPN готов к работе.

L2TP settings

Обязательные настройки - Разрешение UDP портов 4500 и 500

Убедитесь, что правила брандмауэра разрешают доступ к портам UDP 4500 и 500 с WAN на Zywall, а также что зона по умолчанию IPSec_VPN имеет доступ к сетевым ресурсам. Это можно проверить в:

Configuration  > Security Policy > Policy Control

Включение доступа в интернет через L2TP с помощью политик маршрутизации

Если некоторый трафик от клиентов L2TP должен идти в интернет, создайте политику маршрутизации, чтобы отправлять трафик из туннелей L2TP через WAN-транк.

Перейдите по следующему пути и добавьте новую политику маршрутизации:

Configuration > Network > Routing > Policy Route

Установите Incoming в Tunnel и выберите ваше L2TP VPN-подключение. Установите Source Address в пул адресов L2TP. Установите Next-Hop Type в Trunk и выберите соответствующий WAN-транк.

2TP via Policy Routes

Советы и устранение неполадок - Восстановление конфигурации L2TP VPN по умолчанию

В некоторых случаях может потребоваться полностью сбросить настройки L2TP VPN на странице:

Configuration > VPN > L2TP VPN

Настройка клиентов L2TP VPN

L2TP поверх IPSec очень популярен и обычно поддерживается многими платформами конечных устройств с собственными встроенными клиентами.

Вот некоторые из самых распространенных и как их настроить:

Windows/MacOS/Linux:

Nebula VPN - Настройка L2TP на Nebula Firewall с использованием Android, iOS, Windows и Linux Ubuntu

Расширенная настройка: Установка L2TP VPN из LAN:

VPN — популярная функция для шифрования пакетов при передаче данных.

В текущем дизайне ZyWALL/USG/ATP, когда VPN-интерфейс основан на интерфейсе WAN1, VPN-запрос должен приходить с интерфейса WAN1 (ограничение интерфейса), иначе запрос будет отклонен. (например, VPN-подключение пришло с LAN1)

Однако в некоторых сценариях пользователям может потребоваться установить VPN-туннель не только с WAN, но и с LAN.

Этот сценарий также поддерживается ZyWALL/USG/ATP. Пользователи могут следовать приведенной ниже процедуре, чтобы отключить ограничение интерфейса VPN, чтобы VPN-подключение могло приходить как с WAN, так и с LAN.

Topology:

Версия прошивки USG: 4.32 или выше

Настройка USG:

Чтобы разрешить L2TP из LAN, необходимо получить доступ к устройству через терминал (Serial, Telnet, SSH) и ввести следующие команды:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Перезагрузите устройство.

Расширенная настройка: Использование внешних серверов для аутентификации пользователей, подключающихся к L2TP VPN

В этом разделе описано, как настроить L2TP поверх IPSec с MS-CHAPv2 на сериях USG/Zywall. Для продвинутых реализаций аутентификация пользователей с помощью серверов Active Directory (AD) может быть реализована для аутентификации L2TP/IPSec VPN.

Сценарий:

AD-домен: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Перейдите в Configuration>Object>AAA Server. Включите аутентификацию домена для MSCHAP

Учетные данные обычно совпадают с администратором AD.

Configuration>Object>AAA Server

2. Перейдите в System>Host Name, введите домен AD в Domain Name

Этот шаг позволяет USG присоединиться к AD-домену. Туннель будет установлен успешно только если этот шаг выполнен корректно.

System>Host Name

3. Проверьте, присоединился ли USG к домену. Перейдите в Active Directory Users and Computers>Computers

В данном случае видно, что usg110 присоединился к домену. Также можно проверить подробную информацию во вкладке Properties>Object по правому клику.

Active Directory Users

4. Отредактируйте Domain Zone, введите имя домена в System> DNS >Domain Zone Forwarder.

Иногда при наборе туннеля происходит тайм-аут, поэтому нужно настроить следующий параметр, Query interface — это интерфейс, на котором расположен ваш AD-сервер.

Domain Zone Forwarder.

5. Проверьте настройки подключения на вашем Windows.

Убедитесь, что включен (MS-CHAP v2) и введен предварительно общий ключ в расширенных настройках.

MS-CHAP v2

6. Проверьте информацию о входе на странице Мониторинга. AD-пользователь должен появиться в списке текущих пользователей после успешного установления туннеля.

Вы увидите, что тип пользователя — L2TP, а информация о пользователе — внешний пользователь.

L2TP

Статьи в этом разделе

Больше