Важное уведомление: |
Эта статья показывает, как настроить L2TP через IPSec в автономном режиме для USG FLEX / ATP / VPN серии и как настроить мастер, скачать конфигурацию, настройка L2TP вручную с помощью VPN шлюз и подключение меню, что разрешить в правилах брандмауэра, как включить доступ в Интернет для L2TP (без Интернета), восстановление конфигурации по умолчанию, настройка VPN пользователей, установить VPN из локальной сети, использование внешних серверов для аутентификации пользователей, устранение неполадок с помощью журналов, настроить MS-CHAPv2.
Таблица содержания
1. Настройка L2TP VPN с помощью встроенного мастера
1.2 Выберите сценарий L2TP через IPSec-клиент
1.3 Настройте конфигурацию VPN
1.4 Настройка аутентификации пользователей
1.5 Сохранить конфигурацию и загрузить конфигурацию L2TP
2) Настройка L2TP/IPSec VPN вручную
2.3 Настройка параметров L2TP VPN
3) Обязательные конфигурации
3.1 Разрешить UDP-порты 4500 и 500
3.2 Разрешите доступ в Интернет через L2TP с помощью маршрутов политики
4. Советы и устранение неполадок
4.1 Восстановление стандартной конфигурации L2TP VPN
4.2 Настройка клиентов L2TP VPN
4.3 Расширенная настройка: Создание L2TP VPN из локальной сети:
4.5 L2TP Over IPSec VPN - виртуальная лаборатория
4.7 Настройка L2TP MS-CHAPv2 на USG/Zywall Series
Что такое L2TP через IPSec VPN?
Прежде чем приступить к руководству по настройке, давайте познакомимся с L2TP over IPSec VPN.
L2TP поверх IPSec объединяет протокол Layer 2 Tunneling Protocol (L2TP, который обеспечивает соединение "точка-точка") с протоколом IPSec. Сам по себе L2TP не обеспечивает никакого шифрования контента, поэтому туннель принято строить поверх протокола шифрования третьего уровня IPsec, имея в результате так называемый L2TP over IPSec VPN.
В этом руководстве вы можете изучить всю информацию, необходимую для L2TP VPN-соединений на устройствах Zyxel Firewall, изучить методы настройки (с помощью мастера и вручную), настройку клиента для Windows, MAC и Linux, а также более сложные настройки для аутентификации, различные топологии и устранение неполадок на устройствах Firewall и клиентских устройствах. Также предоставляется доступ к виртуальной лаборатории, где можно просмотреть нашу настройку, которая также может быть использована при настройке удаленного VPN на вашем устройстве.
1. Настройте L2TP VPN с помощью встроенного мастера
1.1 Перейдите к мастеру
a. Откройтевкладку Quick Setup и во всплывающем окне выберите Remote Access VPN Setup:
1.2 Выберите сценарий клиента L2TP через IPSec
1.3 Настройка конфигурации VPN
Введите предпочтительный Pre-Shared Key и выберите соответствующий WAN-интерфейс.
1.4 Настройка аутентификации пользователей
1.5 Сохранение конфигурации и загрузка конфигурации L2TP
Configuration > Security Policy > Policy Control
2) Настройка L2TP/IPSec VPN вручную
Ниже описаны шаги, необходимые для ручной настройки L2TP поверх IPSec VPN. Топология и приложение такие же, как и при использовании Мастера, разница лишь в шагах настройки.
2.1 Настройка VPN-шлюза
Перейдите по следующему пути и создайте новый VPN-шлюз:
Configuration > VPN > IPSEC VPN > VPN Gateway
Нажмите на кнопку "Показать дополнительные настройки". Введите имя шлюза, выберите WAN-интерфейс и добавьте предварительный ключ:
Установите режим переговоров на Main, добавьте следующие (общие) предложения и подтвердите их нажатием кнопки OK:
2.2 Настройка VPN-соединения
Перейдите по следующему пути и создайте новое VPN-соединение:
Configuration > VPN > IPSec VPN > VPN Connection
Нажмите на кнопку "Показать дополнительные настройки". Введите имя соединения, установите сценарий приложения на Remote Access (Server Role) и выберите VPN-шлюз, который вы создали ранее:
Для локальной политики создайте новый объект IPv4 Address Object (с помощью кнопки"Create New Object") для вашего реального IP WAN и затем установите его для VPN-соединения в качестве локальной политики:
Установите Encapsulation на Transport и добавьте следующие предложения, подтвердите нажатием кнопки OK:
2.3 Настройка параметров L2TP VPN
Теперь, когда настройки IPSec выполнены, необходимо настроить параметры L2TP. Перейдите по следующему пути:
Configuration -> VPN -> L2TP VPN Settings
При необходимости создайте нового локального пользователя (пользователей), которому будет разрешено подключаться к VPN:
Создайте пул IP-адресов L2TP с диапазоном IP-адресов, которые будут использоваться клиентами при подключении к L2TP/IPSec VPN.
Примечание: Он не должен конфликтовать с подсетями WAN, LAN, DMZ или WLAN, даже если они не используются.
2.4 Обобщение настроек L2TP
Теперь давайте установим настройки L2TP:
- Установите VPN-соединение, созданное в разделе 2.2 Настройка VPN-соединения
- В пуле IP-адресов вы можете задать объект диапазона IP-адресов L2TP.
- Метод аутентификации может быть установлен по умолчанию для аутентификации локального пользователя
- Разрешенные пользователи могут быть установлены для пользователя. Если требуется несколько пользователей, на странице Объект можно создать группу пользователей.
- В качестве DNS-сервера (серверов) и WINS-сервера можно выбрать само устройство брандмауэра (Zywall) или настраиваемый IP-адрес сервера.
- В случае необходимости доступа в Интернет через устройство Firewall при подключении к L2TP/IPSec VPN, убедитесь, что опция "Разрешить трафик через WAN-зону" включена.
- Нажмите на кнопку "Применить", чтобы сохранить настройки. На этом L2TP/IPSec VPN как таковая готова.
3) Обязательные конфигурации
3.1 Разрешить UDP-порты 4500 и 500
Убедитесь, что правила брандмауэра разрешают доступ к портам UDP 4500 и 500 из WAN в Zywall, и что зона по умолчанию IPSec_VPN имеет доступ к сетевым ресурсам. Это можно проверить в:
Configuration > Security Policy > Policy Control
3.2 Включение доступа к интернету через L2TP с помощью маршрутов политики
Если часть трафика от клиентов L2TP должна идти в интернет, создайте маршрут политики для отправки трафика из туннелей L2TP через магистраль WAN.
Configuration > Network > Routing > Policy Route
Установите для параметра Incoming значение Tunnel и выберите ваше L2TP VPN-соединение. Установите Source Address в качестве пула адресов L2TP. Установите Next-Hop Type на Trunk и выберите соответствующую магистраль WAN.
Для получения более подробной информации об этом шаге, пожалуйста, ознакомьтесь со статьей:
Как разрешить клиентам L2TP работать через USG
4. Советы и устранение неполадок
4.1 Восстановление конфигурации L2TP VPN по умолчанию
В некоторых случаях может потребоваться заново начать настройки L2TP VPN на странице:
Configuration > VPN > L2TP VPNПри необходимости воспользуйтесь следующей статьей, в которой описаны методы возврата настроек по умолчанию.
ZyWALL USG: Восстановление конфигурации VPN-L2TP по умолчанию
4.2 Настройка клиентов L2TP VPN
L2TP через IPSec является очень популярным и обычно поддерживается многими платформами конечных устройств с их собственными встроенными клиентами.
Ниже приведены наиболее распространенные из них и способы их настройки:
4.3 Расширенная настройка: Создание L2TP VPN из локальной сети:
VPN - это популярная функция шифрования пакетов при передаче данных.
В текущей конструкции ZyWALL/USG/ATP, когда интерфейс VPN основан на интерфейсе WAN1, запрос VPN должен исходить от интерфейса WAN1 (интерфейс ограничен), в противном случае запрос будет отклонен. (Например, VPN-соединение пришло из LAN1)
Однако в некоторых сценариях пользователям может потребоваться создать VPN-туннель не только из WAN, но и из LAN.
Этот сценарий также поддерживается ZyWALL/USG/ATP. Чтобы отключить ограничение VPN-интерфейса, чтобы VPN-соединение можно было установить как из глобальной, так и из локальной сети, выполните следующую процедуру.
Топология:
USG Версия микропрограммы:
4.32 или выше
Конфигурация USG:
Чтобы включить L2TP из локальной сети, необходимо получить доступ к устройству с помощью терминального соединения (Serial, Telnet, SSH) и ввести следующие команды:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Перезагрузите устройство.
4.4 Расширенная настройка: Использование внешних серверов для аутентификации пользователей, подключающихся к L2TP VPN
В этом разделе описывается настройка L2TP через IPSec с MS-CHAPv2 на устройствах серии USG/Zywall. Для расширенных реализаций аутентификация пользователей с помощью серверов Active Directory (AD) может быть реализована на основе аутентификации L2TP/IPSec VPN.
Сценарий:
Домен AD: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Перейдите по адресу Configuration>Object>AA Server. Включите аутентификацию домена для MSCHAP
Учетные данные обычно такие же, как у администратора AD.
2. Перейдите по адресуSystem>Host Name,введите домен ADв поле Domain Name.
Этот поток заставляет USG присоединиться к домену AD. Туннель будет успешно установлен только тогда, когда эта часть будет работать.
3. Убедитесь, что USG присоединился к домену. Перейдите по адресу Active Directory Пользователи и компьютеры>Компьютеры.
В этом случае вы можете обнаружить, что usg110 присоединился к домену. Также можно проверить подробную информацию на вкладке Свойства>Объект, щелкнув правой кнопкой мыши.
4. Редактирование доменной зоны, поместите имя домена в System> DNS >Domain Zone Forwarder.
Иногда при подключении к туннелю может возникнуть ошибка, поэтому необходимо настроить следующие параметры: Query interface - это место, где расположен ваш сервер AD.
5. Проверьте настройки подключения в Windows.
Убедитесь, что вы включили (MS-CHAP v2) и ввели предварительный ключ в дополнительных настройках.
6. Проверьте информацию о входе в систему на странице Monitor page>, После успешного подключения к туннелю пользователь AD должен появиться в списке текущих пользователей.
Тип пользователя - L2TP, а информация о пользователе - внешний пользователь.
В качестве дополнительной информации в следующей статье подробно описаны поддерживаемые аутентификации, которые поддерживаются нашими брандмауэрами с L2TP/IPSec VPN:
ZyWALL USG - Поддерживаемая аутентификация по L2TP
4.5 L2TP через IPSec VPN - виртуальная лаборатория
Не стесняйтесь взглянуть на нашу виртуальную лабораторию по настройке L2TP VPN на наших устройствах Firewall. С помощью этой виртуальной лаборатории вы можете посмотреть на правильную конфигурацию для сравнения при настройке вашей среды:
Виртуальная лаборатория - End-to-Site VPN (L2TP)