[VPN] Zyxel USG FLEX/ATP VPN [Быстрая настройка] - настройка IKEv2 IPSec VPN с помощью мастера с сертификатом на Android / iPhone iOS / Windows / MacOS

Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия по поводу точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этом руководстве вы узнаете, как настроить IKEv2 IPsec VPN с помощью мастера настройки (Quick Setup) на Zyxel Firewall VPN/USG FLEX/ATP series и как подключиться к нему на Android, iPhone (iOS), Windows PC и Mac компьютерах, используя как Zyxel SecuExtender, так и собственный клиент. Мы также рассмотрим особенности настройки VPN на устройствах с iOS, мобильных устройствах под управлением версии 18 и выше, а также ПК с прошивкой Sonoma или более поздней.

Примечание: IP-адреса на рисунке приведены только для примера и не имеют отношения к статье в целом. В вашем случае они могут быть другими.

Настройка VPN с помощью быстрой настройки

Войдите в WEB GUI брандмауэра, перейдите в раздел Quick Setup, выберите Remote Access VPN, а затем IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).

Используйте этот пункт, если вы используете IPSec VPN-клиент Zyxel SecuExtender или операционную систему компьютера, которая поддерживает IPSec VPN с IKEv2 (не-SecuExtender VPN-клиент). Вы можете создать правило Full Tunnel или Split Tunnel VPN с помощью VPN-клиента Zyxel SecuExtender. Вы можете создать правило полного туннеля VPN только с клиентом не-SecuExtender VPN.

Настройте пул IP-адресов для клиента.

Пул IP-адресов будет использовать выбранную неиспользуемую подсеть на устройстве, чтобы избежать настройки одной и той же подсети. Пул IP-адресов будет начинаться с 192.168.50.1. Если подсеть 192.168.50.1 существует в настройках шлюза, пул IP-адресов будет автоматически изменен.

Добавьте или создайте пользователей, которые будут иметь доступ к VPN. После добавления пользователей нажмите кнопку Далее и просмотрите все настройки, чтобы убедиться в их точности. Теперь вы можете загрузить автоматизированный сценарий для настройки VPN или настроить его вручную с помощью сертификата.

После успешной настройки VPN вы можете загрузить и установить файлы сценария на устройствах Windows, MacOS, iOS или Android для автоматической настройки параметров VPN.

Примечание: Настройки VPN для IPSec VPN-клиентов, не относящихся к SecuExtender, не поддерживают следующие функции:

  • Ограничение полосы пропускания при загрузке
  • Разделенный туннель
  • Двухфакторная аутентификация (Google Authenticator)

Важно: Пользователи iOS 18 или более поздней версии и Mac OS 14 Sonoma не могут использовать скрипт и должны настраивать его вручную. В этой статье, в разделе настроек для iPhone и MacOS, вы найдете более подробное описание необходимых шагов.

Имейте в виду: Чтобы свести к минимуму ошибки настройки и другие потенциальные проблемы, мы рекомендуем использовать скрипт для установки. Однако вы также можете вручную установить и настроить сертификат непосредственно на конечном устройстве. Подробные инструкции по ручной установке сертификата и настройке VPN можно найти в разделе "Ручная настройка сертификата".

Использование сценария VPN под Windows

Сохраните архив со скриптом на своем компьютере, распакуйте папку, а затем запустите скрипт с правами администратора (это файл с расширением bat).

После успешной установки перейдите в настройки VPN на вашем компьютере. Там вы найдете созданное VPN-соединение. Нажмите кнопку подключиться. Далее введите имя пользователя и пароль.

Использование скрипта VPN на Android

Для пользователей Android, пожалуйста, установите StrongSwan и следуйте этой статье:

Использование скрипта VPN на iPhone

Важно: Пользователи iOS 18 или более поздней версии и Mac OS 14 Sonoma не могут использовать скрипт и должны настраивать его вручную. Это связано с повышенными требованиями Apple к безопасности шифрования IKEv2 VPN. Чтобы решить эту проблему, необходимо внести изменения Key Group и Proposal в настройки Phase 1 Settings и Phase 2 Settings ранее созданного VPN-соединения с помощью Quick Setup (Wizzard).

Чтобы продолжить, вернитесь в веб-интерфейс вашего брандмауэра. В левом меню выберите "Конфигурация", затем перейдите к "VPN". Откройте настройки конфигурации для соответствующего VPN-соединения и добавьте предложение со следующими параметрами в разделе "Настройка фазы 2" :

Предложение

  • Шифрование: AES256
  • Аутентификация: SHA256.

Далее переходим на вкладку "VPN Gateway", где нам нужно обновить настройки Фазы 1 следующим образом:

Предложение

  • Шифрование: AES256
  • Аутентификация: SHA256

Группа ключей: DH2 DH14 DH19

После внесения изменений не забудьте применить их, нажав на кнопку "Применить".

Следующим шагом будет загрузка сертификата для нашего VPN-соединения и его установка на ваше устройство.

Как загрузить сертификат

Перейдите в раздел Конфигурация -> Объект -> Сертификат, выберите сертификат VPN и нажмите кнопку "Загрузить", чтобы загрузить сертификат.

Теперь вы можете либо выбрать экспорт сертификата с паролем, чтобы сделать его безопасным и гарантировать, что он не попадет в чужие руки, либо оставить это поле пустым, чтобы экспортировать сертификат без пароля для установки.

Теперь вы можете прикрепить этот сертификат к электронному письму, которое вы отправляете пользователям, объясняя, как установить его и подключиться к VPN.

iPhone iOS 18 и выше: Ручная установка сертификата и настройка VPN

Теперь перейдем к настройкам на самом iPhone. Загрузите сертификат, отправленный, например, по почте, на iPhone.

Примечание: Эти изменения не влияют на существующие VPN-соединения, независимо от того, как они были созданы - с помощью "Быстрой настройки" или вручную.

Отправьте сертификат по почте, например. На своем Iphone откройте почтовое сообщение, содержащее сертификат, и выполните его.

После оформления сертификата в настройках вашего устройства появится новый профиль. Чтобы найти его, перейдите в настройки вашего Iphone

Нажмите на кнопку "Профиль загружен": Нажмите на "Установить": Нажмите на "Установить":
Теперь у вас есть проверенный сертификат: Перейдите в Настройки -> VPN и устройство Нажмите "Добавить VPN"
Введите WAN IP-адрес вашего брандмауэра в поля "Server" и "Remote ID", а также имя пользователя и пароль. Установите соединение и дождитесь статуса "Подключено", обычно это занимает несколько секунд.

Windows 10 и выше: Ручная установка сертификата и настройка VPN

Дважды щелкните сертификат левой кнопкой мыши и нажмите кнопку "Открыть" в новом открывшемся окне Нажмите на кнопку "Установить сертификат".

Вы также можете попробовать дважды щелкнуть по сертификату, нажав "Установить сертификат..." и "Далее".

Выберите, будет ли сертификат доступен всем пользователям компьютера или только текущему пользователю. Нажмите "Поместить все сертификаты в следующее хранилище" и выберите "Доверенные корневые центры сертификации".
Почти готово, нажимаем "Готово". Затем выводим предупреждение и готово!

Теперь давайте настроим сам VPN-профиль. Для этого на компьютере перейдите в раздел VPN.

Воспользуйтесь поиском Windows и найдите VPN, а затем выберите "Настройки VPN" в строке поиска Windows: В открывшемся окне нажмите "Добавить VPN-соединение".

MAC OS 14 Sonoma и выше: Ручная установка сертификата и настройка VPN

Дважды щелкните по сертификату и выберите "связку ключей" "система". Нажмите на символ WiFi и "Сетевые настройки". Затем нажмите на знак "+" под вашими WiFi-соединениями.
Ska_rmavbild_2022-02-23_kl._08.48.45.png
mceclip0.png

Щелкните на значке WiFi и "Настройки сети". Затем нажмите на знак "+" под вашими WiFi-соединениями и Создайте IKEv2 VPN, как показано ниже.

mceclip0.png
Ska_rmavbild_2022-02-23_kl._08.50.24.png

Введите IP-адрес / FQDN, удаленный идентификатор, а затем нажмите на настройки аутентификации ниже. Выберите имя пользователя и введите имя пользователя и пароль.

mceclip1.png
mceclip1.png

Zyxel SecuExtender

SecuExtender использует принцип Zero Trust, чтобы помочь ИТ-отделам проверять личность пользователей, обеспечивая контроль доступа для повышения безопасности. Для использования SecuExtender требуется лицензия . Но вы можете скачать его бесплатно и протестировать бесплатную пробную версию, нажав здесь: SecuExtender VPN Client

В этой статье мы рассмотрим настройку Zyxel SecuExtender на примере клиента для Windows. Однако для macOS процедура идентична, за исключением небольшого отличия в дизайне приложения.

Откройте приложение и нажмите "Конфигурация" в левом верхнем углу. В выпадающем меню вы найдете 2 пункта "Получить с сервера" и "Мастер".

Оба варианта очень просты. При выборе "Получить с сервера" вам необходимо знать имя или адрес, а также имя пользователя и пароль VPN-пользователя. В случае с "Мастером" вы можете вносить дополнительные изменения во время настройки.

Загрузка профиля VPN прошла успешно. Теперь перейдите в главное меню, и вы увидите новый VPN-профиль в списке слева. Дважды щелкните слева и введите имя пользователя и пароль. Готово. Соединение успешно установлено!

Обратите внимание , что "Проверка сертификата" должна быть отключена, если вы используете стандартный и самоподписанный ЦС.

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 8 из 21
Поделиться