Важное уведомление: |
В этом руководстве вы узнаете, как настроить IKEv2 IPsec VPN с помощью мастера настройки (Quick Setup) на Zyxel Firewall VPN/USG FLEX/ATP series и как подключиться к нему на Android, iPhone (iOS), Windows PC и Mac компьютерах, используя как Zyxel SecuExtender, так и собственный клиент. Мы также рассмотрим особенности настройки VPN на устройствах с iOS, мобильных устройствах под управлением версии 18 и выше, а также ПК с прошивкой Sonoma или более поздней.
Примечание: IP-адреса на рисунке приведены только для примера и не имеют отношения к статье в целом. В вашем случае они могут быть другими.
Настройка VPN с помощью быстрой настройки
Войдите в WEB GUI брандмауэра, перейдите в раздел Quick Setup, выберите Remote Access VPN, а затем IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).
Используйте этот пункт, если вы используете IPSec VPN-клиент Zyxel SecuExtender или операционную систему компьютера, которая поддерживает IPSec VPN с IKEv2 (не-SecuExtender VPN-клиент). Вы можете создать правило Full Tunnel или Split Tunnel VPN с помощью VPN-клиента Zyxel SecuExtender. Вы можете создать правило полного туннеля VPN только с клиентом не-SecuExtender VPN.
Настройте пул IP-адресов для клиента.
Пул IP-адресов будет использовать выбранную неиспользуемую подсеть на устройстве, чтобы избежать настройки одной и той же подсети. Пул IP-адресов будет начинаться с 192.168.50.1. Если подсеть 192.168.50.1 существует в настройках шлюза, пул IP-адресов будет автоматически изменен.
Добавьте или создайте пользователей, которые будут иметь доступ к VPN. После добавления пользователей нажмите кнопку Далее и просмотрите все настройки, чтобы убедиться в их точности. Теперь вы можете загрузить автоматизированный сценарий для настройки VPN или настроить его вручную с помощью сертификата.
После успешной настройки VPN вы можете загрузить и установить файлы сценария на устройствах Windows, MacOS, iOS или Android для автоматической настройки параметров VPN.
Примечание: Настройки VPN для IPSec VPN-клиентов, не относящихся к SecuExtender, не поддерживают следующие функции:
- Ограничение полосы пропускания при загрузке
- Разделенный туннель
- Двухфакторная аутентификация (Google Authenticator)
Важно: Пользователи iOS 18 или более поздней версии и Mac OS 14 Sonoma не могут использовать скрипт и должны настраивать его вручную. В этой статье, в разделе настроек для iPhone и MacOS, вы найдете более подробное описание необходимых шагов.
Имейте в виду: Чтобы свести к минимуму ошибки настройки и другие потенциальные проблемы, мы рекомендуем использовать скрипт для установки. Однако вы также можете вручную установить и настроить сертификат непосредственно на конечном устройстве. Подробные инструкции по ручной установке сертификата и настройке VPN можно найти в разделе "Ручная настройка сертификата".
Использование сценария VPN под Windows
Сохраните архив со скриптом на своем компьютере, распакуйте папку, а затем запустите скрипт с правами администратора (это файл с расширением bat).
После успешной установки перейдите в настройки VPN на вашем компьютере. Там вы найдете созданное VPN-соединение. Нажмите кнопку подключиться. Далее введите имя пользователя и пароль.
Использование скрипта VPN на Android
Для пользователей Android, пожалуйста, установите StrongSwan и следуйте этой статье:
Использование скрипта VPN на iPhone
Важно: Пользователи iOS 18 или более поздней версии и Mac OS 14 Sonoma не могут использовать скрипт и должны настраивать его вручную. Это связано с повышенными требованиями Apple к безопасности шифрования IKEv2 VPN. Чтобы решить эту проблему, необходимо внести изменения Key Group и Proposal в настройки Phase 1 Settings и Phase 2 Settings ранее созданного VPN-соединения с помощью Quick Setup (Wizzard).
Чтобы продолжить, вернитесь в веб-интерфейс вашего брандмауэра. В левом меню выберите "Конфигурация", затем перейдите к "VPN". Откройте настройки конфигурации для соответствующего VPN-соединения и добавьте предложение со следующими параметрами в разделе "Настройка фазы 2" :
Предложение
- Шифрование: AES256
- Аутентификация: SHA256.
Далее переходим на вкладку "VPN Gateway", где нам нужно обновить настройки Фазы 1 следующим образом:
Предложение
- Шифрование: AES256
- Аутентификация: SHA256
Группа ключей: DH2 DH14 DH19
После внесения изменений не забудьте применить их, нажав на кнопку "Применить".
Следующим шагом будет загрузка сертификата для нашего VPN-соединения и его установка на ваше устройство.
Как загрузить сертификат
Перейдите в раздел Конфигурация -> Объект -> Сертификат, выберите сертификат VPN и нажмите кнопку "Загрузить", чтобы загрузить сертификат.
Теперь вы можете либо выбрать экспорт сертификата с паролем, чтобы сделать его безопасным и гарантировать, что он не попадет в чужие руки, либо оставить это поле пустым, чтобы экспортировать сертификат без пароля для установки.
Теперь вы можете прикрепить этот сертификат к электронному письму, которое вы отправляете пользователям, объясняя, как установить его и подключиться к VPN.
iPhone iOS 18 и выше: Ручная установка сертификата и настройка VPN
Теперь перейдем к настройкам на самом iPhone. Загрузите сертификат, отправленный, например, по почте, на iPhone.
Примечание: Эти изменения не влияют на существующие VPN-соединения, независимо от того, как они были созданы - с помощью "Быстрой настройки" или вручную.
| Отправьте сертификат по почте, например. На своем Iphone откройте почтовое сообщение, содержащее сертификат, и выполните его. | ||
После оформления сертификата в настройках вашего устройства появится новый профиль. Чтобы найти его, перейдите в настройки вашего Iphone
| Нажмите на кнопку "Профиль загружен": | Нажмите на "Установить": | Нажмите на "Установить": |
| Теперь у вас есть проверенный сертификат: | Перейдите в Настройки -> VPN и устройство | Нажмите "Добавить VPN" |
| Введите WAN IP-адрес вашего брандмауэра в поля "Server" и "Remote ID", а также имя пользователя и пароль. | Установите соединение и дождитесь статуса "Подключено", обычно это занимает несколько секунд. |
Windows 10 и выше: Ручная установка сертификата и настройка VPN
| Дважды щелкните сертификат левой кнопкой мыши и нажмите кнопку "Открыть" в новом открывшемся окне | Нажмите на кнопку "Установить сертификат". |
Вы также можете попробовать дважды щелкнуть по сертификату, нажав "Установить сертификат..." и "Далее".
| Выберите, будет ли сертификат доступен всем пользователям компьютера или только текущему пользователю. | Нажмите "Поместить все сертификаты в следующее хранилище" и выберите "Доверенные корневые центры сертификации". |
| Почти готово, нажимаем "Готово". | Затем выводим предупреждение и готово! |
Теперь давайте настроим сам VPN-профиль. Для этого на компьютере перейдите в раздел VPN.
| Воспользуйтесь поиском Windows и найдите VPN, а затем выберите "Настройки VPN" в строке поиска Windows: | В открывшемся окне нажмите "Добавить VPN-соединение". |
MAC OS 14 Sonoma и выше: Ручная установка сертификата и настройка VPN
| Дважды щелкните по сертификату и выберите "связку ключей" "система". | Нажмите на символ WiFi и "Сетевые настройки". Затем нажмите на знак "+" под вашими WiFi-соединениями. |
Щелкните на значке WiFi и "Настройки сети". Затем нажмите на знак "+" под вашими WiFi-соединениями и Создайте IKEv2 VPN, как показано ниже.
Введите IP-адрес / FQDN, удаленный идентификатор, а затем нажмите на настройки аутентификации ниже. Выберите имя пользователя и введите имя пользователя и пароль.
Zyxel SecuExtender
SecuExtender использует принцип Zero Trust, чтобы помочь ИТ-отделам проверять личность пользователей, обеспечивая контроль доступа для повышения безопасности. Для использования SecuExtender требуется лицензия . Но вы можете скачать его бесплатно и протестировать бесплатную пробную версию, нажав здесь: SecuExtender VPN Client
В этой статье мы рассмотрим настройку Zyxel SecuExtender на примере клиента для Windows. Однако для macOS процедура идентична, за исключением небольшого отличия в дизайне приложения.
Откройте приложение и нажмите "Конфигурация" в левом верхнем углу. В выпадающем меню вы найдете 2 пункта "Получить с сервера" и "Мастер".
Оба варианта очень просты. При выборе "Получить с сервера" вам необходимо знать имя или адрес, а также имя пользователя и пароль VPN-пользователя. В случае с "Мастером" вы можете вносить дополнительные изменения во время настройки.
Загрузка профиля VPN прошла успешно. Теперь перейдите в главное меню, и вы увидите новый VPN-профиль в списке слева. Дважды щелкните слева и введите имя пользователя и пароль. Готово. Соединение успешно установлено!
Обратите внимание , что "Проверка сертификата" должна быть отключена, если вы используете стандартный и самоподписанный ЦС.