Важное уведомление: |
Начиная с ZLD 5.20, устройства USG FLEX и ATP поддерживают предопределенные настройки для клиентов SecuExtender IPSec и не-SecuExtender IPSec VPN. В этой статье мы расскажем вам о том, как использовать мастер настройки VPN для удаленного доступа (быстрая настройка). Мы также продемонстрируем, как настроить StrongSwan на Android с помощью сценария быстрой настройки, вручную установить сертификаты и настроить StrongSwan на создание VPN-туннеля с использованием IKEv2 с аутентификацией EAP-MSCHAPv2.
Примечание: Вы также можете использовать это, если L2TP VPN был удален на Android версии 12+.
Имейте в виду: После настройки VPN с помощью быстрой установки вы всегда можете изменить настройки позже. Например, вы можете добавить или изменить группы или включить дополнительные предложения, если это необходимо.
Однако помните, что изменения, внесенные вручную, могут повлиять на работу устройств, изначально настроенных с помощью сценария быстрой настройки.
Если вам придется заново войти в сценарий быстрой настройки и начать с самого начала - например, при повторной загрузке сценария, - все изменения, внесенные вручную, будут переписаны. Но не волнуйтесь, вы можете просто применить эти ручные изменения снова после запуска установки.
Примечание: IP-адреса на рисунке приведены только для примера и не относятся к статье в целом. В вашем случае они могут быть другими.
Настройка VPN с помощью быстрой настройки
Войдите в WEB GUI брандмауэра, перейдите в раздел Quick Setup, выберите Remote Access VPN, а затем IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).
Используйте этот пункт, если вы используете IPSec VPN-клиент Zyxel SecuExtender или операционную систему компьютера, которая поддерживает IPSec VPN с IKEv2 (не-SecuExtender VPN-клиент). Вы можете создать правило Full Tunnel или Split Tunnel VPN с помощью VPN-клиента Zyxel SecuExtender. Вы можете создать правило полного туннеля VPN только с клиентом не-SecuExtender VPN.
Настройте пул IP-адресов для клиента.
Пул IP-адресов будет использовать выбранную неиспользуемую подсеть на устройстве, чтобы избежать настройки одной и той же подсети. Пул IP-адресов будет начинаться с 192.168.50.1. Если подсеть 192.168.50.1 существует в настройках шлюза, пул IP-адресов будет автоматически изменен.
Добавьте или создайте пользователей, которые будут иметь доступ к VPN. После добавления пользователей нажмите кнопку Далее и просмотрите все настройки, чтобы убедиться в их точности. Теперь вы можете загрузить автоматизированный сценарий для настройки VPN или настроить его вручную с помощью сертификата.
После успешной настройки VPN вы можете загрузить и установить файлы сценария на устройства Android для автоматической настройки параметров VPN.
Примечание: Настройки VPN для IPSec VPN-клиентов, не относящихся к SecuExtender, не поддерживают следующие функции:
- Ограничение полосы пропускания при загрузке
- Разделенный туннель
- Двухфакторная аутентификация (Google Authenticator)
Подробную информацию о настройке VPN для устройств Windows и Apple можно найти в следующей статье:
Пожалуйста, имейте в виду: Чтобы уменьшить количество ошибок конфигурации и других потенциальных проблем, мы рекомендуем использовать скрипт для установки. Однако вы также можете вручную установить и настроить сертификат непосредственно на конечном устройстве. Подробные инструкции по ручной установке сертификата и настройке VPN можно найти в разделе "Ручная настройка сертификата".
Настройка StrongSwan VPN на Android с помощью сценария быстрой настройки
- Загрузите StrongSwan из Google Play Store
- Отправьте сценарий на мобильное устройство по электронной почте
- Сохраните сценарий на мобильном устройстве
- Откройте приложение StrongSwan
- Нажмите "ДОБАВИТЬ ПРОФИЛЬ VPN"
- Импортировать профиль VPN
- Выберите ранее сохраненный сценарий
- Введите имя пользователя и пароль и сохраните
- Нажмите на созданный профиль
- Подождите несколько секунд, пока установится соединение
Настройка StrongSwan VPN на Android с помощью установки сертификата и ручного создания VPN-профиля
Как загрузить сертификат
Перейдите в раздел Конфигурация -> Объект -> Сертификат, выберите сертификат VPN и нажмите "Загрузить", чтобы загрузить сертификат.
Примечание: Поле "Пароль" следует оставить пустым, так как нам нужно скачать crt сертификат, чтобы использовать его в клиенте StrongSwan на Android. Если вы введете пароль, формат сертификата будет pfx, а это не подходит для нашего случая.
Если у вас возникли проблемы с выбором нужного сертификата из списка, вы можете определить необходимый сертификат для конкретной VPN, проверив настройки VPN.
Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest
В разделе "Аутентификация" вы увидите, какой сертификат выбран для вашей VPN.
Теперь вы можете прикрепить этот сертификат к электронному письму, которое вы отправляете пользователям, объясняя, как установить его и подключиться к VPN.
Ручная настройка StrongSwan VPN на Android (без скрипта)
- Загрузите StrongSwan из Google Play Store
- Отправьте сертификат на мобильное устройство по электронной почте
- Сохраните сертификат на мобильном устройстве (не пытайтесь установить сертификат прямо из письма, просто сохраните его)
- Откройте приложение StrongSwan
- Нажмите на три маркера в правом углу и выберите "Сертификат ЦС".
- Выберите "Импортировать сертификат".
- Выберите ранее сохраненный сертификат и нажмите "Импортировать сертификат".
- Нажмите на три жетона в правом углу и выберите "Сертификат ЦС".
- Если сертификат успешно импортирован, вы увидите сообщение "Сертификат успешно импортирован".
- Далее вернитесь в главное меню StrongSwan и нажмите "Добавить VPN-профиль".
В появившейся форме настройки VPN-профиля заполните все необходимые поля:
- Сервер - публичный IP-адрес вашего брандмауэра
- Тип VPN - IKEv2 EAP (имя пользователя/пароль)
- Сертификат центра сертификации - выбирается автоматически
- Имя профиля (необязательно) - любое удобное для пользователя имя
|
|