Dôležitá poznámka: |
V tejto príručke vám ukážeme, ako nastaviť tento špecifický scenár pomocou klienta SecuExtender ZyWall IPSec VPN so sériou Legacy USG konfiguráciou brány firewall (fáza 1 a fáza 2) a verzie SecuExtender (Perpetual).
Podrobnejší popis nájdete vo videu:
Návod na kroky
Poznámka: Všetky nasledujúce kroky sa týkajú iba IKEv1! Ak používate USG FLEX / ATP, prečítajte si tento článok .
2. Konfigurácia ZyXEL IPsec VPN klienta
1. VPN Gateway (1. fáza):
1. Prihláste sa do jednotky zadaním jej IP adresy a prihlasovacích údajov pre účet správcu (v predvolenom nastavení je používateľské meno „admin“, heslo je „1234“).
2. Pridajte novú bránu pod
Konfigurácia > VPN > IPSec VPN > VPN Gateway
Upravte nasledujúce nastavenia:
„Zobraziť rozšírené nastavenia“, začiarknite políčko „Povoliť“, zadajte požadovaný názov, vyberte požadované rozhranie WAN ako „Moja adresa“, začiarknite políčko Dynamická adresa pre viacero adries IP, zadajte vopred zdieľaný kľúč.
3. V tomto návode ponechávame nastavenia fázy 1 ako návrhy predvolene, ale upravte ich podľa svojich bezpečnostných preferencií. Potom zmeňte z „Režim vyjednávania“ na „Hlavný“.
Kliknutím na „OK“ použijete vykonané zmeny.
Pripojenie VPN (2. fáza):
1. Prejdite na kartu „Pripojenie VPN“ a pridajte nové pripojenie
Konfigurácia > VPN > IPSec VPN > Pripojenie VPN
Upravte nasledujúce nastavenia:
„Zobraziť rozšírené nastavenia“, začiarknite políčko „Povoliť“, zadajte požadovaný názov, nastavte „Scenár aplikácie“ na „Vzdialený prístup (rola servera“) a vyberte predtým vytvorenú VPN Gateway
2. V časti „Local Policy“ vyberte podsieť na vašom USG, ku ktorej majú mať klienti VPN prístup. Vyberte požadované návrhy v časti „Nastavenia fázy 2“ a kliknite na tlačidlo „OK“ (pripomeňte, aby ste zabezpečili čo najviac)
2. Konfigurácia klienta ZyWall IPSec VPN:
1. Najnovšieho klienta nájdete tu
2. Spustite softvér, definujte porty v časti „Parametre IKEv1“ (IKE Port = 500, NAT-T-Port=4500)
3. V „Ikev1Gateway“ zadajte IP rozhrania USGs WAN, na ktorom vaša VPN Gateway počúva a zadajte predzdieľaný kľúč. Uistite sa, že sa návrhy zhodujú s tými, ktoré ste definovali vo svojej VPN Gateway na vašom USG
4. Teraz nakonfigurujte VPN tunel: Ponechajte „adresu VPN klienta“ na 0.0.0.0 alebo zadajte IP adresu, ktorá sa lokálne nezhoduje so sieťou na USG, zadajte adresu podsiete, ktorú ste definovali ako lokálnu politiku vo vašich USG pripojenie VPN a uistite sa, že sa návrhy zhodujú s návrhmi pripojení VPN
Teraz by ste mali byť schopní otvoriť tunel VPN kliknutím pravým tlačidlom myši na tunel VPN vľavo a výberom možnosti „Otvoriť tunel“. Zelené upozornenie na ploche v pravom dolnom rohu by malo potvrdiť úspešne vytvorené pripojenie VPN.
Majte na pamäti, že vaše pravidlo brány firewall WAN-to-ZyWall by malo povoliť služby ESP, IKE a NATT!
Ak sa chcete dozvedieť viac podrobností o nastaveniach a algoritmoch VPN, môžete navštíviť:
http://www.zyxel-tech.de/previews/zyw70w362wm0c0/h_vpn_rules_edit_adv.html
Ak sa chcete dozvedieť, ako nastaviť pripojenie L2TP v systéme Windows 10, navštívte:
https://www.youtube.com/watch?v=BYxcjcOxybs
3. Upozorňujeme:
- Netestujte pripojenie VPN v rámci rovnakej podsiete ako vaša lokálna politika! To spôsobí problémy so smerovaním.
- Môžete exportovať konfiguračný súbor klienta IPSec a poskytnúť ho rôznym počítačom.
- Ak sa váš tunel VPN nevytvorí, hoci podľa vašich vedomostí bolo všetko nastavené správne, môže to byť tak, že váš poskytovateľ internetových služieb blokuje IKE (Port 500) alebo NAT-T (Port 4500). Obráťte sa na svojho ISP, aby ste to objasnili.
- Ak vaše rozhranie WAN nezasahuje žiadna prevádzka súvisiaca s IPSec, možno ISP blokuje ESP (Protokol 50). Obráťte sa na svojho ISP, aby ste to objasnili.
Tiež zaujímavé:
Chcete sa pozrieť priamo na jedno z našich testovacích zariadení? Pozrite sa sem do nášho virtuálneho laboratória:
Virtuálne laboratórium - Site to Site VPN
+++ Môžete si zakúpiť licencie pre svojich klientov Zyxel VPN (SSL VPN, IPsec) s okamžitým doručením jediným kliknutím: Internetový obchod Zyxel +++