VPN - Konfigurácia IKEv2 VPN s certifikátom pomocou klienta SecuExtender IPSec VPN

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

Tento článok vám ukáže, ako nakonfigurovať IKEv2 IPsec VPN s certifikátom pomocou programu SecuExtender v systéme Windows aj MacOS. Ukáže vám, ako nakonfigurovať VPN na firewalle (USG FLEX / ATP / VPN Series v samostatnom režime / v režime on-premise), ako aj ukáže, ako sa zbaviť chyby TGBErrorCodeMgrNotCreated.description v systéme MacOS.

Poznámka: Pre systém IOS 17 sa používa skupina kľúčov: DH19 sa musí použiť

Video:

Obsah: Tabuľka obsahu

A) Konfigurácia IKEv2 na bráne firewall

B) Konfigurácia klienta SecuExtender

C) Konfigurácia v systéme MacOS

A) Konfigurácia IKEv2 na bráne firewall

  1. Prihláste sa k jednotke zadaním jej IP adresy a poverovacích údajov pre administrátorský účet (v predvolenom nastavení je používateľské meno "admin" a heslo "1234").

  2. Prejdite do časti Configuration (Konfigurácia) > Object (Objekt) > Address/Geo IP (Adresa/Geo IP), kliknite na tlačidlo "Add" (Pridať) a vytvorte objekt typu "Address Type" (Adresa) "Range" (Rozsah). Nazvite ho "IKEv2_Pool" a zadajte rozsah IP, ktorý sa neprekrýva s vašimi podsieťami
    2.PNG.

  3. Vytvorte ďalší objekt IP Address (Adresa IP), aby ste neskôr umožnili klientom IKEv2 prístup na internet cez tunel VPN. Zvoľte typ "Range" (Rozsah), pomenujte ho napríklad "All_Traffic" (Všetok_prúd), zadajte "0.0.0.0" pre "Starting IP Address" (Počiatočná IP adresa) a "255.255.255.255" pre "End IP Address" (Koncová IP adresa).
    3.PNG

  4. Prejdite do časti Configuration (Konfigurácia) > Object (Objekt) > User/Group (Používateľ/skupina) a kliknite na tlačidlo "Add" (Pridať), aby ste vytvorili nových používateľov.
    6.PNG

  5. Kliknite na kartu "Group" (Skupina) a kliknutím na tlačidlo "Add" (Pridať) vytvorte skupinu "IKEv2_Users" (Používatelia IKEv2) a pridajte potrebných používateľov ich označením a kliknutím na šípku smerujúcu doprava.
    8.PNG

  6. Prejdite do časti Configuration (Konfigurácia) > Object (Objekt) > Certificate (Certifikát), kliknite na tlačidlo "Add (Pridať)", vyberte položku "Host Domain Name (Názov domény hostiteľa)", zadajte názov domény alebo DynDNS, prejdite na položku "Extended Key Usage (Rozšírené používanie kľúča)" a začiarknite tri políčka "Server Authentication (Overenie servera)", "Client Authentication (Overenie klienta)" a "IKE Intermediate (Sprostredkovateľ IKE)" a kliknite na tlačidlo "OK".
    8.PNG

  7. Dvakrát kliknite na tento certifikát a rolujte nadol, aby ste použili "Export Certificate Only".
    9.PNG

  8. Prejdite do ponuky Configuration (Konfigurácia) > Network (Sieť) > VPN (Sieť VPN) > IPSec VPN (IPSec VPN) a kliknite na tlačidlo "Add" (Pridať), kliknite na tlačidlo "Show Advanced Settings" (Zobraziť rozšírené nastavenia), zaškrtnite políčko "Enable" (Povoliť), vyberte položku "IKEv2" (IKEv2), v časti "Peer Gateway Address" (Adresa partnerskej brány) vyberte položku "Dynamic Address" (Dynamická adresa), v časti "Authentication" (Overenie) zaškrtnite políčko "Certificate" (Certifikát) a vyberte predtým vytvorený certifikát.
    10.PNG


  9. Prejdite nadol a v časti "Phase 1 Settings" (Nastavenia fázy 1) vyberte požadované návrhy, zaškrtnite "Enable Extended Authentication Protocol" (Povoliť rozšírený autentifikačný protokol), vyberte "Server Mode" (Režim servera), "AAA Method" (Metóda AAA) nechajte na "default" (predvolené) a pre "Allowed Users" (Povolení používatelia) vyberte svoju predtým vytvorenú skupinu "IKEv2_Users" (Používatelia IKEv2) a nakoniec kliknite na "OK".
    11.PNG

  10. Teraz otvorte vyššie uvedenú kartu "VPN Connection" (Pripojenie VPN), kliknite na "Add" (Pridať), kliknite na "Show Advanced Settings" (Zobraziť rozšírené nastavenia), zaškrtnite "Enable" (Povoliť), vyberte "Remote Access (Server Role)" (Vzdialený prístup (rola servera)) pre "Application Scenario" (Aplikačný scenár), vyberte svoju predtým vytvorenú bránu VPN pre "VPN Gateway" (Brána VPN), v časti "Local Policy" (Miestna politika) vyberte predtým vytvorený objekt rozsahu IP "All_Traffic" (Všetok_prenos).

  11. Zaškrtnite "Enable Configuration Payload" (Povoliť konfiguračný náklad), vyberte objekt "IKEv2_Pool" ako "IP Address Pool" (Bazén adries IP) (Servery DNS sú voliteľné), vyberte požadované návrhy pre pripojenie VPN a nakoniec kliknite na "OK", čím dokončíte konfiguráciu pripojenia VPN.
    12.PNG
    13.PNG

  12. Teraz prejdite na Configuration (Konfigurácia) > Object (Objekt) > Network (Sieť) > Routing (Smerovanie), kliknite na "Add" (Pridať), zaškrtnite "Enable" (Povoliť), vyberte "Tunnel" (Tunel) pre "Incoming" (Prichádzajúci), vyberte predtým vytvorené spojenie IPSec pre "Please select one member" (Vyberte jeden člen), vyberte "IKEv2_Pool" pre "Source Address" (Zdrojová adresa) a nakoniec vyberte svoje rozhranie WAN alebo WAN Trunk ako "Next Hop" (Ďalší skok) a nakoniec kliknite na "OK".
    14.PNG

B) Konfigurácia klienta SecuExtender

  1. Otvorte klienta IPSec, kliknite pravým tlačidlom myši na priečinok "IKE V2" na ľavej strane, aby ste pridali novú "Ikev2Gateway", zadajte názov domény, ktorý ste zadali aj v certifikáte na USG pre "Remote Gateway" (Vzdialenú bránu) a vyberte zodpovedajúce návrhy v časti "Cryptography" (Kryptografia).
    mceclip1.png
  2. Kliknutím pravým tlačidlom myši na bránu VPN na ľavej strane pridajte pripojenie VPN, vyberte "Address type" (Typ adresy) "Subnet Address" (Adresa podsiete), zadajte adresu a masku podsiete lokálnej podsiete na lokalite USG, ku ktorej majú mať klienti prístup, a vyberte zodpovedajúce návrhy pre pripojenie VPN.
    mceclip0.png

  3. Ak sa "Child SA Life Lifetime" (Životnosť detského SA) nezhoduje s nastavením nakonfigurovaným na USG, upravte ho pred konečným otvorením tunela opätovným kliknutím pravým tlačidlom myši na VPN Connection (Pripojenie VPN) na ľavej strane.

C) Nie je možné importovať súbor .tgb v systéme MacOS

Ak sa vám v systéme MacOS zobrazuje táto chyba TGB-súboru "TGBErrorCodeMgrNotCreated.description", súvisí to s nastaveniami ochrany osobných údajov v systéme MacOS. Musíte povoliť, aby bol SecuExtender vo vašom operačnom systéme dôveryhodný.

mceclip0.png

Prejdite do nastavení -> Súkromie a zabezpečenie -> Zabezpečenie a vyberte možnosť "App Store a identifikovaní vývojári". Potom by sa mal objaviť "SecuExtender VPN Client" a musíte stlačiť tlačidlo "Povoliť":

mceclip1.png

Teraz môžete úspešne importovať súbor .tgb do aplikácie SecuExtender Client v systéme MacOS a získať konfiguráciu.

+++ Licencie pre klientov Zyxel VPN (SSL VPN, IPsec) môžete zakúpiť s okamžitým dodaním 1 kliknutím: Zyxel Webstore +++

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
3 z 11 to považovali za užitočné
Zdieľať