Staršia sieť VPN - konfigurácia poskytovania konfigurácie na sérii USG

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

Prehľad

Sieť VPN (virtuálna privátna sieť) poskytuje bezpečnú komunikáciu medzi lokalitami bez nákladov na prenajaté linky. Siete VPN sa používajú na prenos prevádzky cez internet nezabezpečenej siete, ktorá využíva komunikáciu TCP/IP. Sieť VPN so vzdialeným prístupom (klient - pracovisko) umožňuje zamestnancom na cestách alebo telepracovníkom bezpečný prístup k sieťovým zdrojom spoločnosti. Existuje viacero typov protokolov/technológií VPN, ktoré možno použiť na vytvorenie bezpečného spojenia s podnikovou sieťou: L2TP, PPTP, SSL, OpenVPN atď. Táto príručka bude odkazovať na protokol IPSec na vytvorenie zabezpečeného tunela VPN medzi externými hostiteľmi (používateľmi pripojenými na internet mimo štruktúry firemnej siete) a smerovačom ZyWALL. Na vytvorenie spojenia VPN je potrebný softvér IPSec tretej strany, pretože súčasné operačné systémy nemajú zabudovaného klienta IPSec.

Scenario

1. Brána VPN (fáza 1)
2. Pripojenie VPN (fáza 2)
3. Zabezpečenie konfigurácie
4. Klient ZyWALL VPN
5. Testovanie a riešenie problémov

Brána VPN (fáza 1)

Prihláste sa na webovú konfiguračnú stránku ZyWALL a prejdite do ponuky Configuration → VPN → IPSec VPN. V ponuke IPSec VPN kliknite na záložku VPN Gateway a pridajte fázu 1 nastavenia tunela. Kliknutím na tlačidlo Add vložte nové pravidlo. V ľavej hornej časti okna kliknite na tlačidlo Show Advanced Settings (Zobraziť rozšírené nastavenia) pre zobrazenie všetkých možností v ponuke.

  • Zaškrtnutím políčka povoľte pravidlo VPN a zadajte jeho názov.
  • V rozbaľovacom poli My Address vyberte rozhranie WAN, ktoré chcete použiť na pripojenie k sieti VPN.
  • Uistite sa, že Peer Gateway Address je nastavená na "Dynamic Address" (Dynamická adresa).
  • Zadajte/vytvorte overovací kľúč VPN "Pre-Shared Key".
  • V rozbaľovacom poli Phase 1 Settings (Nastavenia 1. fázy) nastavte režim vyjednávania na použitie režimu "Main" (Hlavný).
  • Nastavte návrh "Encryption" (Šifrovanie) a "Authentication" (Overovanie), ktorý chcete použiť (možnosti šifrovania sú DES, 3DES, AES128, AES192, AES256) (možnosti overovania sú MD5, SHA1, SHA256, SHA512)
  • Vyberte skupinu kľúčov Diffie-Hellman (možnosti sú DH1, DH2, DH5).

    CautionPoznámka: Symbol upozornenia vpravo sa zobrazí na miestach, kde sa vyžaduje zadanie alebo chyba pri zadávaní, napríklad nepovolené/nepodporované znaky.
    Picture1.png

Pripojenie VPN (fáza 2)

Teraz, keď bolo vytvorené pravidlo brány VPN (fáza 1), kliknite na kartu VPN Connection (Pripojenie VPN) a vložte pravidlo fázy 2 pre tunel VPN. Kliknutím na tlačidlo Pridať vložte pravidlo. V ľavej hornej časti okna kliknite na tlačidlo Show Advanced Settings (Zobraziť rozšírené nastavenia) pre zobrazenie všetkých možností v ponuke.

  • Zaškrtnutím políčka povoľte pravidlo a dajte mu názov.
  • Nastavte aplikačný scenár VPN Gateway na používanie "Vzdialeného prístupu (rola servera)".
  • Pre aplikačný scenár nastavte rozbaľovací zoznam VPN Gateway tak, aby sa použila zásada Fáza 1 vytvorená v predchádzajúcom kroku. (RoadWarrior pre tento príklad)
  • Prejdite nadol na možnosť Policy a nastavte Local Policy (Miestna politika) tak, aby používala objekt adresy "LAN1_SUBNET". To umožní používateľovi VPN prístup cez všetky zariadenia pripojené k sieti LAN1
  • Aktívny protokol v časti Phase 2 Setting (Nastavenie fázy 2) by mal byť nastavený na "ESP".
  • Zapuzdrenie je "Tunel".
  • Nastavte návrh "Encryption" (Šifrovanie) a "Authentication" (Overovanie), ktorý chcete použiť (Možnosti šifrovania sú DES, 3DES, AES128, AES192, AES256) (Možnosti overovania sú MD5, SHA1, SHA256, SHA512)
  • Perfect Forward Secrecy (PFS) je pridaná úroveň šifrovania. Nie je potrebné ju zapínať, ale ak chcete použiť pridanú úroveň šifrovania, možnosti sú Žiadne, DH1, DH2 a/alebo DH5.
  • V časti Related Settings (Súvisiace nastavenia) sa uistite, že zóna je nastavená na "IPSec_VPN".

    Picture2.png

Teraz, keď bola dokončená 1. a 2. fáza pravidla VPN, zrušte začiarknutie políčka "Use Policy Route to control dynamic IPSec rules". Zrušenie začiarknutia tejto možnosti umožní zariadeniu ZyWALL automaticky vytvárať trasy pre pripojených používateľov VPN.
Picture3.png

Zabezpečenie konfigurácie

Niektorí klienti VPN, ako napríklad "ZyWALL IPSec VPN Client" a "TheGreenBow VPN Client", majú možnosť provisioningu, ktorá im umožňuje prevziať nastavenia, ktoré ste nakonfigurovali pravidlo VPN, namiesto toho, aby ste museli konfigurovať klienta ručne. Na nastavenie provisioningu VPN pre dynamické pravidlo VPN RoadWarrior sme práve vytvorili kartu Configuration Provisioning v ponuke IPSec VPN(Configuration → VPN → IPSec VPN).

Pred nastavením provisioningu musíme vytvoriť používateľský účet, ktorý umožní stiahnutie nastavení. Prejdite na Configuration → Object → User/Group a kliknite na tlačidlo Add , aby ste vložili účet na úrovni "User". Administratívne účty nemôžu používať možnosť sťahovania konfigurácie provisioning.
Picture4.png

Teraz, keď je vytvorený používateľský účet, prejdite na Configuration → VPN → IPSec VPN a kliknite na záložku Configuration Provisioning , aby ste vložili pravidlo na povolenie sťahovania nastavení klienta VPN RoadWarrior VPN.

  • Povoľte ponuku VPN Configuration Provisioning (Zabezpečenie konfigurácie VPN)
  • Kliknutím na tlačidlo Add (Pridať) vytvorte pravidlo na povolenie poskytovania "RoadWarrior_Connection" VPN Connection pre "VPN-user" Allowed User (Povolený používateľ). Uistite sa, že pravidlo je povolené, a kliknite na Apply pre uloženie nastavení.
    Picture5.png

Klient ZyWALL VPN

Ak chcete prevziať nastavenia zabezpečenia konfigurácie VPN nakonfigurované na smerovači, otvorte softvér klienta, kliknite na ponuku Configuration a vyberte možnosť Get from Server (Získať zo servera).
Picture6.png

Zadajte verejnú IP adresu, názov domény alebo názov DDNS spojený so smerovačom ZyWALL. Klient stiahne nastavenie prostredníctvom protokolu SSL. V predvolenom nastavení je sieť ZyWALL naprogramovaná na používanie portu 443 pre protokol SSL. Ak ste port zmenili, uveďte nový port SSL. Zadajte používateľské meno a heslo spojené s konfiguráciou provisioningu a kliknite na Next (Ďalej).

Picture7.png
Poznámka: Toto funguje len vtedy, keď je na smerovači ZyWALL povolená vzdialená správa, ak bola vzdialená správa vypnutá, funkcia provisioning konfigurácie nebude môcť automaticky načítať konfiguračné nastavenia VPN zo smerovača ZyWALL.

Klient odošle žiadosť o prevzatie konfiguračných nastavení VPN do smerovača ZyWALL.
Picture8.png

Teraz po stiahnutí konfigurácie môžete vytvoriť tunel VPN medzi počítačom a smerovačom ZyWALL. Kliknite pravým tlačidlom myši na časť konfigurácie fázy 2 a vyberte možnosť "Open Tunnel" (Otvoriť tunel), čím spustíte dialóg VPN.
Picture9.png

Ak chcete nastaviť úplné alebo rozdelené tunelovanie pre prevádzku VPN, stačí sa pozrieť sem:

VPN Full/Split Tunneling (Úplné/rozdelené tunelovanie VPN)

Testovanie a riešenie problémov

Pokúste sa vytvoriť pripojenie VPN k smerovaču. Po nadviazaní spojenia skúste odoslať ping alebo získať prístup k akýmkoľvek zdrojom zo vzdialenej siete.

  1. Ak sa vám nepodarí dostať prevádzku cez tunel VPN:
  • Vypnite bránu firewall na vzdialenom hostiteľovi, aby ste sa uistili, že neblokuje požiadavku.
  • Pokúšate sa získať prístup k zdrojom pomocou názvu hostiteľa počítača? Skúste namiesto toho použiť IP adresu pridelenú počítaču. Použitie názvu hostiteľa počítača si vyžaduje protokol NetBIOS broadcast na vyriešenie adresy IP počítača; štandard IPSec nepodporuje broadcast. Keďže štandard IPSec VPN nepodporuje vysielanie, nemôžeme zaručiť, že používanie názvov hostiteľov namiesto IP bude fungovať. Obídením tohto obmedzenia štandardu IPSec by bolo použitie servera WINS.
  • Vypnite bránu firewall smerovača ZyWALL.
  • Uistite sa, že nedochádza ku konfliktom IP adries. Ak je sieť ZyWALL nakonfigurovaná na používanie siete 192.168.1.0/24 a vzdialený používateľ tiež používa rovnakú schému IP, prevádzka nebude správne smerovať cez tunel VPN.
  • Skontrolujte bránu hostiteľskej siete, ak miestny smerovač (nie ZyWALL) nemá povolený priechod VPN alebo otvorené potrebné porty, VPN nemusí fungovať správne.
  • Pre ďalšiu pomoc kontaktujte technickú podporu.
  • Tunel VPN sa nevytvorí/nepripojí:
  • Uistite sa, že váš sieťový smerovač umožňuje priechodnosť portov IPSec (UDP:500 a UDP:4500), alebo nezabudnite povoliť priechodnosť VPN, ak smerovač túto možnosť podporuje. Je možné obísť smerovač, aby ste sa uistili, že nespôsobuje problém.
  • Uistite sa, že váš poskytovateľ internetu neblokuje porty VPN; niektorí poskytovatelia blokujú porty VPN na svojej strane.
  • Skontrolujte, či brána firewall vášho počítača povoľuje komunikáciu z klienta VPN.
  • Aktualizujte ovládače kariet sieťových kariet (Ethernet a/alebo Wi-Fi).
  • Skontrolujte nastavenia VPN v zariadení ZyWALL a uistite sa, že sa zhodujú s konfiguráciou softvérového klienta.
  • Pre ďalšiu pomoc kontaktujte technickú podporu.

Videozáznam: V prípade, že ste sa rozhodli pre pripojenie k sieti VPN, môžete sa obrátiť na sieť VPN:

+++ Licencie pre klientov VPN Zyxel (SSL VPN, IPsec) môžete zakúpiť s okamžitým dodaním 1 kliknutím: Zyxel Webstore +++

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
3 z 7 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.