Tento článok ukazuje, ako nakonfigurovať L2TP cez IPSec v samostatnom režime pre USG FLEX / ATP / VPN sériu a ako nastaviť sprievodcu, stiahnuť konfiguráciu, manuálne nakonfigurovať L2TP pomocou ponuky VPN brány a pripojenia, čo povoliť vo firewall pravidlách, ako povoliť prístup na internet pre L2TP (bez internetu), obnoviť predvolenú konfiguráciu, nastaviť VPN používateľov, nadviazať VPN zo siete LAN, používať externé servery na autentifikáciu používateľov, riešiť problémy pomocou logov, nakonfigurovať MS-CHAPv2.
Čo je L2TP cez IPSec VPN?
Pred začatím s návodom na konfiguráciu si predstavme L2TP cez IPSec VPN.
L2TP cez IPSec kombinuje protokol Layer 2 Tunneling Protocol (L2TP, ktorý poskytuje bod-bodové spojenie) s protokolom IPSec. Samotný L2TP neposkytuje žiadne šifrovanie obsahu, a preto sa tunel bežne buduje nad šifrovacím protokolom vrstvy 3 IPsec, čo má za následok tzv. L2TP cez IPSec VPN.
V tomto návode nájdete všetky potrebné informácie pre L2TP VPN pripojenia v zariadeniach Zyxel Firewall, preskúmate metódy konfigurácie (pomocou sprievodcu a manuálne), nastavenie klienta pre Windows, MAC a Linux; ako aj pokročilejšie nastavenia autentifikácie, rôzne topológie a riešenie problémov na firewall zariadeniach a klientoch. Je tiež definovaný prístup do virtuálneho laboratória, kde je možné prehliadnuť naše nastavenie, ktoré možno použiť pri nastavovaní vzdialenej VPN vo vašom zariadení.
Konfigurácia L2TP VPN pomocou vstavaného sprievodcu
Prejdite do Sprievodcu
a. Otvorte kartu Rýchle nastavenie a v pop-up okne vyberte Nastavenie vzdialeného prístupu VPN:
Vyberte scenár L2TP cez IPSec klient
Konfigurácia VPN
Zadajte preferovaný Predzdieľaný kľúč a vyberte príslušné WAN rozhranie.
Konfigurácia autentifikácie používateľa
Uloženie konfigurácie a stiahnutie L2TP konfigurácie
Konfigurácia > Bezpečnostná politika > Riadenie politikyManuálne nastavenie L2TP/IPSec VPN
Nasledujúci postup popisuje kroky potrebné na manuálne nakonfigurovanie L2TP cez IPSec VPN. Topológia a použitie sú rovnaké ako pri použití sprievodcu, jediný rozdiel sú kroky v konfigurácii.
Konfigurácia VPN brány
Prejdite na nasledujúcu cestu a vytvorte novú VPN bránu:
Konfigurácia > VPN > IPSEC VPN > VPN bránaStlačte "Zobraziť rozšírené nastavenia". Zadajte názov brány, vyberte WAN rozhranie a pridajte predzdieľaný kľúč:
Nastavte režim vyjednávania na Main a pridajte nasledujúce (bežné) návrhy, potvrďte kliknutím na OK:
Konfigurácia VPN pripojenia
Prejdite na nasledujúcu cestu a vytvorte nové VPN pripojenie:
Konfigurácia > VPN > IPSec VPN > VPN pripojenieStlačte "Zobraziť rozšírené nastavenia". Zadajte názov pripojenia, nastavte scenár aplikácie na Vzdialený prístup (serverová rola) a vyberte VPN bránu, ktorú ste vytvorili predtým:
Pre lokálnu politiku vytvorte nový IPv4 adresný objekt (cez tlačidlo "Vytvoriť nový objekt") pre vašu skutočnú WAN IP a potom ho nastavte v VPN pripojení ako lokálnu politiku:
Nastavte enkapsuláciu na Transport a pridajte nasledujúce návrhy, potvrďte kliknutím na OK:
Konfigurácia nastavení L2TP VPN
Keď sú nastavenia IPSec hotové, je potrebné nastaviť L2TP. Prejdite na nasledujúcu cestu:
Konfigurácia -> VPN -> Nastavenia L2TP VPNAk je potrebné, vytvorte nového lokálneho používateľa, ktorý bude mať povolený prístup k VPN:
Vytvorte L2TP IP adresný rozsah s rozsahom IP adries, ktoré budú používať klienti počas pripojenia k L2TP/IPSec VPN.
Poznámka: Tento rozsah by nemal kolidovať so žiadnymi WAN, LAN, DMZ alebo WLAN podsieťami, ani keď nie sú používané.
Zhrnutie nastavení L2TP
Teraz nastavme L2TP parametre:
- Nastavte VPN pripojenie vytvorené v 2.2 Konfigurácia VPN pripojenia
- Pre IP adresný rozsah nastavte objekt L2TP IP rozsahu
- Metódu autentifikácie môžete nastaviť ako predvolenú pre lokálnu autentifikáciu používateľov
- Povolených používateľov môžete nastaviť pre konkrétneho používateľa. Ak je potrebných viac používateľov, môže byť na stránke Objektov vytvorená skupina používateľov.
- DNS a WINS servery môžu byť nastavené ako samotné firewall zariadenie (Zywall) alebo vlastná IP adresa servera.
- Ak je potrebný prístup na internet cez firewall zariadenie počas pripojenia k L2TP/IPSec VPN, uistite sa, že je povolená možnosť "Povoliť prenos cez WAN zónu".
- Kliknite na "Použiť" pre uloženie nastavení. Tým je L2TP/IPSec VPN pripravený na použitie.
Povinné nastavenia - Povoliť UDP porty 4500 a 500
Uistite sa, že firewall pravidlá povoľujú prístup na porty UDP 4500 a 500 z WAN do Zywall, a že predvolená zóna IPSec_VPN má prístup k sieťovým zdrojom. Toto môžete overiť v:
Konfigurácia > Bezpečnostná politika > Riadenie politikyPovolenie prístupu na internet cez L2TP pomocou smerovacích politík
Ak niektorý z prenosov z L2TP klientov potrebuje ísť na internet, vytvorte smerovaciu politiku na odoslanie prenosu z L2TP tunelov cez WAN trunk.
Konfigurácia > Sieť > Smerovanie > Smerovacia politikaNastavte Prichádzajúce na Tunel a vyberte vaše L2TP VPN pripojenie. Nastavte Zdrojovú adresu na adresný rozsah L2TP. Nastavte Typ ďalšieho hopu na Trunk a vyberte príslušný WAN trunk.
Tipy a riešenie problémov - Obnovenie predvolenej konfigurácie L2TP VPN
V niektorých prípadoch môže byť potrebné obnoviť nastavenia L2TP VPN na stránke:
Konfigurácia > VPN > L2TP VPNNastavenie L2TP VPN klientov
L2TP cez IPSec je veľmi populárny a bežne podporovaný mnohými platformami koncových zariadení s vlastnými vstavanými klientmi.
Tu sú niektoré z najbežnejších a ako ich nastaviť:
Windows/MacOS/Linux:
Pokročilé nastavenie: Nadviazanie L2TP VPN zo siete LAN:
VPN je populárna funkcia na šifrovanie paketov pri prenose dát.
V aktuálnom dizajne ZyWALL/USG/ATP, ak je VPN rozhranie založené na WAN1 rozhraní, požiadavka na VPN musí prísť z WAN1 rozhrania (rozhranie je obmedzené), inak bude požiadavka zamietnutá. (napr. VPN pripojenie prišlo z LAN1)
V niektorých scenároch však používatelia potrebujú nadviazať VPN tunel nielen z WAN, ale aj z LAN.
Tento scenár je podporovaný aj ZyWALL/USG/ATP. Používatelia môžu nasledovať nižšie uvedený postup na vypnutie obmedzenia VPN rozhrania tak, aby VPN pripojenie mohlo prísť z oboch WAN/LAN.
Verzia firmvéru USG: 4.32 alebo vyššia
Konfigurácia USG:
Na povolenie L2TP z LAN je potrebné pristúpiť k zariadeniu cez terminálové pripojenie (Sériové, Telnet, SSH) a zadať nasledujúce príkazy:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Pokročilé nastavenie: Použitie externých serverov na autentifikáciu používateľov pripojujúcich sa k L2TP VPN
Táto časť popisuje, ako nakonfigurovať L2TP cez IPSec s MS-CHAPv2 na sérii USG/Zywall. Pre pokročilé implementácie môže byť autentifikácia používateľov s Active Directory (AD) servermi implementovaná na autentifikáciu L2TP/IPSec VPN.
Scenár:
AD doména: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Prejdite do Konfigurácia>Objekt>AAA Server. Povoliť autentifikáciu domény pre MSCHAP
Prihlasovacie údaje sú zvyčajne rovnaké ako u AD administrátora.
2. Prejdite do Systém>Názov hostiteľa, zadajte AD doménu do Doménového mena
Tento postup umožní USG pripojiť sa k AD doméne. Tunel bude úspešne nadviazaný len ak táto časť funguje.
3. Overte, či sa USG pripojil k doméne. Prejdite do Active Directory Users and Computers>Computers
V tomto prípade nájdete, že usg110 sa pripojil k doméne. Podrobné informácie môžete skontrolovať v záložke Vlastnosti>Objekt pravým kliknutím.
4. Upravte doménovú zónu, zadajte doménové meno v Systém> DNS > Doménový forwarder zóny.
Niekedy môže počas nadväzovania tunela dôjsť k vypršaniu časového limitu, preto je potrebné nakonfigurovať nasledujúce nastavenie, kde je rozhranie dotazu umiestnené na váš AD server.
5. Skontrolujte nastavenia pripojenia vo Windows.
Uistite sa, že máte povolené (MS-CHAP v2) a zadali ste predzdieľaný kľúč v rozšírených nastaveniach.
6. Skontrolujte prihlasovacie informácie na monitorovacej stránke>. AD používateľ by mal byť v zozname aktuálnych používateľov, ak bol tunel úspešne nadviazaný.
Nájdete používateľa s typom L2TP a informáciami o externom používateľovi.
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.