Dôležité upozornenie: |
V tomto článku sa uvádza, ako nakonfigurovať L2TP cez IPSec v samostatnom režime pre rad USG FLEX / ATP / VPN a ako nakonfigurovať sprievodcu, stiahnutie konfigurácie, ručná konfigurácia L2TP pomocou ponuky brány VPN a pripojenia, Čo povoliť v pravidlách brány firewall, ako povoliť prístup na internet pre L2TP (bez internetu), obnovenie predvolenej konfigurácie, nastavenie používateľov VPN, vytvorenie VPN z LAN, používanie externých serverov na overovanie používateľov, riešenie problémov pomocou protokolov, konfigurácia MS-CHAPv2.
Tabuľka obsahu
1. Konfigurácia siete L2TP VPN pomocou vstavaného sprievodcu
1.2 Vyberte scenár L2TP cez klienta IPSec
1.3 Nakonfigurujte konfiguráciu VPN
1.4 Konfigurácia overovania používateľa
1.5 Uloženie konfigurácie a prevzatie konfigurácie L2TP
2) Manuálne nastavenie siete L2TP/IPSec VPN
2.2 Konfigurácia pripojenia VPN
2.3 Konfigurácia nastavení siete L2TP VPN
3) Konfigurácie, ktoré musíte mať
3.1 Povolenie portov UDP 4500 a 500
3.2 Povolenie prístupu na internet cez L2TP prostredníctvom smerovania podľa zásad
4. Tipy a riešenie problémov
4.1 Obnovenie predvolenej konfigurácie L2TP VPN
4.2 Nastavenie klientov L2TP VPN
4.3 Pokročilé nastavenie: Vytvorenie siete L2TP VPN zo siete LAN:
4.5 L2TP cez IPSec VPN - virtuálna laboratória
4.7 Konfigurácia protokolu L2TP MS-CHAPv2 na zariadení USG/Zywall Series
Čo je L2TP cez IPSec VPN?
Skôr ako začneme s konfiguračným sprievodcom, predstavíme si L2TP cez IPSec VPN.
Protokol L2TP nad IPSec kombinuje protokol L2TP (Layer 2 Tunneling Protocol), ktorý poskytuje spojenie bod-bod, s protokolom IPSec. Samotný protokol L2TP neposkytuje žiadne šifrovanie obsahu, a preto sa tunel bežne vytvára nad šifrovacím protokolom 3. vrstvy IPsec, čím vzniká takzvaná L2TP over IPSec VPN.
V tejto príručke môžete preskúmať všetky informácie potrebné na pripojenie L2TP VPN v zariadeniach Firewall Zyxel, preskúmať spôsoby konfigurácie (prostredníctvom sprievodcu a ručne), nastavenie klienta pre Windows, MAC a Linux; ako aj pokročilejšie nastavenia na overovanie, rôzne topológie a riešenie problémov v zariadeniach Firewall a klientskych zariadeniach. Definovaný je aj prístup do virtuálneho laboratória, kde je možné prezrieť si naše nastavenie, ktoré môžete využiť aj pri nastavovaní vzdialenej siete VPN vo vašom zariadení.
1. Konfigurácia siete L2TP VPN pomocou zabudovaného sprievodcu
1.1 Prejdite do sprievodcu
a. Otvortekartu Quick Setup (Rýchle nastavenie ) a vo vyskakovacom okne vyberte položku Remote Access VPN Setup (Nastavenie siete VPN so vzdialeným prístupom):
1.2 Vyberte scenár klienta L2TP cez IPSec
1.3 Konfigurácia VPN
Zadajte preferovaný Pre-Shared Key a vyberte príslušnérozhranie WAN.
1.4 Konfigurácia overovania používateľov
1.5 Uloženie konfigurácie a prevzatie konfigurácie L2TP
2) Manuálne nastavenie siete L2TP/IPSec VPN
V nasledujúcom texte sú opísané kroky potrebné na manuálne nastavenie siete VPN L2TP cez IPSec. Topológia a aplikácia sú rovnaké ako pri použití sprievodcu, jediným rozdielom sú kroky pri konfigurácii.
2.1 Konfigurácia brány VPN
Prejdite na nasledujúcu cestu a vytvorte novú bránu VPN:
Configuration > VPN > IPSEC VPN > VPN Gateway
Stlačte tlačidlo "Zobraziť rozšírené nastavenia". Zadajte názov brány, vyberte rozhranie WAN a pridajte vopred zdieľaný kľúč:
Nastavte položku Negotiation Mode (Režim vyjednávania) na Main (Hlavný) a pridajte nasledujúce (spoločné) návrhy a potvrďte stlačením tlačidla OK:
2.2 Konfigurácia pripojenia VPN
Prejdite na nasledujúcu cestu a vytvorte nové pripojenie VPN:
dyn_repppp_2Stlačte tlačidlo "Zobraziť rozšírené nastavenia". Zadajte názov pripojenia, nastavte aplikačný scenár na Remote Access (Server Role) (Vzdialený prístup (rola servera)) a vyberte bránu VPN, ktorú ste vytvorili predtým:
Pre lokálnu politiku vytvorte nový objekt IPv4 Address (z tlačidla"Create New Object") pre vašu skutočnú IP adresu WAN a potom ju nastavte na pripojenie VPN ako lokálnu politiku:
Nastavte zapuzdrenie na Transport a pridajte nasledujúce návrhy a potvrďte kliknutím na tlačidlo OK:
2.3 Konfigurácia nastavení L2TP VPN
Po dokončení nastavení IPSec je potrebné nastaviť nastavenia L2TP. Prejdite na nasledujúcu cestu:
dyn_repppp_3V prípade potreby vytvorte nového lokálneho používateľa (používateľov), ktorý sa bude môcť pripojiť k sieti VPN:
Vytvorte fond adries IP L2TP s rozsahom adries IP, ktoré by mali klienti používať počas pripojenia k sieti VPN L2TP/IPSec.
Poznámka: Nemalo by dôjsť ku konfliktu so žiadnou podsieťou WAN, LAN, DMZ alebo WLAN, a to ani vtedy, keď sa nepoužívajú.
2.4 Zhrnutie nastavení protokolu L2TP
Teraz nastavme nastavenia L2TP:
- Nastavte pripojenie VPN vytvorené v časti 2.2 Konfigurácia pripojenia VPN
- IP Address Pool môžete nastaviť objekt IP rozsahu L2TP
- Authentication Method (Metóda overovania) môžete nastaviť ako predvolenú pre lokálne overovanie používateľov
- Allowed users (Povolení používatelia) môžete nastaviť pre používateľa. Ak je potrebných viac používateľov, na stránke Object (Objekt) možno vytvoriť skupinu používateľov.
- Server(y) DNS a server WINS možno vybrať tak, aby to bolo samotné zariadenie Firewall (Zywall) alebo prispôsobená IP adresa servera.
- V prípade, že je potrebný prístup na internet cez zariadenie Firewall počas pripojenia k sieti L2TP/IPSec VPN, uistite sa, že je povolená možnosť "Allow Traffic Through WAN Zone" (Povoliť prevádzku cez zónu WAN).
- Kliknutím na tlačidlo "Apply" (Použiť) uložte nastavenia. Týmto je sieť L2TP/IPSec VPN ako taká teraz pripravená.
3) Povinné konfigurácie
3.1 Povolenie portov UDP 4500 a 500
Uistite sa, že pravidlá brány firewall povoľujú prístup portov UDP 4500 a 500 z WAN do Zywall a že predvolená zóna IPSec_VPN má prístup k sieťovým zdrojom. Toto môžete overiť v časti:
dyn_repppp_4
3.2 Povolenie prístupu do internetu cez protokol L2TP prostredníctvom smerov politiky
Ak časť prevádzky z klientov L2TP musí ísť do internetu, vytvorte smerovanie politiky na odosielanie prevádzky z tunelov L2TP von cez trunk WAN.
Nastavte položku Incoming (Prichádzajúce) na Tunnel (Tunel) a vyberte pripojenie L2TP VPN. Nastavte zdrojovú adresu tak, aby to bol fond adries L2TP. Nastavte Next-Hop Type na Trunk a vyberte príslušný kmeň WAN.
Podrobnejšie informácie o tomto kroku nájdete v článku:
Ako umožniť klientom L2TP surfovať cez USG
4. Tipy a riešenie problémov
4.1 Obnovenie predvolenej konfigurácie L2TP VPN
V niektorých prípadoch môže byť potrebné obnoviť nastavenia L2TP VPN na stránke:
dyn_repppp_6V prípade potreby použite nasledujúci článok, ktorý opisuje metódy na obnovenie predvolených nastavení.
ZyWALL USG: Obnovenie predvolenej konfigurácie VPN-L2TP
4.2 Nastavenie klientov L2TP VPN
Protokol L2TP cez IPSec je veľmi populárny a bežne ho podporujú mnohé platformy koncových zariadení s vlastnými zabudovanými klientmi.
Tu sú uvedené niektoré z najbežnejších a spôsob ich nastavenia:
4.3 Pokročilé nastavenie: Vytvorenie siete L2TP VPN z lokálnej siete:
VPN je obľúbená funkcia na šifrovanie paketov pri prenose údajov.
V súčasnom návrhu systému ZyWALL/USG/ATP, keď je rozhranie VPN založené na rozhraní WAN1, musí požiadavka na VPN pochádzať z rozhrania WAN1 (rozhranie obmedzené), inak bude požiadavka zamietnutá. (napr. pripojenie VPN prichádza z LAN1).
V niektorých scenároch však môžu používatelia potrebovať vytvoriť tunel VPN nielen z rozhrania WAN, ale aj LAN.
Tento scenár podporuje aj sieť ZyWALL/USG/ATP. Používatelia môžu podľa nižšie uvedeného pracovného postupu vypnúť obmedzenie rozhrania VPN, aby pripojenie VPN mohlo následne prichádzať z oboch sietí WAN/LAN.
Topológia:
Verzia firmvéru: USG:
4.32 alebo vyššia
Konfigurácia USG:
Ak chcete povoliť L2TP z LAN, musíte získať prístup k zariadeniu pomocou terminálového pripojenia (Serial, Telnet, SSH) a zadať nasledujúce príkazy:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reštartujte zariadenie.
4.4 Rozšírené nastavenie: V prípade potreby vykonajte ďalšie nastavenie: Používanie externých serverov na overovanie používateľov pripájajúcich sa k L2TP VPN
Táto časť opisuje, ako nakonfigurovať L2TP cez IPSec s MS-CHAPv2 na zariadení radu USG/Zywall. V prípade pokročilých implementácií možno na overovanie L2TP/IPSec VPN implementovať overovanie používateľov pomocou serverov Active Directory (AD).
Scenár:
Doména AD: (10.214.30.72)
USG110: 10.214.30.103
1. Prejdite nastránku Configuration>Object>AAA Server. Povoľte overovanie domény pre MSCHAP
Ohlasovacie údaje sú zvyčajne rovnaké ako údaje správcu AD.
2. Prejdite naSystem>Host Name,zadajte doménu ADdo položky Domain Name (Názov domény).
Týmto tokom sa USG pripojí k doméne AD. Tunel sa úspešne vytvorí len vtedy, keď táto časť funguje.
3. Potvrďte, či sa USG pripojil k doméne. Prejdite na stránku Active Directory Users and Computers>Computers
V tomto prípade môžete zistiť, že usg110 sa pripojil k doméne. Podrobné informácie môžete skontrolovať aj na karte Properties>Object (Vlastnosti>Objekt) kliknutím pravým tlačidlom myši.
4. Upravte doménovú zónu, názov domény vložte do položky Systém> DNS >Domain Zone Forwarder.
Niekedy môže počas vytáčania tunela dôjsť k jeho prerušeniu, preto je potrebné nakonfigurovať nasledujúce nastavenie, Query interface je miesto, kde sa nachádza váš server AD.
5. Skontrolujte nastavenia pripojenia v systéme Windows.
Uistite sa, že ste povolili (MS-CHAP v2 ) a v rozšírených nastaveniach ste zadali pre-shared key.
6. Skontrolujte prihlasovacie údaje na stránke Monitor>, Používateľ AD by mal byť v zozname aktuálnych používateľov, keď sa tunel úspešne vytočí.
Môžete zistiť, že typ používateľa je L2TP a informácie o používateľovi sú externý používateľ.
V nasledujúcom článku nájdete podrobné informácie o podporovaných overeniach, ktoré sú podporované našimi firewallmi s L2TP/IPSec VPN:
ZyWALL USG - Podporované overovanie cez L2TP
4.5 L2TP cez IPSec VPN - virtuálna laboratória
Neváhajte a pozrite si naše virtuálne laboratórium pre nastavenie L2TP VPN na našich zariadeniach Firewall. Pomocou tohto virtuálneho laboratória si môžete pozrieť správnu konfiguráciu na porovnanie pri nastavovaní vášho prostredia:
Virtuálne laboratórium - Koncová sieť VPN (L2TP)