Dôležité upozornenie: |
Počnúc verziou ZLD 5.20 podporujú zariadenia USG FLEX a ATP preddefinované nastavenia pre klientov SecuExtender IPSec aj pre klientov IPSec VPN, ktorí nie sú súčasťou SecuExtender. V tomto článku vás prevedieme použitím sprievodcu nastavením VPN pre vzdialený prístup (rýchle nastavenie). Ukážeme tiež, ako nakonfigurovať StrongSwan v systéme Android pomocou skriptu rýchleho nastavenia, manuálne nainštalovať certifikáty a nakonfigurovať StrongSwan na vytvorenie VPN tunela pomocou IKEv2 s overovaním EAP-MSCHAPv2.
Poznámka: Tento postup môžete použiť aj v prípade, ak bola na vašom systéme Android verzie 12+ odstránená sieť L2TP VPN.
Majte na pamäti: Po konfigurácii siete VPN pomocou rýchleho nastavenia môžete nastavenia vždy neskôr upraviť. Podľa potreby môžete napríklad pridať alebo zmeniť skupiny alebo zahrnúť ďalšie návrhy.
Upozorňujeme však, že manuálne zmeny môžu ovplyvniť fungovanie zariadení pôvodne nakonfigurovaných pomocou skriptu rýchleho nastavenia.
Ak budete musieť znovu vstúpiť do skriptu rýchleho nastavenia a začať od začiatku - napríklad pri opätovnom stiahnutí skriptu - všetky predtým vykonané manuálne zmeny sa prepíšu. Nemajte však obavy, tieto manuálne zmeny môžete po spustení rýchleho nastavenia jednoducho znova použiť.
Poznámka: Adresy IP na obrázku sú len príkladné a nie sú relevantné pre celý článok. Vo vašom prípade sa môžu líšiť.
Konfigurácia siete VPN prostredníctvom rýchleho nastavenia
Prihláste sa do webového grafického rozhrania firewallu, prejdite do časti Rýchle nastavenie a vyberte položku Vzdialený prístup VPN a potom IKEv2 IPSec Client (Zyxel SecuExtender, non-SecuExtender).
Toto použite, ak používate klienta Zyxel SecuExtender IPSec VPN alebo operačný systém počítača, ktorý podporuje IPSec VPN s IKEv2 (klient VPN, ktorý nie je súčasťou programu SecuExtender). Pomocou klienta Zyxel SecuExtender VPN môžete vytvoriť pravidlo úplného tunela alebo rozdeleného tunela VPN. Pravidlo Full Tunnel VPN môžete vytvoriť len s klientom VPN, ktorý nie je súčasťou programu SecuExtender.
Nakonfigurujte fond adries IP pre klienta.
Bazén IP adries bude používať vybranú nepoužívanú podsieť v zariadení, aby sa zabránilo nastaveniu rovnakej podsiete. Bazén IP adries bude začínať na 192.168.50.1 Ak v nastaveniach brány existuje podsieť 192.168.50.1, bazén IP adries sa automaticky zmení.
Pridajte alebo vytvorte používateľov, ktorí budú mať prístup do siete VPN. Po pridaní používateľov kliknite na tlačidlo Next (Ďalej) a skontrolujte všetky nastavenia, aby ste sa uistili o ich správnosti. Teraz si môžete stiahnuť automatický skript na konfiguráciu siete VPN alebo ju nakonfigurovať ručne pomocou certifikátu.
Po úspešnej konfigurácii siete VPN si môžete stiahnuť a nainštalovať súbory skriptu na zariadenia so systémom Android, aby ste mohli nastavenia siete VPN konfigurovať automaticky.
Poznámka: Nastavenia VPN pre klientov IPSec VPN bez aplikácie SecuExtender nepodporujú nasledujúce funkcie:
- Limit šírky pásma na odosielanie
- Rozložený tunel
- Dvojfaktorové overovanie (Google Authenticator)
Podrobnosti o konfigurácii siete VPN pre zariadenia so systémom Windows a Apple nájdete v nasledujúcom článku:
Majte na pamäti: Odporúčame použiť skript na inštaláciu, aby sa znížil počet konfiguračných chýb a iných možných problémov. Certifikát však môžete nainštalovať a nakonfigurovať aj ručne priamo na koncovom zariadení. Podrobné pokyny na manuálnu inštaláciu certifikátu a konfiguráciu VPN nájdete v časti "Manuálna konfigurácia certifikátu".
Konfigurácia StrongSwan VPN v systéme Android prostredníctvom skriptu rýchlej inštalácie
- Stiahnite si StrongSwan z obchodu Google Play
- Odošlite skript do mobilného zariadenia prostredníctvom e-mailu
- Uložte skript do mobilného zariadenia
- Otvorte aplikáciu StrongSwan
- Kliknite na "PRIDAŤ PROFIL VPN"
- Importovať profil VPN
- Vyberte predtým uložený skript
- Vyplňte používateľské meno a heslo a Uložiť
- Kliknite na vytvorený profil
- Počkajte niekoľko sekúnd, kým sa vytvorí spojenie
Konfigurácia StrongSwan VPN v systéme Android inštaláciou certifikátu a manuálnym vytvorením profilu VPN
Ako stiahnuť certifikát
Prejdite do časti Konfigurácia -> Objekt -> Certifikát, vyberte certifikát VPN a stlačením tlačidla "Stiahnuť" stiahnite certifikát.
Poznámka: Pole "Heslo" by malo zostať prázdne, pretože certifikát crt musíme stiahnuť, aby sme ho mohli používať v klientovi StrongSwan v systéme Android. Ak vyplníte heslo, formát certifikátu bude pfx; to nie je vhodné pre náš prípad.
Ak máte problémy s výberom správneho certifikátu zo zoznamu, môžete požadovaný certifikát pre konkrétnu VPN identifikovať kontrolou nastavení VPN.
Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest
V časti "Autentifikácia" uvidíte, ktorý certifikát je vybraný pre vašu VPN.
Teraz môžete tento certifikát pripojiť k e-mailu, ktorý pošlete používateľom, a vysvetliť v ňom, ako ho nainštalovať a pripojiť sa k sieti VPN.
Manuálna konfigurácia StrongSwan VPN v systéme Android (bez skriptu)
- Stiahnite si StrongSwan z obchodu Google Play
- Pošlite certifikát do mobilného zariadenia prostredníctvom e-mailu
- Uložte certifikát do mobilného zariadenia (nepokúšajte sa nainštalovať certifikát priamo z e-mailu; len ho uložte)
- Otvorte aplikáciu StrongSwan
- Kliknite na tri žetóny v pravom rohu a vyberte "Certifikát certifikačnej autority".
- Vyberte "Importovať certifikát".
- Vyberte predtým uložený certifikát a kliknite na "Importovať certifikát".
- Kliknite na tri žetóny v pravom rohu a vyberte "Certifikát CA".
- Ak bol certifikát úspešne importovaný, zobrazí sa správa "Certifikát bol úspešne importovaný".
- Potom sa vráťte do hlavnej ponuky StrongSwan a kliknite na "Pridať profil VPN".
V zobrazenom konfiguračnom formulári profilu VPN vyplňte všetky požadované polia:
- Server - verejná IP adresa vášho firewallu
- Typ VPN - IKEv2 EAP (používateľské meno/heslo)
- Certifikát certifikačnej autority - vyberte automaticky
- Názov profilu (voliteľné) - ľubovoľný používateľsky prívetivý názov
|
|