Viktigt meddelande: |
I den här guiden kommer vi att visa dig hur du ställer in det här specifika scenariot med hjälp av SecuExtender ZyWall IPSec VPN-klient med Legacy USG-serien genom att konfigurera brandväggen (fas 1 & fas 2) och SecuExtender-versionen (perpetual).
För mer beskrivning se videon:
Genomgångssteg
Observera: Alla följande steg hänvisar endast till IKEv1! Om du använder USG FLEX/ATP, kolla den här artikeln .
2.Konfigurera ZyXEL IPsec VPN-klienten
1. VPN Gateway (Fas 1):
1. Logga in på enheten genom att ange dess IP-adress och autentiseringsuppgifterna för ett administratörskonto (som standard är användarnamnet "admin", lösenordet är "1234")
2. Lägg till en ny gateway under
Konfiguration > VPN > IPSec VPN > VPN Gateway
Redigera följande inställningar:
"Visa avancerade inställningar", kryssa för "Aktivera", skriv in önskat namn, välj önskat WAN-gränssnitt som "Min adress", markera Dynamisk adress för flera IP-adresser, ange en fördelad nyckel.
3. I den här handledningen lämnar vi Fas 1-inställningarna som förslag som standard, men vänligen justera dem efter dina säkerhetsinställningar. Ändra sedan från "Förhandlingsläge" till "Main".
Klicka på "OK" för att tillämpa de gjorda ändringarna.
VPN-anslutning (fas 2):
1. Navigera till fliken "VPN-anslutning" och lägg till en ny anslutning
Konfiguration > VPN > IPSec VPN > VPN-anslutning
Redigera följande inställningar:
"Visa avancerade inställningar", kryssa för "Aktivera", skriv in önskat namn, Ställ in "Applikationsscenario" till "Fjärråtkomst (serverroll") och välj det tidigare skapade VPN Gateway
2. För "Lokal policy", välj subnätet på din USG som VPN-klienterna ska ha tillgång till. Välj dina önskade förslag i "Fas 2-inställningar" och klicka på "OK" (påminn om att säkra så mycket som möjligt)
2. Konfigurera ZyWall IPSec VPN-klienten:
1. Du hittar den senaste klienten här
2. Starta programvaran, definiera portarna i "IKEv1-parametrarna" (IKE Port = 500, NAT-T-Port=4500)
3. I "Ikev1Gateway", skriv in IP:n för USGs WAN-gränssnitt som din VPN Gateway lyssnar på och ange den fördelade nyckeln. Se till att förslagen stämmer överens med de du definierade i din VPN Gateway på din USG
4. Konfigurera nu VPN-tunneln: Lämna "VPN-klientadressen" som 0.0.0.0 eller ange en IP-adress som inte matchar ett nätverk på USG lokalt, ange subnätadressen du har definierat som lokal policy i dina USG:er VPN-anslutning och se till att förslagen matchar VPN-anslutningsförslagen
Nu bör du kunna öppna VPN-tunneln genom att högerklicka på VPN-tunneln till vänster och välja "Öppna tunnel". En grön skrivbordsavisering i det nedre högra hörnet bör bekräfta den framgångsrika etablerade VPN-anslutningen.
Tänk på att din WAN-to-ZyWall-brandväggsregel bör tillåta tjänsterna ESP, IKE och NATT!
För att lära dig mer information om VPN-inställningarna och algoritmerna kan du besöka:
http://www.zyxel-tech.de/previews/zyw70w362wm0c0/h_vpn_rules_edit_adv.html
För att lära dig hur du konfigurerar en L2TP-anslutning på Windows 10, besök:
https://www.youtube.com/watch?v=BYxcjcOxybs
3. Observera:
- Testa inte VPN-anslutningen inom samma subnät som din lokala policy! Detta kommer att orsaka routingproblem.
- Du kan exportera konfigurationsfilen för IPSec-klienten och tillhandahålla den till olika datorer.
- Om din VPN-tunnel inte byggs upp trots att du vet att allt har ställts in korrekt, kan det vara så att din internetleverantör blockerar IKE (Port 500) eller NAT-T (Port 4500). Kontakta din internetleverantör för att klargöra detta.
- Om det inte finns någon IPSec-relaterad trafik som träffar ditt WAN-gränssnitt, kanske ISP:n blockerar ESP (Protocol 50). Kontakta din internetleverantör för att klargöra detta.
Också intressant:
Vill du ta en titt direkt på någon av våra testenheter? Ta en titt här i vårt virtuella labb:
Virtual LAB - Site to Site VPN
+++ Du kan köpa licenser för dina Zyxel VPN-klienter (SSL VPN, IPsec) med omedelbar leverans med 1-klick: Zyxel Webstore +++