VPN - Konfigurera IKEv2 VPN med certifikat med SecuExtender IPSec VPN Client

Skapat - Uppdaterad
Serhii Boiarynov
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, vi ber dig vara medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen kan du läsa originalartikeln här:Originalversion

Den här artikeln visar hur du konfigurerar IKEv2 IPsec VPN med certifikat med SecuExtender på både Windows och MacOS. Den visar hur du konfigurerar VPN på brandväggen (USG FLEX / ATP / VPN-serien i fristående / lokalt läge) samt hur du blir av med TGBErrorCodeMgrNotCreated.description-felet på MacOS.

Obs: För IOS 17 används en nyckelgrupp: DH19 måste användas

Video:

Innehållsförteckning

A) Konfigurera IKEv2 på brandväggen

B) Konfigurera SecuExtender-klienten

C) Konfigurera på MacOS

A) Konfigurera IKEv2 på brandväggen

  1. Logga in på enheten genom att ange dess IP-adress och autentiseringsuppgifterna för ett administratörskonto (som standard är användarnamnet "admin" och lösenordet "1234")

  2. Navigera till Konfiguration > Objekt > Adress/Geo IP, klicka på "Lägg till" för att skapa ett objekt av typen "Adresstyp" "Intervall". Namnge det "IKEv2_Pool" och skriv in ett IP-intervall som inte överlappar med dina undernät
    2.PNG.

  3. Skapa ett annat IP-adressobjekt så att IKEv2-klienterna senare kan få åtkomst till Internet via VPN-tunneln. Välj typen "Intervall", namnge det till exempel "All_Traffic", skriv in "0.0.0.0" för "Start-IP-adressen" och "255.255.255.255" för "Slut-IP-adressen".
    3.PNG

  4. Navigera till Konfiguration > Objekt > Användare/Grupp och klicka på "Lägg till" för att skapa nya användare.
    6.PNG

  5. Klicka på fliken "Grupp" och klicka på "Lägg till" för att skapa en grupp "IKEv2_Users" och lägg till de användare som behövs genom att markera dem och klicka på pilen som pekar åt höger.
    8.PNG

  6. Navigera till Konfiguration > Objekt > Certifikat, klicka på "Lägg till", välj "Värddomännamn", skriv in domännamnet eller DynDNS, bläddra ner till "Utökad nyckelanvändning" och markera de tre kryssrutorna "Serverautentisering", "Klientautentisering" och "IKE Intermediate" och klicka på "OK".
    8.PNG

  7. Dubbelklicka på certifikatet och bläddra nedåt för att använda "Export Certificate Only".
    9.PNG

  8. Navigera till Konfiguration > Nätverk > VPN > IPSec VPN och klicka på "Lägg till", klicka på "Visa avancerade inställningar", markera "Aktivera", välj "IKEv2", välj "Dynamisk adress" under "Peer Gateway-adress", markera "Certifikat" under "Autentisering" och välj det tidigare skapade certifikatet.
    10.PNG


  9. Bläddra ner för att välja önskade förslag under "Fas 1-inställningar", bocka i "Aktivera utökat autentiseringsprotokoll", välj "Serverläge", låt "AAA-metod" vara "standard" och välj din tidigare skapade grupp "IKEv2_Users" för "Tillåtna användare" innan du slutligen klickar på "OK".
    11.PNG

  10. Öppna nu fliken "VPN-anslutning" ovan, klicka på "Lägg till", klicka på "Visa avancerade inställningar", markera "Aktivera", välj "Fjärråtkomst (serverroll)" för "Applikationsscenario", välj din tidigare skapade VPN-gateway för "VPN-gateway", under "Lokal policy" välj det tidigare skapade IP-intervallobjektet "All_Traffic".

  11. Markera "Enable Configuration Payload", välj objektet "IKEv2_Pool" som din "IP Address Pool" (DNS-servrarna är valfria), välj dina önskade förslag för VPN-anslutningen och klicka slutligen på "OK" för att slutföra konfigurationen av VPN-anslutningen.
    12.PNG
    13.PNG

  12. Navigera nu till Konfiguration > Objekt > Nätverk > Routing, klicka på "Lägg till", markera "Aktivera", välj "Tunnel" för "Inkommande", välj den tidigare skapade IPSec-anslutningen för "Välj en medlem", välj "IKEv2_Pool" för "Källadress" och välj slutligen ditt WAN-gränssnitt eller WAN-trunken som "Next Hop" innan du slutligen klickar på "OK".
    14.PNG

B) Konfigurera SecuExtender-klienten

  1. Öppna IPSec-klienten, högerklicka på mappen "IKE V2" på vänster sida för att lägga till en ny "Ikev2Gateway", ange det domännamn som du också angav i certifikatet på USG för "Remote Gateway" och välj matchande förslag under "Cryptography".
    mceclip1.png
  2. Högerklicka på VPN-gatewayen på vänster sida för att lägga till VPN-anslutningen, välj "Adresstyp" "Subnätadress", skriv in subnätadressen och subnätmasken för det lokala subnätet på USG-sidan, som klienterna ska ha tillgång till och välj de matchande förslagen för VPN-anslutningen.
    mceclip0.png

  3. Om "Child SA Life Lifetime" inte matchar den som konfigurerats på USG, justera den innan du slutligen öppnar tunneln genom att högerklicka igen på VPN-anslutningen på vänster sida.

C) Kan inte importera .tgb-fil på MacOS

Om du får detta TGB-filfel "TGBErrorCodeMgrNotCreated.description", på din MacOS, är detta relaterat till sekretessinställningar i MacOS. Du måste tillåta SecuExtender att vara betrodd i ditt operativsystem.

mceclip0.png

Navigera till Inställningar -> Sekretess och säkerhet -> Säkerhet och välj "App Store och identifierade utvecklare". Då ska "SecuExtender VPN Client" visas och du måste trycka på "Tillåt":

mceclip1.png

Nu kan du importera .tgb-filen framgångsrikt till SecuExtender Client på MacOS för att få din konfiguration.

+++ Du kan köpa licenser för dina Zyxel VPN-klienter (SSL VPN, IPsec) med omedelbar leverans med 1-klick: Zyxel Webstore +++

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
3 av 11 tyckte detta var till hjälp
Dela