Viktigt meddelande: |
Den här artikeln visar hur du konfigurerar L2TP över IPSec i fristående läge för USG FLEX / ATP / VPN-serien och hur du konfigurerar guiden, laddar ner konfigurationen, konfigurerar L2TP manuellt med VPN-gateway & anslutningsmeny, Vad man ska tillåta i brandväggsreglerna, hur man aktiverar internetåtkomst för L2TP (inget internet), återställer standardkonfiguration, ställer in VPN-användare, etablerar ett VPN från LAN, använder externa servrar för att autentisera användare, felsöker med loggar, konfigurerar MS-CHAPv2.
Innehållsförteckning
1. Konfigurera L2TP VPN med hjälp av inbyggd guide
1.2 Välj L2TP över IPSec Klientscenario
1.3 Konfigurera VPN-konfigurationen
1.4 Konfigurera användarautentisering
1.5 Spara konfigurationen och ladda ner L2TP-konfigurationen
2) Ställa in L2TP/IPSec VPN manuellt
2.2 Konfigurera VPN-anslutning
2.3 Konfigurera L2TP VPN-inställningar
2.4 Sammanfatta L2TP-inställningarna
3) Konfigurationer som måste göras
3.1 Tillåt UDP-portarna 4500 & 500
3.2 Aktivera internetåtkomst via L2TP via policyvägar
4. Tips och felsökning
4.1 Återställa L2TP VPN:s standardkonfiguration
4.2 Ställa in L2TP VPN-klienter
4.3 Avancerad konfiguration: Etablering av ett L2TP VPN från LAN:
4.5 L2TP över IPSec VPN - Virtuellt labb
4.7 Konfigurera L2TP MS-CHAPv2 på USG/Zywall-serien
Vad är L2TP över IPSec VPN?
Innan vi börjar med konfigurationsguiden, låt oss ge en introduktion till L2TP över IPSec VPN.
L2TP over IPSec kombinerar Layer 2 Tunneling Protocol (L2TP, som ger en punkt-till-punkt-anslutning) med IPSec-protokollet. L2TP i sig tillhandahåller inte någon kryptering av innehåll, och därför byggs tunneln vanligtvis över ett Layer 3-krypteringsprotokoll IPsec, vilket resulterar i den så kallade L2TP over IPSec VPN.
I den här handboken kan du utforska all information som behövs för L2TP VPN-anslutningar i Zyxels brandväggsenheter, konfigurationsmetoderna (via guiden och manuellt), klientinstallationen för Windows, MAC och Linux; samt mer avancerade inställningar för autentisering, olika topologier och felsökning på brandväggsenheterna och klientenheterna. Tillgång till virtuellt labb definieras också där det är möjligt att granska vår konfiguration som också kan användas när du konfigurerar fjärr-VPN i din enhet.
1. Konfigurera L2TP VPN med hjälp av den inbyggda guiden
1.1 Navigera till guiden
a. Öppnafliken Quick Setup och välj Remote Access VPN Setup i popup-fönstret:
1.2 Välj klientscenariot L2TP över IPSec
1.3 Konfigurera VPN-konfigurationen
Ange en önskad Pre-Shared Key och välj motsvarande WAN-gränssnitt.
1.4 Konfigurera användarautentisering
1.5 Spara konfigurationen och ladda ner L2TP-konfigurationen
Configuration > Security Policy > Policy Control
2) Konfigurera L2TP/IPSec VPN manuellt
Följande beskriver de steg som behövs för att manuellt konfigurera en L2TP över IPSec VPN. Topologin och applikationen är desamma som när du använder guiden, den enda skillnaden är stegen i konfigurationen.
2.1 Konfigurera VPN-gateway
Gå till följande sökväg och skapa en ny VPN-gateway:
Configuration > VPN > IPSEC VPN > VPN Gateway
Tryck på "Visa avancerade inställningar". Ange ett namn för gatewayen, välj ditt WAN-gränssnitt och lägg till en fördelad nyckel:
Ställ in förhandlingsläget på Main och lägg till följande (vanliga) förslag och bekräfta genom att klicka på OK:
2.2 Konfigurera VPN-anslutning
Gå till följande sökväg och skapa en ny VPN-anslutning:
Configuration > VPN > IPSec VPN > VPN Connection
Tryck på "Visa avancerade inställningar". Ange ett namn på anslutningen, ställ in Application Scenario till Remote Access (Server Role) och välj den VPN Gateway som du skapade tidigare:
För den lokala policyn skapar du ett nytt IPv4-adressobjekt (från knappen"Skapa nytt objekt") för din riktiga WAN-IP och ställer sedan in den på VPN-anslutningen som lokal policy:
Ställ in Encapsulation till Transport och lägg till följande förslag och bekräfta genom att klicka på OK:
2.3 Konfigurera L2TP VPN-inställningar
Nu när IPSec-inställningarna är klara måste L2TP-inställningarna konfigureras. Gå till följande sökväg:
Configuration -> VPN -> L2TP VPN Settings
Om det behövs, skapa en ny lokal användare som kommer att tillåtas ansluta till VPN:
Skapa en L2TP IP-adresspool med ett intervall av IP-adresser som ska användas av klienterna när de är anslutna till L2TP/IPSec VPN.
Obs: Detta bör inte stå i konflikt med några WAN-, LAN-, DMZ- eller WLAN-undernät, inte ens när de inte används.
2.4 Sammanfatta L2TP-inställningarna
Låt oss nu ställa in L2TP-inställningarna:
- Ställ in VPN-anslutningen som skapades i 2.2 Konfigurera VPN-anslutning
- En IP-adresspool du kan ställa in L2TP IP-intervallobjekt
- Autentiseringsmetoden kan ställas in som standard för lokal användarautentisering
- Tillåtna användare kan ställas in för användaren. Om flera användare behövs kan en grupp av användare skapas på sidan Objekt.
- DNS-servern(erna) och WINS-servern kan väljas att vara själva brandväggsenheten (Zywall) eller en anpassad server-IP-adress.
- Om internetåtkomst behövs via brandväggsenheten medan den är ansluten till L2TP/IPSec VPN, se till att alternativet "Tillåt trafik genom WAN-zonen" är aktiverat.
- Klicka på "Apply" för att spara inställningarna. Med detta är L2TP/IPSec VPN som sådant nu redo.
3) Konfigurationer som du måste ha
3.1 Tillåt UDP-portarna 4500 och 500
Kontrollera att brandväggsreglerna tillåter åtkomst för portarna UDP 4500 och 500 från WAN till Zywall, och att standardzonen IPSec_VPN har åtkomst till nätverksresurserna. Detta kan verifieras i:
Configuration > Security Policy > Policy Control
3.2 Aktivera internetåtkomst över L2TP via policyvägar
Om en del av trafiken från L2TP-klienterna behöver gå till Internet kan du skapa en policyväg för att skicka trafik från L2TP-tunnlarna ut via en WAN-trunk.
Configuration > Network > Routing > Policy Route
Ställ in Inkommande till Tunnel och välj din L2TP VPN-anslutning. Ange att källadressen ska vara L2TP-adresspoolen. Ange Next-Hop Type till Trunk och välj lämplig WAN-trunk.
Mer information om detta steg finns i artikeln:
Hur man låter L2TP-klienter surfa via USG
4. Tips och felsökning
4.1 Återställa L2TP VPN:s standardkonfiguration
I vissa fall kan det vara nödvändigt att ge en ny start till dina L2TP VPN-inställningar på sidan:
Configuration > VPN > L2TP VPNAnvänd vid behov följande artikel som beskriver metoderna för att återställa standardinställningarna.
ZyWALL USG: Återställ VPN-L2TP standardkonfiguration
4.2 Ställa in L2TP VPN-klienter
L2TP över IPSec är mycket populärt och stöds ofta av många plattformar för slutenheter med sina egna inbyggda klienter.
Här är några av de vanligaste och hur du konfigurerar dem:
4.3 Avancerad installation: Etablera ett L2TP VPN från LAN:
VPN är en populär funktion för kryptering av paket vid överföring av data.
I ZyWALL/USG/ATP:s nuvarande design, när VPN-gränssnittet är baserat på WAN1-gränssnittet, måste VPN-förfrågan komma från WAN1-gränssnittet (gränssnitt begränsat), annars kommer förfrågan att nekas. (t.ex. VPN-anslutningen kom från LAN1)
I vissa scenarier kan användarna dock behöva upprätta VPN-tunneln inte bara från WAN utan även från LAN.
Detta scenario stöds också av ZyWALL/USG/ATP. Användare kan följa driftproceduren nedan för att stänga av VPN-gränssnittsbegränsningen så att VPN-anslutningen kan komma från både WAN/LAN efteråt.
Topologi:
USG Firmwareversion:
4.32 eller senare
USG-konfiguration:
För att aktivera L2TP från LAN måste du komma åt enheten med en terminalanslutning (seriell, Telnet, SSH) och ange följande kommandon:
Router> configure terminal.
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Starta om enheten
4.4 Avancerad installation: Använda externa servrar för att autentisera användare som ansluter till L2TP VPN
I det här avsnittet beskrivs hur du konfigurerar L2TP över IPSec med MS-CHAPv2 på USG/Zywall-serien. För avancerade implementeringar kan användarautentisering med Active Directory-servrar (AD) implementeras på L2TP/IPSec VPN-autentiseringen.
Scenario:
AD-domän: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Gå till Konfiguration>Objekt>AAA-server. Aktivera domänautentisering för MSCHAP
Autentiseringsuppgifterna är vanligtvis samma som för AD-administratören.
2. Gå tillSystem>Host Name,skriv in AD-domäneni Domain Name
Detta flöde gör att USG ansluter sig till AD-domänen. Tunneln kommer endast att upprättas framgångsrikt när denna del fungerar.
3. Bekräfta om USG har anslutit sig till domänen. Gå till Active Directory - användare och datorer>Datorer
I det här fallet kan du se att usg110 har anslutit sig till domänen. Du kan också kontrollera den detaljerade informationen på fliken Egenskaper>Objekt genom att högerklicka.
4. Edit Domain Zone, Lägg till domännamn i System> DNS >Domain Zone Forwarder.
Ibland kan det bli problem under uppringning av tunneln, så du måste konfigurera följande inställning, Query interface är där din AD-server är placerad.
5. Kontrollera anslutningsinställningarna i ditt Windows.
Kontrollera att du har aktiverat (MS-CHAP v2) och angett fördelad nyckel i Avancerade inställningar.
6. Kontrollera inloggningsinformationen på Monitor page>, AD-användaren bör finnas på Current User List när tunneln har ringts upp framgångsrikt.
Du kan se att användartypen är L2TP och att användarinformationen är extern användare.
Som ytterligare information kan du läsa följande artikel som beskriver vilka autentiseringar som stöds av våra brandväggar med L2TP/IPSec VPN:
ZyWALL USG - Autentisering som stöds via L2TP
4.5 L2TPöver IPSec VPN - Virtuellt labb
Ta gärna en titt på vårt virtuella labb för L2TP VPN-installation på våra brandväggsenheter. Med detta virtuella labb kan du ta en titt på den korrekta konfigurationen för jämförelse när du ställer in din miljö:
Virtuellt labb - End-to-Site VPN (L2TP)