Den här artikeln visar hur man konfigurerar L2TP över IPSec i fristående läge för USG FLEX / ATP / VPN-serien och hur man använder guiden, laddar ner konfigurationen, konfigurerar L2TP manuellt via VPN-gateway & anslutningsmenyn, vad som ska tillåtas i brandväggsregler, hur man aktiverar internetåtkomst för L2TP (utan internet), återställer standardkonfiguration, sätter upp VPN-användare, upprättar en VPN från LAN, använder externa servrar för att autentisera användare, felsöker med loggar samt konfigurerar MS-CHAPv2.
Vad är L2TP över IPSec VPN?
Innan vi börjar med konfigurationsguiden, låt oss ge en introduktion till L2TP över IPSec VPN.
L2TP över IPSec kombinerar Layer 2 Tunneling Protocol (L2TP, som tillhandahåller en punkt-till-punkt-anslutning) med IPSec-protokollet. L2TP ensam erbjuder ingen kryptering av innehållet, och därför byggs tunneln vanligtvis ovanpå ett Layer 3-krypteringsprotokoll, IPsec, vilket resulterar i den så kallade L2TP över IPSec VPN.
I denna handbok kan du utforska all information som behövs för L2TP VPN-anslutningar i Zyxel-brandväggsenheter, med genomgång av konfigurationsmetoder (via guiden och manuellt), klientuppsättning för Windows, MAC och Linux; samt mer avancerade inställningar för autentisering, olika topologier och felsökning på brandväggsenheter och klientenheter. Tillgång till ett virtuellt labb definieras också där det är möjligt att granska vår uppsättning som även kan användas vid uppsättning av fjärr-VPN på din enhet.
Konfigurera L2TP VPN med den inbyggda guiden
Navigera till guiden
a. Öppna Quick Setup-fliken och i popup-fönstret välj Remote Access VPN Setup:
Välj scenariot L2TP över IPSec Client
Konfigurera VPN-konfiguration
Ange en föredragen Pre-Shared Key och välj motsvarande WAN-gränssnitt.
Konfigurera användarautentisering
Spara konfigurationen & ladda ner L2TP-konfiguration
Configuration > Security Policy > Policy Control Manuell uppsättning av L2TP/IPSec VPN
Följande beskriver stegen som behövs för att manuellt konfigurera en L2TP över IPSec VPN. Topologin och användningsområdet är samma som vid användning av guiden, den enda skillnaden är stegen i konfigurationen.
Konfigurera VPN-gateway
Gå till följande väg och skapa en ny VPN-gateway:
Configuration > VPN > IPSEC VPN > VPN GatewayKlicka på "Show Advanced Settings". Ange ett namn för gatewayen, välj ditt WAN-gränssnitt och lägg till en pre-shared key:
Ställ in Negotiation Mode till Main och lägg till följande (vanliga) förslag och bekräfta genom att klicka OK:
Konfigurera VPN-anslutning
Gå till följande väg och skapa en ny VPN-anslutning:
Configuration > VPN > IPSec VPN > VPN ConnectionKlicka på "Show Advanced Settings". Ange anslutningens namn, ställ in Application Scenario till Remote Access (Server Role) och välj den VPN-gateway du skapade tidigare:
För Local Policy, skapa ett nytt IPv4-adressobjekt (från knappen "Create New Object") för din verkliga WAN-IP och ställ sedan in det som Local Policy för VPN-anslutningen:
Ställ in Encapsulation till Transport och lägg till följande förslag och bekräfta genom att klicka OK:
Konfigurera L2TP VPN-inställningar
Nu när IPSec-inställningarna är klara behöver L2TP-inställningarna konfigureras. Gå till följande väg:
Configuration -> VPN -> L2TP VPN SettingsOm det behövs, skapa nya lokala användare som ska tillåtas ansluta till VPN:
Skapa en L2TP IP-adresspool med ett intervall av IP-adresser som ska användas av klienterna medan de är anslutna till L2TP/IPSec VPN.
Notera: Detta bör inte krocka med några WAN-, LAN-, DMZ- eller WLAN-subnät, även när de inte används.
Sammanfatta L2TP-inställningarna
Låt oss nu ställa in L2TP-inställningarna:
- Ange VPN-anslutningen som skapades i 2.2 Konfigurera VPN-anslutning
- En IP-adresspool där du kan ange L2TP IP-intervallobjektet
- Autentiseringsmetoden kan ställas in som standard för lokal användarautentisering
- Tillåtna användare kan anges för användaren. Om flera användare behövs kan en användargrupp skapas på Objekt-sidan.
- DNS-server(s) och WINS-server kan väljas att vara brandväggsenheten själv (Zywall) eller en anpassad server-IP-adress.
- Om internetåtkomst behövs genom brandväggsenheten medan du är ansluten till L2TP/IPSec VPN, se till att alternativet "Allow Traffic Through WAN Zone" är aktiverat.
- Klicka på "Apply" för att spara inställningarna. Med detta är L2TP/IPSec VPN nu redo att användas.
Nödvändiga konfigurationer - Tillåt UDP-portar 4500 & 500
Se till att brandväggsreglerna tillåter åtkomst för portarna UDP 4500 och 500 från WAN till Zywall, och att standardzonen IPSec_VPN har åtkomst till nätverksresurserna. Detta kan verifieras i:
Configuration > Security Policy > Policy Control Aktivera internetåtkomst över L2TP via policy-rutter
Om en del av trafiken från L2TP-klienterna behöver gå till internet, skapa en policy-rutt för att skicka trafik från L2TP-tunnlar ut genom en WAN-trunk.
Configuration > Network > Routing > Policy RouteStäll in Incoming till Tunnel och välj din L2TP VPN-anslutning. Ställ in Source Address till L2TP-adresspoolen. Ställ in Next-Hop Type till Trunk och välj lämplig WAN-trunk.
Tips & felsökning - Återställa L2TP VPN till standardkonfiguration
I vissa fall kan det vara nödvändigt att göra en nystart av dina L2TP VPN-inställningar på sidan:
Configuration > VPN > L2TP VPNUppsättning av L2TP VPN-klienter
L2TP över IPSec är mycket populärt och stöds vanligtvis av många plattformar för slutanvändarenheter med sina egna inbyggda klienter.
Här är några av de vanligaste och hur man ställer in dem:
Windows/MacOS/Linux:
Avancerad uppsättning: Upprätta en L2TP VPN från LAN:
VPN är en populär funktion för att kryptera paket vid datatransmission.
I ZyWALL/USG/ATP:s nuvarande design, när VPN-gränssnittet är baserat på WAN1-gränssnittet, måste VPN-förfrågan komma från WAN1-gränssnittet (gränssnittet är begränsat), annars nekas förfrågan. (t.ex. VPN-anslutning kom från LAN1)
Men i vissa scenarier kan användare behöva upprätta VPN-tunneln inte bara från WAN utan även från LAN.
Detta scenario stöds också av ZyWALL/USG/ATP. Användare kan följa nedanstående procedur för att inaktivera VPN-gränssnittsbegränsningen så att VPN-anslutningen kan komma från både WAN/LAN därefter.
USG Firmware-version: 4.32 eller senare
USG-konfiguration:
För att aktivera L2TP från LAN måste du ansluta till din enhet med en terminalanslutning (Serial, Telnet, SSH) och ange följande kommandon:
Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Reboot device.Avancerad uppsättning: Använda externa servrar för att autentisera användare som ansluter till L2TP VPN
Denna sektion beskriver hur man konfigurerar L2TP över IPSec med MS-CHAPv2 på USG/Zywall-serien. För avancerade implementationer kan användarautentisering med Active Directory (AD)-servrar implementeras på L2TP/IPSec VPN-autentiseringen.
Scenario:
AD-domän: USG.com (10.214.30.72)
USG110: 10.214.30.103
1. Navigera till Configuration>Object>AAA Server. Aktivera domänautentisering för MSCHAP
Referensen är vanligtvis samma som AD-administratörens.
2. Gå till System>Host Name, skriv in AD-domänen i Domain Name
Denna process får USG att ansluta till AD-domänen. Tunneln kommer endast att upprättas framgångsrikt om denna del fungerar.
3. Bekräfta om USG har anslutit till domänen. Navigera till Active Directory Users and Computers>Computers
I detta fall kan du se att usg110 har anslutit till domänen. Du kan också kontrollera detaljerad information under fliken Properties>Object genom att högerklicka.
4. Redigera domänzonen, ange domännamnet i System> DNS >Domain Zone Forwarder.
Ibland kan det ta tid innan tunneln upprättas, så du behöver konfigurera följande inställning, Query interface är där din AD-server är lokaliserad.
5. Kontrollera anslutningsinställningarna på din Windows.
Se till att du har aktiverat (MS-CHAP v2) och angett pre-shared key i avancerade inställningar.
6. Kontrollera inloggningsinformationen på övervakningssidan>. AD-användaren bör finnas i den aktuella användarlistan när tunneln har upprättats framgångsrikt.
Du kan se att användartypen är L2TP och användarinformationen är extern användare.
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.