Viktigt meddelande: |
I den här guiden får du lära dig hur du konfigurerar ett IKEv2 IPsec VPN med hjälp av installationsguiden (Quick Setup) på Zyxel Firewall VPN/USG FLEX/ATP-serien och hur du ansluter till det på Android, iPhone (iOS), Windows PC och Mac-datorer med både Zyxel SecuExtender och den inbyggda klienten. Vi kommer också att gå igenom specifika överväganden för att konfigurera VPN på iOS-enheter, mobila enheter som kör version 18 och senare, och datorer med Sonoma firmware eller senare.
Obs: IP-adresserna i figuren är endast exempel och är inte relevanta för artikeln som helhet. De kan vara annorlunda i ditt fall.
Konfigurera VPN via snabbinställning
Logga in på brandväggens WEB GUI och gå till Quick Setup, välj Remote Access VPN och sedan IKEv2 IPSec Client (Zyxel SecuExtender, icke-SecuExtender)
Använd detta om du använder Zyxel SecuExtender IPSec VPN-klient eller ett datoroperativsystem som stöder IPSec VPN med IKEv2 (VPN-klient som inte är Zyxel SecuExtender). Du kan skapa en VPN-regel för Full Tunnel eller Split Tunnel med Zyxel SecuExtender VPN-klient. Du kan endast skapa en VPN-regel för Full Tunnel med VPN-klient som inte är SecuExtender.
Konfigurera IP-adresspoolen för klienten.
IP-adresspoolen kommer att använda ett valt oanvänt undernät på enheten för att undvika att samma undernät konfigureras. IP-adresspoolen börjar på 192.168.50.1 Om undernätet 192.168.50.1 finns i gatewayinställningarna ändras IP-adresspoolen automatiskt.
Lägg till eller skapa användare som ska ha VPN-åtkomst. När användarna har lagts till klickar du på Next och granskar alla inställningar för att säkerställa att de är korrekta. Du kan nu antingen ladda ner ett automatiserat skript för att konfigurera VPN eller konfigurera det manuellt med hjälp av ett certifikat.
Efter en lyckad VPN-konfiguration kan du ladda ner och installera skriptfilerna på Windows-, MacOS-, iOS- eller Android-enheter för att automatiskt konfigurera VPN-inställningar.
Obs: VPN-inställningarna för IPSec VPN-klienter som inte är SecuExtender stöder inte följande funktioner:
- Begränsning av bandbredd för uppladdning
- Splittrad tunnel
- Tvåfaktorsautentisering (Google Authenticator)
Viktigt: Användare på iOS 18 eller senare och Mac OS 14 Sonoma kan inte använda skriptet och måste konfigurera det manuellt. I den här artikeln, i avsnittet om inställningar för iPhone och MacOS, hittar du en mer detaljerad beskrivning av nödvändiga steg.
Tänk på detta: För att minimera konfigurationsfel och andra potentiella problem rekommenderar vi att du använder ett skript för installation. Du kan dock även installera och konfigurera certifikatet manuellt direkt på din endpoint-enhet. Detaljerade instruktioner för manuell installation av certifikat och VPN-konfiguration finns i avsnittet "Manuell certifikatkonfiguration".
Använda VPN Script på Windows
Spara arkivet med skriptet på din dator, packa upp mappen och kör sedan skriptet med administratörsrättigheter (det är en fil med bat-tillägg).
När installationen har lyckats går du till VPN-inställningarna på din dator. Där hittar du den skapade VPN-anslutningen. Klicka på connect. Därefter anger du användarnamn och lösenord.
Använda VPN Script på Android
För Android-användare ska du installera StrongSwan och följa den här artikeln:
Använda VPN-skript på iPhone
Viktigt: Användare på iOS 18 eller senare och Mac OS 14 Sonoma kan inte använda skriptet och måste konfigurera det manuellt. Detta beror på Apples ökade säkerhetskrav för IKEv2 VPN-kryptering. För att lösa detta problem måste du göra ändringar i nyckelgrupp och förslag i fas 1-inställningarna och fas 2-inställningarna för den tidigare skapade VPN-anslutningen med hjälp av Quick Setup (Wizzard).
För att fortsätta, gå tillbaka till webbgränssnittet för din brandvägg. Välj "Configuration" i menyn till vänster och navigera sedan till "VPN". Öppna konfigurationsinställningarna för den aktuella VPN-anslutningen och lägg till ett förslag med följande inställningar i Phase 2 Setting :
Förslag
- Kryptering: AES256
- Autentisering: SHA256.
Gå sedan till fliken "VPN Gateway", där vi måste uppdatera inställningarna för fas 1 enligt följande:
Förslag
- Kryptering: AES256
- Autentisering: SHA256
Nyckelgrupp: DH2 DH14 DH19
När du har gjort ändringar, glöm inte att tillämpa dem genom att klicka på knappen "Apply"
Nästa steg är att ladda ner certifikatet för vår VPN-anslutning och installera det på din enhet.
Så här laddar du ner ett certifikat
Navigera till Configuration -> Object -> Certificate, välj VPN-certifikatet och tryck på "Download" för att ladda ner certifikatet.
Nu kan du antingen välja att exportera certifikatet med ett lösenord för att göra det säkert och se till att det inte kommer i fel händer eller lämna det tomt för att exportera certifikatet utan ett lösenord för att installera.
Nu kan du bifoga detta certifikat till ett e-postmeddelande som du skickar till användarna och förklara hur du installerar det och ansluter till VPN.
iPhone iOS 18 och senare: Manuell installation av certifikat och VPN-konfiguration
Låt oss nu gå vidare till inställningarna på själva iPhone. Ladda ner certifikatet som skickas via e-post, till exempel till din iPhone.
Obs: Dessa ändringar påverkar inte befintliga VPN-anslutningar, oavsett hur de gjordes, antingen med "Quick Setup" eller manuellt.
| Skicka certifikatet via e-post, till exempel. På din Iphone öppnar du e-postmeddelandet som innehåller certifikatet och kör det. | ||
När du har slutfört certifikatet kommer en ny profil att visas i dina enhetsinställningar. För att hitta den, gå till inställningarna för din Iphone
| Сlicka på "Profil nedladdad": | Klicka på "Installera": | Klicka på "Installera": |
| Nu har du ett verifierat certifikat: | Gå till Inställningar -> VPN & Enhet | Klicka på "Lägg till VPN" |
| Ange WAN-IP-adressen för din brandvägg i fälten "Server" och "Remote ID", samt användarnamn och lösenord. | Gör anslutningen och vänta tills statusen är "Connected", detta tar vanligtvis några sekunder. |
Windows 10 och senare: Manuell installation av certifikat och VPN-konfiguration
| Dubbelklicka på certifikatet med vänster musknapp och klicka på "Open" i det nya fönstret som öppnas | Klicka på knappen "Installera certifikat" |
Du kan också prova att dubbelklicka på certifikatet klicka på "Installera certifikat..." och klicka på "Nästa"
| Välj om certifikatet ska vara tillgängligt för alla användare på datorn eller bara för den aktuella användaren. | Klicka på "Place all certificates in the following store" och välj "Trusted Root Certification Authorities" |
| Nästan framme, tryck på "Finish" | Sedan tar vi det med en varning och vi är klara! |
Låt oss nu konfigurera själva VPN-profilen. För att göra detta på din dator, gå till VPN-avsnittet.
| Använd Windows-sökningen och, sök efter VPN och välj "VPN-inställningar" från Windows-sökfältet: | I det nya fönstret som öppnas klickar du på "Lägg till en VPN-anslutning" |
MAC OS 14 Sonoma och senare: Manuell installation av certifikat och VPN-konfiguration
| Dubbelklicka på certifikatet och välj "nyckelring" "system". | Klicka på WiFi-symbolen och "Network Settings". Klicka sedan på "+"-tecknet under dina WiFi-anslutningar. |
Klicka på WiFi-symbolen och "Nätverksinställningar". Klicka sedan på "+"-tecknet under dina WiFi-anslutningar och Skapa ett IKEv2 VPN enligt nedan.
Fyll i IP-adress / FQDN, Remote ID och klicka sedan på autentiseringsinställningar nedan. Välj ett användarnamn och ange ditt användarnamn och lösenord.
Zyxel SecuExtender
SecuExtender anpassar Zero Trust-principen för att hjälpa IT att verifiera användarnas identiteter och genomdriva antagningskontroll för att öka säkerheten. En licens krävs för att använda SecuExtender. Men du kan ladda ner den gratis och testa den kostnadsfria testversionen genom att klicka här: SecuExtender VPN-klient
Den här artikeln kommer att titta på att konfigurera Zyxel SecuExtender med Windows-klienten som ett exempel. MacOS-proceduren är dock identisk med undantag för en liten skillnad i applikationens design.
Öppna appen och klicka på "Konfiguration" i det övre vänstra hörnet. I rullgardinsmenyn hittar du 2 "Hämta från server" och "Wizard".
Båda alternativen är mycket enkla. När du väljer "Hämta från server" måste du veta namnet eller adressen och VPN-användarens användarnamn och lösenord. När det gäller Wizard kan du göra ytterligare ändringar under konfigurationen.
Nedladdningen av VPN-profilen lyckades. Gå nu till huvudmenyn och du kommer att se den nya VPN-profilen i listan till vänster. Dubbelklicka till vänster och ange ditt användarnamn och lösenord. Nu är det klart. Anslutningen är framgångsrik!
Observera att "Certificate check" bör inaktiveras om du använder en standardsignerad och självsignerad CA.