Viktigt meddelande: |
Från och med ZLD 5.20 stöder USG FLEX- och ATP-enheter fördefinierade inställningar för både SecuExtender IPSec och icke-SecuExtender IPSec VPN-klienter. I den här artikeln kommer vi att guida dig genom att använda VPN-installationsguiden för fjärråtkomst (Quick Setup). Vi kommer också att visa hur du konfigurerar StrongSwan på Android med hjälp av snabbinstallationsskriptet, installerar certifikat manuellt och konfigurerar StrongSwan för att upprätta en VPN-tunnel med IKEv2 med EAP-MSCHAPv2-autentisering.
Obs: Du kan också använda detta om L2TP VPN har tagits bort på din Android version 12+.
Kom ihåg att tänka på detta: När du har konfigurerat VPN med hjälp av Quick Setup kan du alltid ändra inställningarna senare. Du kan t.ex. lägga till eller ändra grupper eller inkludera ytterligare förslag efter behov.
Tänk dock på att manuella ändringar kan påverka driften av enheter som ursprungligen konfigurerats med hjälp av snabbinställningsskriptet.
Om du måste gå in i Quick Setup-skriptet igen och börja om från början - t.ex. när du laddar ner skriptet igen - skrivs alla manuella ändringar som du tidigare har gjort över. Men oroa dig inte, du kan helt enkelt tillämpa de manuella ändringarna igen efter att du har kört installationen.
Obs: IP-adresserna i figuren är endast exempel och är inte relevanta för artikeln som helhet. De kan vara annorlunda i ditt fall.
Konfigurera VPN via snabbinställning
Logga in på Firewall WEB GUI och gå till Quick Setup, välj Remote Access VPN och sedan IKEv2 IPSec Client (Zyxel SecuExtender, icke-SecuExtender)
Använd detta om du använder Zyxel SecuExtender IPSec VPN-klient eller ett datoroperativsystem som stöder IPSec VPN med IKEv2 (VPN-klient som inte är Zyxel SecuExtender). Du kan skapa en VPN-regel för Full Tunnel eller Split Tunnel med Zyxel SecuExtender VPN-klient. Du kan endast skapa en VPN-regel för Full Tunnel med VPN-klient som inte är SecuExtender.
Konfigurera IP-adresspoolen för klienten.
IP-adresspoolen kommer att använda ett valt oanvänt undernät på enheten för att undvika att samma undernät konfigureras. IP-adresspoolen börjar på 192.168.50.1 Om undernätet 192.168.50.1 finns i gatewayinställningarna ändras IP-adresspoolen automatiskt.
Lägg till eller skapa användare som ska ha VPN-åtkomst. När användarna har lagts till klickar du på Next och granskar alla inställningar för att säkerställa att de är korrekta. Du kan nu antingen ladda ner ett automatiserat skript för att konfigurera VPN eller konfigurera det manuellt med hjälp av ett certifikat.
Efter en lyckad VPN-konfiguration kan du ladda ner och installera skriptfilerna på Android-enheter för att konfigurera VPN-inställningarna automatiskt.
Obs: VPN-inställningarna för IPSec VPN-klienter som inte är SecuExtender stöder inte följande funktioner:
- Begränsning av bandbredd för uppladdning
- Delad tunnel
- Tvåfaktorsautentisering (Google Authenticator)
Detaljer om hur du konfigurerar ett VPN för Windows- och Apple-enheter finns i följande artikel:
Vänligen kom ihåg: För att minska konfigurationsfel och andra potentiella problem rekommenderar vi att du använder ett skript för installationen. Du kan dock även installera och konfigurera certifikatet manuellt direkt på din endpoint-enhet. Detaljerade instruktioner för manuell installation av certifikat och VPN-konfiguration finns i avsnittet "Manuell certifikatkonfiguration".
Konfigurera StrongSwan VPN på Android via Quick Setup Script
- Ladda ner StrongSwan från Google Play Store
- Skicka skriptet till den mobila enheten via e-post
- Spara skriptet på din mobila enhet
- Öppna StrongSwan-appen
- Klicka på "LÄGG TILL VPN-PROFIL"
- Importera VPN-profil
- Välj ett tidigare sparat skript
- Fyll i användarnamn och lösenord och spara
- Klicka på den skapade profilen
- Vänta några sekunder på att anslutningen ska upprättas
Konfigurera StrongSwan VPN på Android genom att installera ett certifikat och manuellt skapa en VPN-profil
Hur man laddar ner ett certifikat
Navigera till Configuration -> Object -> Certificate, välj VPN-certifikatet och tryck på "Download" för att ladda ner certifikatet.
Notera: Fältet "Password" ska lämnas tomt eftersom vi behöver ladda ner crt-certifikatet för att använda det i StrongSwan-klienten på Android. Om du fyller i lösenordet kommer certifikatformatet att vara pfx; detta är inte lämpligt för vårt fall.
Om du har problem med att välja rätt certifikat från din lista kan du identifiera det certifikat som krävs för ett specifikt VPN genom att kontrollera VPN-inställningarna.
Configuration - VPN - IPSec VPN - VPN Gateway - Open settings of the VPN of interest
I avsnittet "Authentication" ser du vilket certifikat som är valt för ditt VPN.
Nu kan du bifoga det här certifikatet till ett e-postmeddelande som du skickar till användarna, där du förklarar hur du installerar det och ansluter till VPN.
Manuell konfiguration av StrongSwan VPN på Android (utan skript)
- Ladda ner StrongSwan från Google Play Store
- Skicka certifikatet till den mobila enheten via e-post
- Spara certifikatet på den mobila enheten (försök inte att installera certifikatet direkt från e-postmeddelandet; spara det bara)
- Öppna StrongSwan-appen
- Klicka på de tre polletterna i högra hörnet och välj "CA Certificate".
- Välj "Importera certifikat".
- Välj ett tidigare sparat certifikat och klicka på "Importera certifikat".
- Klicka på de tre polletterna i högra hörnet och välj "CA Certificate".
- Om certifikatet har importerats kommer du att se meddelandet "Certificate successfullyimported".
- Gå sedan tillbaka till StrongSwans huvudmeny och klicka på "Lägg till VPN-profil".
I konfigurationsformuläret för VPN-profilen som visas ska du fylla i alla obligatoriska fält:
- Server - den offentliga IP-adressen för din brandvägg
- VPN-typ - IKEv2 EAP (användarnamn/lösenord)
- CA-certifikat - väljs automatiskt
- Profilnamn (valfritt) - valfritt användarvänligt namn
|
|