VPN - PSK Stand-alone modunda L2TP over IPSec VPN yapılandırması

Bu makale, USG FLEX / ATP / VPN Serisi için Standalone modda L2TP over IPSec'in nasıl yapılandırılacağını, Sihirbazın nasıl yapılandırılacağını, yapılandırmanın nasıl indirileceğini, VPN geçidi ve bağlantı menüsü kullanılarak L2TP'nin manuel olarak nasıl yapılandırılacağını, güvenlik duvarı kurallarında nelerin izin verilmesi gerektiğini, L2TP için internet erişiminin (internetsiz) nasıl etkinleştirileceğini, varsayılan yapılandırmanın nasıl geri yükleneceğini, VPN kullanıcılarının nasıl kurulacağını, LAN'dan VPN kurulmasını, kullanıcıları doğrulamak için harici sunucuların kullanımını, günlükler kullanılarak sorun giderme ve MS-CHAPv2 yapılandırmasını göstermektedir.

L2TP over IPSec VPN nedir?

Yapılandırma kılavuzuna başlamadan önce, L2TP over IPSec VPN hakkında bir giriş yapalım.

L2TP over IPSec, Katman 2 Tünelleme Protokolü (L2TP, nokta-nokta bağlantı sağlar) ile IPSec protokolünü birleştirir. L2TP tek başına içerik şifrelemesi sağlamaz, bu nedenle tünel genellikle Katman 3 şifreleme protokolü olan IPSec üzerine kurulur; bunun sonucu olarak L2TP over IPSec VPN ortaya çıkar.

Bu kılavuzda, Zyxel Güvenlik Duvarı cihazlarında L2TP VPN bağlantıları için gereken tüm bilgileri keşfedebilirsiniz; yapılandırma yöntemlerini (sihirbaz ve manuel olarak), Windows, MAC ve Linux için istemci kurulumu; ayrıca doğrulama, farklı topolojiler ve Güvenlik Duvarı ile istemci cihazlarda sorun giderme için daha gelişmiş kurulumları inceleyebilirsiniz. Ayrıca, uzaktaki VPN'inizi cihazınızda kurarken kullanabileceğiniz kurulumumuzu gözden geçirebileceğiniz sanal laboratuvar erişimi de tanımlanmıştır.

Yerleşik Sihirbaz kullanarak L2TP VPN yapılandırması

Sihirbaz'a gidin

a. Hızlı Kurulum Sekmesini açın ve açılan pencerede Uzaktan Erişim VPN Kurulumunu seçin:

L2TP over IPSec İstemci Senaryosunu seçin

VPN Yapılandırmasını Ayarlayın

Tercih edilen bir Ön Paylaşımlı Anahtar girin ve ilgili WAN arayüzünü seçin.

Kullanıcı Doğrulamasını Yapılandırın

Yapılandırmayı Kaydedin ve L2TP Yapılandırmasını İndirin

Configuration  > Security Policy > Policy Control 

L2TP/IPSec VPN'i manuel olarak yapılandırma

Aşağıda, L2TP over IPSec VPN'in manuel olarak yapılandırılması için gereken adımlar açıklanmaktadır. Topoloji ve uygulama, Sihirbaz kullanılırkenki ile aynıdır, tek fark yapılandırmadaki adımlardır.

VPN Geçidini Yapılandırma

Aşağıdaki yola gidin ve yeni bir VPN Geçidi oluşturun:

Configuration > VPN > IPSEC VPN > VPN Gateway

Lütfen "Gelişmiş Ayarları Göster"e basın. Geçit için bir isim girin, WAN arayüzünüzü seçin ve bir ön paylaşımlı anahtar ekleyin:

Müzakere Modunu Main olarak ayarlayın ve aşağıdaki (yaygın) önerileri ekleyip Tamam'a tıklayarak onaylayın:

VPN Bağlantısını Yapılandırma

Aşağıdaki yola gidin ve yeni bir VPN Bağlantısı oluşturun:

 Configuration > VPN > IPSec VPN > VPN Connection

Lütfen "Gelişmiş Ayarları Göster"e basın. Bağlantı adını girin, Uygulama Senaryosunu Uzaktan Erişim (Sunucu Rolü) olarak ayarlayın ve daha önce oluşturduğunuz VPN Geçidini seçin:

Yerel Politika için, gerçek WAN IP adresiniz için yeni bir IPv4 Adres Nesnesi oluşturun ("Yeni Nesne Oluştur" düğmesinden) ve ardından bunu VPN Bağlantısına Yerel Politika olarak atayın:

Şifrelemeyi Transport olarak ayarlayın, aşağıdaki önerileri ekleyin ve Tamam'a tıklayarak onaylayın:

L2TP VPN Ayarlarını Yapılandırma

IPSec ayarları tamamlandıktan sonra, L2TP ayarları yapılmalıdır. Aşağıdaki yola gidin:

Configuration -> VPN -> L2TP VPN Settings

Gerekirse, VPN'e bağlanmasına izin verilecek yeni yerel kullanıcı(lar) oluşturun:

L2TP/IPSec VPN'e bağlanan istemciler tarafından kullanılacak IP adresleri aralığı ile bir L2TP IP adres havuzu oluşturun.

Not: Bu, kullanılmıyor olsalar bile hiçbir WAN, LAN, DMZ veya WLAN Alt Ağları ile çakışmamalıdır.

L2TP Ayarlarını Özetleyin

Şimdi L2TP ayarlarını yapalım:

• 2.2 VPN Bağlantısını Yapılandır bölümünde oluşturulan VPN Bağlantısını ayarlayın
• Bir IP Adres Havuzu olarak L2TP IP aralığı nesnesini ayarlayabilirsiniz
• Doğrulama Yöntemi, yerel kullanıcı doğrulaması için varsayılan olarak ayarlanabilir
• İzin verilen kullanıcılar kullanıcı için ayarlanabilir. Birden fazla kullanıcı gerekiyorsa, Nesne sayfasında bir kullanıcı grubu oluşturulabilir.
• DNS sunucusu(ları) ve WINS sunucusu, Güvenlik Duvarı cihazı (Zywall) veya özelleştirilmiş bir sunucu IP adresi olarak seçilebilir.
• L2TP/IPSec VPN'e bağlıyken Güvenlik Duvarı cihazı üzerinden internet erişimi gerekiyorsa, "WAN Bölgesi Üzerinden Trafiğe İzin Ver" seçeneğinin etkin olduğundan emin olun.
• Ayarları kaydetmek için "Uygula"ya tıklayın. Böylece L2TP/IPSec VPN artık kullanıma hazırdır.

Zorunlu Yapılandırmalar - UDP 4500 ve 500 portlarına izin verin

Güvenlik duvarı kurallarının WAN'dan Zywall'a UDP 4500 ve 500 portlarına erişime izin verdiğinden ve varsayılan IPSec_VPN Bölgesinin ağ kaynaklarına erişimi olduğundan emin olun. Bu aşağıdaki konumda doğrulanabilir:

Configuration  > Security Policy > Policy Control 

Politika Yönlendirmeleri ile L2TP üzerinden İnternet Erişimini Etkinleştirme

Eğer L2TP istemcilerinden bazı trafiklerin internete gitmesi gerekiyorsa, L2TP tünellerinden gelen trafiği bir WAN trunk üzerinden dışarı göndermek için bir politika yönlendirmesi oluşturun.

Configuration > Network > Routing > Policy Route

Geleni Tünel olarak ayarlayın ve L2TP VPN bağlantınızı seçin. Kaynak Adresi L2TP adres havuzu olarak ayarlayın. Sonraki Atlama Türünü Trunk olarak ayarlayın ve uygun WAN trunk'ı seçin.

İpuçları ve Sorun Giderme - L2TP VPN varsayılan yapılandırmasını geri yükleme

Bazı durumlarda, L2TP VPN ayarlarını tazelemek gerekebilir. Bu sayfada:

Configuration > VPN > L2TP VPN

L2TP VPN İstemcilerinin Kurulumu

L2TP over IPSec çok popülerdir ve birçok uç cihaz platformunda kendi yerleşik istemcileri ile yaygın olarak desteklenir.

En yaygın olanlardan bazıları ve nasıl kurulacakları şunlardır:

Windows/MacOS/Linux:

•  Nebula VPN - Android, iOS, Windows & Linux Ubuntu kullanarak Nebula Güvenlik Duvarında L2TP yapılandırması

Gelişmiş kurulum: LAN'dan L2TP VPN kurulumu:

VPN, veri iletimi sırasında paketleri şifrelemek için popüler bir işlevdir.

ZyWALL/USG/ATP'nin mevcut tasarımında, VPN arayüzü WAN1 arayüzüne dayalıysa, VPN isteği WAN1 arayüzünden gelmelidir (arayüz kısıtlamalıdır), aksi takdirde istek reddedilir. (örneğin, VPN bağlantısı LAN1'den geldiğinde)

Bununla birlikte, bazı senaryolarda kullanıcılar VPN tünelini sadece WAN'dan değil, LAN'dan da kurmak isteyebilirler.

Bu senaryo ZyWALL/USG/ATP tarafından da desteklenir. Kullanıcılar, VPN bağlantısının hem WAN hem de LAN'dan gelmesine izin vermek için VPN arayüz kısıtlamasını kapatmak üzere aşağıdaki işletme prosedürünü takip edebilirler.

USG Yazılım Sürümü: 4.32 veya üstü

USG yapılandırması:

LAN'dan L2TP'yi etkinleştirmek için, cihazınıza terminal bağlantısı (Seri, Telnet, SSH) ile erişmeniz ve aşağıdaki komutları girmeniz gerekir:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
Cihazı yeniden başlatın.

Gelişmiş kurulum: L2TP VPN'e bağlanan kullanıcıları doğrulamak için harici sunucuların kullanılması

Bu bölüm, USG/Zywall serisinde MS-CHAPv2 ile L2TP over IPSec yapılandırmasını açıklar. Gelişmiş uygulamalarda, kullanıcı doğrulaması Active Directory (AD) sunucuları ile L2TP/IPSec VPN doğrulamasında uygulanabilir.

Senaryo:

AD Domain: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Configuration>Object>AAA Server yoluna gidin. MSCHAP için Domain Authentication'ı etkinleştirin

Kimlik bilgileri genellikle AD yöneticisi ile aynıdır.

2. System>Host Namee gidin, AD domaini Domain Name alanına yazın

Bu işlem, USG'nin AD domainine katılmasını sağlar. Tünel yalnızca bu kısım başarılı olduğunda başarıyla kurulacaktır.

3. USG'nin domaine katılıp katılmadığını doğrulayın. Active Directory Users and Computers>Computers yoluna gidin

Bu durumda, usg110'un domaine katıldığı görülebilir. Ayrıca, sağ tıklayarak Özellikler>Nesne sekmesinde ayrıntılı bilgi kontrol edilebilir.

4. Domain Bölgesini düzenleyin, domain adını System> DNS >Domain Zone Forwarder alanına girin.

Bazen tünel araması sırasında zaman aşımı olabilir, bu nedenle aşağıdaki ayarı yapılandırmanız gerekir; Sorgu arayüzü AD sunucunuzun bulunduğu yerdir.

5. Windows'taki bağlantı ayarlarını kontrol edin.

(MS-CHAP v2)'nin etkinleştirildiğinden ve Gelişmiş ayarlarda ön paylaşımlı anahtarın girildiğinden emin olun.

6. İzleme sayfasında giriş bilgilerini kontrol edin>. Tünel başarıyla arandığında AD kullanıcısı Güncel Kullanıcı Listesinde olmalıdır.

Kullanıcı türünün L2TP ve kullanıcı bilgilerinin harici kullanıcı olduğunu görebilirsiniz.