VPN - PSK kullanarak IPSec VPN üzerinden L2TP yapılandırma [Tek başına mod]

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru şekilde çevrilemeyebilir. Çevrilmiş versiyondaki bilgilerin doğruluğu konusunda sorularınız veya tutarsızlıklarınız varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Bu makalede, USG FLEX / ATP / VPN Serisi için Bağımsız modda IPSec üzerinden L2TP'nin nasıl yapılandırılacağı ve Sihirbazın nasıl yapılandırılacağı, yapılandırmanın nasıl indirileceği, VPN ağ geçidi ve bağlantı menüsünü kullanarak L2TP'nin manuel olarak yapılandırılması, Güvenlik duvarı kurallarında nelere izin verileceği, L2TP için internet erişiminin nasıl etkinleştirileceği (internet yok), varsayılan yapılandırmanın geri yüklenmesi, VPN kullanıcılarının ayarlanması, LAN'dan bir VPN kurulması, kullanıcıların kimliğini doğrulamak için harici sunucuların kullanılması, günlükleri kullanarak sorun giderme, MS-CHAPv2'nin yapılandırılması gösterilmektedir.

İçerik Tablosu

1. Yerleşik Sihirbazı kullanarak L2TP VPN'i yapılandırın

1.1 Sihirbaza gidin

1.2 IPSec İstemcisi Üzerinden L2TP Senaryosunu Seçin

1.3 VPN Yapılandırmasını Yapılandırma

1.4 Kullanıcı Kimlik Doğrulamasını Yapılandırma

1.5 Yapılandırmayı Kaydet ve L2TP Yapılandırmasını İndir

2) L2TP/IPSec VPN'i manuel olarak kurma

2.1 VPN Ağ Geçidini Yapılandırma

2.2 VPN Bağlantısını Yapılandırma

2.3 L2TP VPN Ayarlarını Yapılandırma

2.4 L2TP Ayarlarını Özetleme

3) Olmazsa Olmaz Konfigürasyonlar

3.1 4500 ve 500 numaralı UDP bağlantı noktalarına izin ver

3.2 İlke Rotaları aracılığıyla L2TP üzerinden İnternet Erişimini Etkinleştirme

4. İpuçları & Sorun Giderme

4.1 L2TP VPN varsayılan yapılandırmasını geri yükleme

4.2 L2TP VPN İstemcilerinin Kurulumu

4.3 Gelişmiş kurulum: LAN'dan bir L2TP VPN kurulması:

4.4 Gelişmiş kurulum: L2TP VPN'e bağlanan kullanıcıların kimliklerini doğrulamak için harici sunucuları kullanma

4.5 IPSec VPN Üzerinden L2TP - Sanal Laboratuvar

4.6 Sorun Giderme

4.7 USG/Zywall Serisinde L2TP MS-CHAPv2 Yapılandırma

IPSec VPN üzerinden L2TP nedir?

Yapılandırma kılavuzuna başlamadan önce, IPSec VPN üzerinden L2TP'ye bir giriş yapalım.

IPSec üzerinden L2TP, Katman 2 Tünelleme Protokolünü (noktadan noktaya bağlantı sağlayan L2TP) IPSec protokolü ile birleştirir. L2TP tek başına herhangi bir içerik şifrelemesi sağlamaz ve bu nedenle tünel genellikle bir Katman 3 şifreleme protokolü IPsec üzerine inşa edilir ve sonuç olarak L2TP over IPSec VPN olarak adlandırılır.

Bu el kitabında, Zyxel Firewall cihazlarında L2TP VPN bağlantıları için gereken tüm bilgileri keşfedebilir, yapılandırma yöntemlerini (sihirbaz aracılığıyla ve manuel olarak), Windows, MAC ve Linux için istemci kurulumunu; ayrıca Firewall cihazlarında ve istemci cihazlarda kimlik doğrulama, farklı topolojiler ve sorun giderme için daha gelişmiş kurulumları keşfedebilirsiniz. Ayrıca, cihazınızda uzak VPN'i kurarken de kullanılabilecek kurulumumuzu gözden geçirmenin mümkün olduğu sanal laboratuvar erişimi de tanımlanmıştır.

1. Yerleşik Sihirbazı kullanarak L2TP VPN'i yapılandırın

1.1 Sihirbaza gidin

a. Hızlı Kurulum Sekmesini açın ve açılan pencerede Uzaktan Erişim VPN Kurulumu'nu seçin:

mceclip0.png

1.2 IPSec İstemcisi Üzerinden L2TP Senaryosunu Seçin

mceclip1.png

1.3 VPN Yapılandırmasını Yapılandırma

Tercih edilen bir Ön Paylaşımlı Anahtar girin ve ilgili WANarayüzünü seçin.

Burada, İstemci cihazın bölünmüş bir tünelleme setine sahip olmaması durumunda, İstemci cihazdan İnternete giden trafiğin Güvenlik Duvarı cihazından geçmesine izin verilip verilmeyeceğine (güvenlik duvarı kuralları ve rotaları) de karar verebilirsiniz.
mceclip2.png
VPN'e bağlandıklarında L2TP kullanıcıları için adres havuzunu tanımlayın. Burada önceden tanımlanmış 192.168.51.1-250 aralığını da seçebilirsiniz.
Not: Cihazınızdaki mevcut herhangi bir ağ ile çakışmamalıdır.
DNS için ZyWALL'u seçin veya manuel olarak bir sunucu girin.
mceclip3.png

1.4 Kullanıcı Kimlik Doğrulamasını Yapılandırma

L2TP üye listesine eklemek için mevcut bir kullanıcı nesnesini seçin veya"Yeni Kullanıcı Ekle" düğmesini kullanarak yeni bir kullanıcı oluşturun.
mceclip4.png

1.5 Yapılandırmayı Kaydet ve L2TP Yapılandırmasını İndir

Kaydet'e tıkladıktan sonra L2TP tüneli kullanıma hazırdır.
mceclip5.png
g. Güvenlik duvarı kurallarının WAN'dan Zywall'a UDP 4500 ve 500 bağlantı noktaları için erişime izin verdiğinden ve varsayılan Bölge IPSec_VPN'in ağ kaynaklarına erişimi olduğundan emin olun. Bu, şuradan doğrulanabilir:
dyn_repppp_0

2) L2TP/IPSec VPN'i manuel olarak kurma

Aşağıda, IPSec VPN üzerinden bir L2TP'yi manuel olarak yapılandırmak için gereken adımlar açıklanmaktadır. Topoloji ve uygulama Sihirbazı kullanırkenki ile aynıdır, tek fark yapılandırmadaki adımlardır.

2.1 VPN Ağ Geçidini Yapılandırma

Aşağıdaki yola gidin ve yeni bir VPN Ağ Geçidi oluşturun:

dyn_repppp_1

Lütfen "Gelişmiş Ayarları Göster" düğmesine basın. Ağ geçidi için bir ad girin, WAN arayüzünüzü seçin ve önceden paylaşılan bir anahtar ekleyin:

L2TP_1.PNG

Müzakere Modunu Ana olarak ayarlayın ve aşağıdaki (ortak) teklifleri ekleyin ve Tamam'a tıklayarak onaylayın:

L2TP_2.PNG

2.2 VPN Bağlantısını Yapılandırma

Aşağıdaki yola gidin ve yeni bir VPN Bağlantısı oluşturun:

dyn_repppp_2

Lütfen "Gelişmiş Ayarları Göster" düğmesine basın. Bağlantı için bir ad girin, Uygulama Senaryosunu Uzaktan Erişim (Sunucu Rolü) olarak ayarlayın ve daha önce oluşturduğunuz VPN Ağ Geçidini seçin:

L2TP_3.PNG

Yerel İlke için, gerçek WAN IP'niz için yeni bir IPv4 AdresNesnesi("Yeni Nesne Oluştur" düğmesinden) oluşturun ve ardından bunu Yerel İlke olarak VPN Bağlantısına ayarlayın:

L2TP_5.PNG

L2TP_6.PNG

Kapsüllemeyi Aktarım olarak ayarlayın ve aşağıdaki önerileri ekleyin ve Tamam'a tıklayarak onaylayın:

L2TP_7.PNG

2.3 L2TP VPN Ayarlarını Yapılandırma

IPSec ayarları tamamlandığına göre, L2TP ayarlarının yapılması gerekiyor. Aşağıdaki yola gidin:

dyn_repppp_3

Gerekirse, VPN'e bağlanmasına izin verilecek yeni bir yerel kullanıcı(lar) oluşturun:
L2TP_8.PNG

L2TP_9.PNG

L2TP/IPSec VPN'e bağlıyken istemciler tarafından kullanılması gereken bir dizi IP adresi içeren bir L2TP IP adresi havuzu oluşturun.

Not: Bu, kullanılmıyor olsalar bile herhangi bir WAN, LAN, DMZ veya WLAN Alt Ağıyla çakışmamalıdır.

L2TP_8.PNG

L2TP_10.PNG

2.4 L2TP Ayarlarını Özetleme

Şimdi L2TP ayarlarını yapalım:

  • VPN Bağlantısını Yapılandırma 2.2'de oluşturulan VPN Bağlantısını ayarlayın
  • Bir IP Adresi Havuzu L2TP IP aralığı nesnesini ayarlayabilirsiniz
  • Kimlik Doğrulama Yöntemi yerel kullanıcı kimlik doğrulaması için varsayılan olarak ayarlanabilir
  • Kullanıcı için İzin verilen kullanıcılar ayarlanabilir. Birden fazla kullanıcıya ihtiyaç duyulursa, Nesne sayfasında bir kullanıcı grubu oluşturulabilir.
  • DNS sunucu(ları) ve WINS sunucusu, Güvenlik Duvarı cihazının kendisi (Zywall) veya özelleştirilmiş bir sunucu IP adresi olarak seçilebilir.
  • L2TP/IPSec VPN'e bağlıyken Güvenlik Duvarı cihazı üzerinden internet erişimine ihtiyaç duyulması durumunda, "WAN Bölgesi Üzerinden Trafiğe İzin Ver" seçeneğinin etkinleştirildiğinden emin olun.
  • Ayarları kaydetmek için "Uygula" üzerine tıklayın. Bu şekilde L2TP/IPSec VPN artık hazırdır.

L2TP_11.PNG

3) Olmazsa Olmaz Konfigürasyonlar

3.1 4500 ve 500 numaralı UDP bağlantı noktalarına izin ver

Güvenlik duvarı kurallarının WAN'dan Zywall'a UDP 4500 ve 500 bağlantı noktaları için erişime izin verdiğinden ve varsayılan Bölge IPSec_VPN'in ağ kaynaklarına erişimi olduğundan emin olun. Bu, şuradan doğrulanabilir:

dyn_repppp_4

3.2 İlke Rotaları aracılığıyla L2TP üzerinden İnternet Erişimini Etkinleştirme

L2TP istemcilerinden gelen trafiğin bir kısmının internete gitmesi gerekiyorsa, L2TP tünellerinden gelen trafiği bir WAN trunk üzerinden göndermek için bir ilke rotası oluşturun.

Aşağıdaki yola gidin ve yeni bir Politika Rotası ekleyin:
dyn_repppp_5

Gelen 'i Tünel olarak ayarlayın ve L2TP VPN bağlantınızı seçin. Kaynak Adresi L2TP adres havuzu olarak ayarlayın. Sonraki Atlama Türünü Trunk olarak ayarlayın ve uygun WAN trunk 'ını seçin.

L2TP_12.PNG

Bu adımla ilgili daha fazla ayrıntı için lütfen makaleyi kontrol edin:

L2TP istemcilerinin USG üzerinden gezinmesine nasıl izin verilir

4. İpuçları & Sorun Giderme

4.1 L2TP VPN varsayılan yapılandırmasını geri yükleme

Bazı durumlarda, sayfadaki L2TP VPN ayarlarınıza yeni bir başlangıç yapmak gerekebilir:

dyn_repppp_6

Gerektiğinde, varsayılan ayarları geri getirme yöntemlerini açıklayan aşağıdaki makaleyi kullanın.

ZyWALL USG: VPN-L2TP Varsayılan Yapılandırmasını Geri Yükleme

4.2 L2TP VPN İstemcilerinin Kurulumu

IPSec üzerinden L2TP çok popülerdir ve kendi yerleşik istemcilerine sahip birçok son cihaz platformu tarafından yaygın olarak desteklenmektedir.

İşte en yaygın olanlardan bazıları ve bunların nasıl kurulacağı:

4.3 Gelişmiş kurulum: LAN'dan bir L2TP VPN kurulması:

VPN, veri iletirken paketleri şifrelemek için popüler bir işlevdir.

ZyWALL/USG/ATP'nin mevcut tasarımında, VPN arayüzü WAN1 arayüzüne dayandığında, VPN isteği WAN1 arayüzünden (arayüz kısıtlı) gelmelidir, aksi takdirde istek reddedilir. (örneğin VPN bağlantısı LAN1'den geldi)

Ancak bazı senaryolarda kullanıcıların VPN tünelini sadece WAN'dan değil LAN'dan da kurması gerekebilir.

Bu senaryo ZyWALL/USG/ATP tarafından da desteklenmektedir. Kullanıcılar, VPN arayüz kısıtlamasını kapatmak için aşağıdaki işletim prosedürünü takip edebilir, böylece VPN bağlantısı daha sonra hem WAN / LAN'dan gelebilir.

Topoloji:

mceclip6.png

USG Ürün Yazılımı Sürümü:

4.32 veya üzeri

USG yapılandırması:

LAN'dan L2TP'yi etkinleştirmek için cihazınıza bir terminal bağlantısı (Seri, Telnet, SSH) ile erişmeniz ve aşağıdaki komutları girmeniz gerekir:

Router> configure terminal
Router(config)# vpn-interface-restriction deactivate
Router(config)# write
 Cihazıyeniden başlatın
.

4.4 Gelişmiş kurulum: L2TP VPN'e bağlanan kullanıcıların kimliklerini doğrulamak için harici sunucuları kullanma

Bu bölümde USG/Zywall serisinde MS-CHAPv2 ile IPSec üzerinden L2TP'nin nasıl yapılandırılacağı açıklanmaktadır. Gelişmiş uygulamalar için, Active Directory (AD) sunucuları ile kullanıcı kimlik doğrulaması L2TP/IPSec VPN kimlik doğrulamasında uygulanabilir.

Senaryo:

AD Etki Alanı: USG.com (10.214.30.72)

USG110: 10.214.30.103

1. Configuration>Object>AAA Server bölümüne gidin. MSCHAP için Etki Alanı Kimlik Doğrulamasını Etkinleştir

Kimlik bilgileri genellikle AD yöneticisi ile aynıdır.

mceclip11.png

2. Sistem>Ana Bilgisayar Adı'na gidin,Etki Alanı Adı'na AD etki alanını yazın

Bu akış USG'nin AD etki alanına katılmasını sağlar. Tünel yalnızca bu bölüm çalıştığında başarılı bir şekilde kurulacaktır.

mceclip12.png

3. USG'nin etki alanına katılıp katılmadığını onaylayın. Active Directory Kullanıcıları ve Bilgisayarları>Bilgisayarlar'a gidin

Bu durumda, usg110'un etki alanına katıldığını görebilirsiniz. Ayrıca sağ tıklayarak Özellikler>Nesne sekmesinden ayrıntılı bilgileri kontrol edebilirsiniz.

mceclip13.png

4. Etki Alanı Bölgesini Düzenle, Etki alanı adını Sistem> DNS> Etki Alanı Bölgesi Yönlendiricisi'ne koyun.

Bazen tünel çevirmeli bağlantı sırasında zaman aşımına uğrayabilir, bu nedenle aşağıdaki ayarı yapılandırmanız gerekir, Sorgu arayüzü AD sunucunuzun bulunduğu yerdir.

mceclip15.png

5. Windows'unuzdaki bağlantı ayarlarını kontrol edin.

Gelişmiş ayarlarda (MS-CHAP v2) özelliğini etkinleştirdiğinizden ve önceden paylaşılan anahtarı girdiğinizden emin olun.

mceclip16.png

6. Monitör sayfasında oturum açma bilgilerini kontrol edin>, Tünel başarıyla çevrildiğinde AD kullanıcısı Geçerli Kullanıcı Listesinde olmalıdır.

Kullanıcı türünün L2TP ve kullanıcı bilgisinin harici kullanıcı olduğunu görebilirsiniz.

mceclip17.png

Daha fazla bilgi için, aşağıdaki makalede L2TP/IPSec VPN'li Güvenlik Duvarlarımız tarafından desteklenen kimlik doğrulama ayrıntıları verilmiştir:

ZyWALL USG - L2TP üzerinden desteklenen kimlik doğrulama

4.5 IPSec VPNÜzerinden L2TP - Sanal Laboratuvar

Güvenlik Duvarı cihazlarımızda L2TP VPN kurulumu için Sanal laboratuvarımıza göz atmaktan çekinmeyin. Bu sanal laboratuvar ile ortamınızı kurarken karşılaştırma yapmak için doğru yapılandırmaya göz atabilirsiniz:

Sanal Laboratuvar - Uçtan Uca VPN (L2TP)

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
10 kişi içerisinden 5 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.