База знаний

Статья: 2270

Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG

Вопрос:

Как настроить подключение L2TP over IPSec в аппаратных шлюзах серии ZyWALL USG?

Ответ:

Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.

 

Настройки аппаратного шлюза серии ZyWALL USG

Настройки ZyWALL USG Настройки IPSec VPN
Сетевые настройки Phase 1 (фаза 1) Phase 2 (фаза 2)
  • WAN1 IP: 59.124.163.155
  • Local subnet: 192.168.1.0/24
  • L2TP pool: 192.168.100.0/24
  • Authentication: 12345678
  • Local/Peer IP: WAN1/0.0.0.0
  • Negotiation: Main mode
  • Encryption algorithm: 3DES/3DES/DES
  • Authentication algorithm: SHA1/MD5/SHA1
  • Key group: DH2
  • Encapsulation Mode: Transport
  • Active protocol: ESP
  • Encryption algorithm: 3DES/3DES/DES
  • Authentication algorithm: SHA1/MD5/SHA1
  • Perfect Forward Secrecy: none


Внимание! В микропрограммах, начиная с версии 2.20(xxx.6), алгоритм шифрования 3DES, необходимый для создания VPN-туннеля с ОС Windows 7/Vista, iPhone (iOS), смартфонами (Android), доступен только при выполнении инструкций, указанных в статьях: БЗ-2224 и БЗ-2226

1. Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

  • VPN Gateway Name;
  • В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
  • Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.

Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).

2. Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

  • Connection Name;
  • В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать объект с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.
Для создания объекта с WAN IP-адресом (в нашем примере WAN1_IP), который будет указан в поле Local Policy, нажмите на Create new Object в верхей части окна Add VPN Connection.
Создайте объект типа INTERFACE IP (Address Type = INTERFACE IP) и в поле Interface укажите интерфейс wan1.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.

Создайте Address Object для пользователей L2TP VPN.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Затем настройте L2TP over IPsec:

  • Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
  • Укажите созданное ранее правило в поле VPN Connection;
  • Укажите диапазон IP-адресов в поле IP Address Pool;
  • В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
  • В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
  • Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.

Для подключения клиентов L2TP over IPSec необходимо также настроить Firewall (статья по настройке межсетевого экрана Firewall в ZyWALL USG: БЗ-2631).

Для этого нужно выполнить следующее:

1. В  настройках зон в меню Configuration > Network > Zone убедитесь, что интерфейс, на IP-адрес которого обращается клиент L2TP over IPSec, входит в зону WAN, а настроенный туннель L2TP over IPSec входит в зону IPSec_VPN.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Зоны могут быть как предустановленные, так и созданные вручную. Главное чтобы обе зоны были известны, так как для них необходимо сделать два разрешающих правила в Firewall.

2. В настройках Configuration > Firewall нужно создать правило из зоны WAN в зону ZyWALL (если его нет).

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

В этом правиле нужно разрешить сервисы IKE, ESP и NATT. Если такое правило уже есть, добавить его в группу разрешенных сервисов.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

3. В настройках Configuration > Firewall нужно создать правило из зоны IPSec_VPN в зону ZyWALL (если его нет). В этом правиле нужно разрешить сервис L2TP_UDP. Если такое правило уже есть, добавить его в группу разрешенных сервисов.

terrasoft.axd?s=db&sn=eb9beead-9538-4ad9

Это правило необходимо, т.к. L2TP-подключение происходит внутри IPSec-туннеля, который к тому времени уже должен быть установлен и выделен в свою зону.

По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:

 

Примечание:

Если вам помимо установки подключения L2TP VPN нужно предоставить доступ во внутреннюю сеть, то на локальных хостах в качестве основного шлюза можно указать IP-адрес аппратного шлюза ZyWALL (если указан другой шлюз, то все ответные пакеты будут уходить на него, соответственно будет отстутствовать доступ во внутреннюю сеть) или прописать статический маршрут, чтобы все пакеты с IP-адресом назначения из подсети L2TP Pool направлять на локальный IP-адрес ZyWALL'а.

Информация подготовлена учебным центром ZyXEL. Больше информации по сетевым технологиям и оборудованию Вы можете получить на наших курсах

Была ли вам полезна эта статья?

Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки


Здесь вы можете оставить свой комментарий или пожелание по статье.
Другие вопросы принимаются в Системе персональной технической поддержки