UncleFather » 28 май 2012 14:26, Пн
Проблема:
Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.
Решение:
-
Настройка роутера:
-
Первым делом обновляем микропрограмму роутера до последней версии.
Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.
-
Далее, включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:
Код: Выделить всё
Username: admin
Password:
Router> configure terminal
Router(config)# crypto algorithm-hide disable
% The setting has been changed. You should reboot device to apply setting.
Router(config)# write
Router(config)# reboot
-
Выполняем пошагово инструкцию из базы знаний Zyxel:
-
Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
-
VPN Gateway Name;
-
В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
-
Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.
Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.
Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).
-
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.
-
После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.
Создайте Address Object для пользователей L2TP VPN.
Затем настройте L2TP over IPsec:
-
Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
-
Укажите созданное ранее правило в поле VPN Connection;
-
Укажите диапазон IP-адресов в поле IP Address Pool;
-
В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
-
В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
-
Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.
Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.
После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.
По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:
-
Настройка операционной системы Windows XP
Выполняем пошаговую инструкцию из базы знаний Zyxel:
-
Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
-
Нажмите Next на первом экране.
-
Выберите Connect to the network at my workplace и нажмите Next.
- KB-2079-26-l2tp26.jpg (22.94 КБ) 20330 просмотров
-
Выберите Virtual Private Network connection и нажмите Next.
- KB-2079-27-l2tp27.jpg (19.55 КБ) 20330 просмотров
-
Введите L2TP to ZyWALL в поле Company Name.
- KB-2079-28-l2tp28.jpg (16.94 КБ) 20330 просмотров
-
Укажите Do not dial the initial connection и нажмите Next.
- KB-2079-29-l2tp29.jpg (17.2 КБ) 20330 просмотров
-
Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).
- KB-2079-30-l2tp30.jpg (18.08 КБ) 20330 просмотров
-
Нажмите Finish.
-
Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.
- KB-2079-31-l2tp31.jpg (21.61 КБ) 20330 просмотров
-
Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.
- KB-2079-32-l2tp32.jpg (16.98 КБ) 20330 просмотров
-
В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.
- KB-2079-33-l2tp33.jpg (22.17 КБ) 20330 просмотров
-
Нажмите кнопку IPSec Settings.
- KB-2079-34-l2tp34.jpg (20.7 КБ) 20330 просмотров
-
Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.
- KB-2079-35-l2tp35.jpg (9.6 КБ) 20330 просмотров
-
Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.
- KB-2079-36-l2tp36.jpg (27.34 КБ) 20330 просмотров
-
Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.
- KB-2079-37-l2tp37.jpg (20.81 КБ) 20330 просмотров
-
Появится окно с проверкой имени пользователя и пароля.
-
После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.
- KB-2079-38-l2tp38.jpg (1.73 КБ) 20330 просмотров
-
Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).
- KB-2079-39-l2tp39.jpg (19.11 КБ) 20330 просмотров
-
Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.
Примечание:
На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).
[b][size=150]Проблема:[/size][/b]
Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.
[size=150][b]Решение:[/b][/size]
[list=a]
[*] [b]Настройка роутера:[/b][list=1]
[*] Первым делом [url=http://zyxel.ru/support/download?product=50355]обновляем микропрограмму роутера[/url] до последней версии.
[quote]
Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.
[/quote]
[*] Далее, [url=http://zyxel.ru/kb/2224]включаем алгоритм шифрования 3DES[/url], для чего захотим telnet-ом на роутер и выполняем команды:
[code]
Username: admin
Password:
Router> configure terminal
Router(config)# crypto algorithm-hide disable
% The setting has been changed. You should reboot device to apply setting.
Router(config)# write
Router(config)# reboot
[/code]
[*] Выполняем пошагово [url=http://zyxel.ru/kb/2270]инструкцию из базы знаний Zyxe[/url]l:
[list=1]
[*] Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.
[attachment=20]L2TPVPN01.jpg[/attachment]
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
[list][*] VPN Gateway Name;
[*] В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
[*] Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.[/list]
[attachment=19]L2TPVPN02.jpg[/attachment]
Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.
Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).
[*] Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.
[attachment=18]L2TPVPN03.jpg[/attachment]
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
[list][*] Connection Name;
[*] В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.[/list]
[attachment=17]L2TPVPN04.jpg[/attachment]
Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.
[*] После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.
Создайте Address Object для пользователей L2TP VPN.
[attachment=16]L2TPVPN05.jpg[/attachment]
Затем настройте L2TP over IPsec:
[list][*] Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
[*] Укажите созданное ранее правило в поле VPN Connection;
[*] Укажите диапазон IP-адресов в поле IP Address Pool;
[*] В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
[*] В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
[*] Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.[/list]
[attachment=15]L2TPVPN06.jpg[/attachment]
Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.
[attachment=14]L2TPVPN07.png[/attachment]
После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.
По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:
[list][*] [url=http://zyxel.ru/kb/2075]Пример настройки подключения L2TP over IPSec между аппаратным шлюзом ZyWALL USG и смартфоном iPhone (iOS)[/url]
[*] [url=http://zyxel.ru/kb/2275]Пример настройки смартфонов с ОС Android для создания подключения L2TP over IPSec к аппаратному шлюзу ZyWALL USG[/url]
[*] [url=http://zyxel.ru/kb/2085]Пример создания подключения L2TP over IPSec в операционной системе Windows 7[/url]
[*] [url=http://zyxel.ru/kb/2165]Пример создания подключения L2TP over IPSec в операционной системе Windows Vista/XP[/url]
[*] [url=http://zyxel.ru/kb/2079]Пример настройки VPN-туннеля L2TP over IPSec в аппаратном шлюзе ZyWALL 1050[/url][/list][/list][/list]
[*] [b]Настройка операционной системы Windows XP[/b]
Выполняем [url=http://zyxel.ru/kb/2165]пошаговую инструкцию из базы знаний Zyxel[/url]:
[list=1]
[*] Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
[*] Нажмите Next на первом экране.
[*] Выберите Connect to the network at my workplace и нажмите Next.
[attachment=13]KB-2079-26-l2tp26.jpg[/attachment]
[*] Выберите Virtual Private Network connection и нажмите Next.
[attachment=12]KB-2079-27-l2tp27.jpg[/attachment]
[*] Введите L2TP to ZyWALL в поле Company Name.
[attachment=11]KB-2079-28-l2tp28.jpg[/attachment]
[*] Укажите Do not dial the initial connection и нажмите Next.
[attachment=10]KB-2079-29-l2tp29.jpg[/attachment]
[*] Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).
[attachment=9]KB-2079-30-l2tp30.jpg[/attachment]
[*] Нажмите Finish.
[*] Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.
[attachment=8]KB-2079-31-l2tp31.jpg[/attachment]
[*] Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.
[attachment=7]KB-2079-32-l2tp32.jpg[/attachment]
[*] В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.
[attachment=6]KB-2079-33-l2tp33.jpg[/attachment]
[*] Нажмите кнопку IPSec Settings.
[attachment=5]KB-2079-34-l2tp34.jpg[/attachment]
[*] Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.
[attachment=4]KB-2079-35-l2tp35.jpg[/attachment]
[*] Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.
[attachment=3]KB-2079-36-l2tp36.jpg[/attachment]
[*] Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.
[attachment=2]KB-2079-37-l2tp37.jpg[/attachment]
[*] Появится окно с проверкой имени пользователя и пароля.
[*] После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.
[attachment=1]KB-2079-38-l2tp38.jpg[/attachment]
[*] Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).
[attachment=0]KB-2079-39-l2tp39.jpg[/attachment]
[*] Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.[/list][/list]
[size=150][b]Примечание:[/b][/size]
На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).