Alexander A Manaeff -

 
 

Zyxel ZyWall USG 50 + Windows XP VPN client

Обсуждения проблем с железом. Полезные советы по теме.

Модератор: UncleFather

Zyxel ZyWall USG 50 + Windows XP VPN client

Сообщение UncleFather » 28 май 2012 15:26, Пн

Проблема:

Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.

Решение:

  1. Настройка роутера:

    1. Первым делом обновляем микропрограмму роутера до последней версии.
      Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.

    2. Далее, включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:
      Код: Выделить всё
      Username: admin
      Password:

      Router> configure terminal
      Router(config)# crypto algorithm-hide disable

      % The setting has been changed. You should reboot device to apply setting.

      Router(config)# write
      Router(config)# reboot

    3. Выполняем пошагово инструкцию из базы знаний Zyxel:
      1. Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
        Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.
        L2TPVPN01.jpg


        Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

        • VPN Gateway Name;
        • В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
        • Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.
        L2TPVPN02.jpg


        Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.

        Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).

      2. Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.
        L2TPVPN03.jpg


        Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

        • Connection Name;
        • В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.
        L2TPVPN04.jpg


        Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
        VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.

      3. После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.

        Создайте Address Object для пользователей L2TP VPN.
        L2TPVPN05.jpg


        Затем настройте L2TP over IPsec:

        • Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
        • Укажите созданное ранее правило в поле VPN Connection;
        • Укажите диапазон IP-адресов в поле IP Address Pool;
        • В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
        • В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
        • Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.
        L2TPVPN06.jpg


        Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
        Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.
        L2TPVPN07.png


        После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.

        По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:


  2. Настройка операционной системы Windows XP

    Выполняем пошаговую инструкцию из базы знаний Zyxel:

    1. Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
    2. Нажмите Next на первом экране.
    3. Выберите Connect to the network at my workplace и нажмите Next.
      KB-2079-26-l2tp26.jpg
      KB-2079-26-l2tp26.jpg (22.94 КБ) Просмотров: 13804


    4. Выберите Virtual Private Network connection и нажмите Next.
      KB-2079-27-l2tp27.jpg
      KB-2079-27-l2tp27.jpg (19.55 КБ) Просмотров: 13804


    5. Введите L2TP to ZyWALL в поле Company Name.
      KB-2079-28-l2tp28.jpg
      KB-2079-28-l2tp28.jpg (16.94 КБ) Просмотров: 13804


    6. Укажите Do not dial the initial connection и нажмите Next.
      KB-2079-29-l2tp29.jpg
      KB-2079-29-l2tp29.jpg (17.2 КБ) Просмотров: 13804


    7. Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).
      KB-2079-30-l2tp30.jpg
      KB-2079-30-l2tp30.jpg (18.08 КБ) Просмотров: 13804


    8. Нажмите Finish.
    9. Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.
      KB-2079-31-l2tp31.jpg
      KB-2079-31-l2tp31.jpg (21.61 КБ) Просмотров: 13804


    10. Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.
      KB-2079-32-l2tp32.jpg
      KB-2079-32-l2tp32.jpg (16.98 КБ) Просмотров: 13804


    11. В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.
      KB-2079-33-l2tp33.jpg
      KB-2079-33-l2tp33.jpg (22.17 КБ) Просмотров: 13804


    12. Нажмите кнопку IPSec Settings.
      KB-2079-34-l2tp34.jpg
      KB-2079-34-l2tp34.jpg (20.7 КБ) Просмотров: 13804


    13. Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.
      KB-2079-35-l2tp35.jpg
      KB-2079-35-l2tp35.jpg (9.6 КБ) Просмотров: 13804


    14. Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.
      KB-2079-36-l2tp36.jpg
      KB-2079-36-l2tp36.jpg (27.34 КБ) Просмотров: 13804


    15. Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.
      KB-2079-37-l2tp37.jpg
      KB-2079-37-l2tp37.jpg (20.81 КБ) Просмотров: 13804


    16. Появится окно с проверкой имени пользователя и пароля.
    17. После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.
      KB-2079-38-l2tp38.jpg
      KB-2079-38-l2tp38.jpg (1.73 КБ) Просмотров: 13804


    18. Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).
      KB-2079-39-l2tp39.jpg
      KB-2079-39-l2tp39.jpg (19.11 КБ) Просмотров: 13804


    19. Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.


Примечание:

На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).
Аватара пользователя
UncleFather
Site Admin
 
Сообщения: 1256
Зарегистрирован: 17 авг 2004 17:20, Вт

Вернуться в Железо

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

Alexander A Manaeff -
@Mail.ru .