Zyxel ZyWall USG 50 + Windows XP VPN client
Проблема:
Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.
Решение:
-
Настройка роутера:
-
Первым делом обновляем микропрограмму роутера до последней версии.
Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.
-
Далее, включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:
Код: Выделить всё
Username: admin Password: Router> configure terminal Router(config)# crypto algorithm-hide disable % The setting has been changed. You should reboot device to apply setting. Router(config)# write Router(config)# reboot
-
Выполняем пошагово инструкцию из базы знаний Zyxel:
-
Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
-
VPN Gateway Name;
-
В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
-
Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.
Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.
Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).
-
-
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):
-
Connection Name;
-
В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.
Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством. -
-
После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.
Создайте Address Object для пользователей L2TP VPN.
Затем настройте L2TP over IPsec:
-
Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
-
Укажите созданное ранее правило в поле VPN Connection;
-
Укажите диапазон IP-адресов в поле IP Address Pool;
-
В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
-
В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
-
Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.
Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.
По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:
-
-
-
-
Настройка операционной системы Windows XP
Выполняем пошаговую инструкцию из базы знаний Zyxel:
-
Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
-
Нажмите Next на первом экране.
-
Выберите Connect to the network at my workplace и нажмите Next.
-
Выберите Virtual Private Network connection и нажмите Next.
-
Введите L2TP to ZyWALL в поле Company Name.
-
Укажите Do not dial the initial connection и нажмите Next.
-
Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).
-
Нажмите Finish.
-
Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.
-
Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.
-
В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.
-
Нажмите кнопку IPSec Settings.
-
Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.
-
Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.
-
Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.
-
Появится окно с проверкой имени пользователя и пароля.
-
После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.
-
Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).
-
Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.
-
Примечание:
На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).