Zyxel ZyWall USG 50 + Windows XP VPN client

Обсуждения проблем с железом. Полезные советы по теме.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Zyxel ZyWall USG 50 + Windows XP VPN client

Сообщение UncleFather »

Проблема:

Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.

Решение:

  1. Настройка роутера:

    1. Первым делом обновляем микропрограмму роутера до последней версии.

      Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.

    2. Далее, включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:

      Код: Выделить всё

      Username: admin
      Password:
      
      Router> configure terminal
      Router(config)# crypto algorithm-hide disable
      
      % The setting has been changed. You should reboot device to apply setting.
      
      Router(config)# write
      Router(config)# reboot
      
    3. Выполняем пошагово инструкцию из базы знаний Zyxel:

      1. Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
        Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.

        L2TPVPN01.jpg

        Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

        • VPN Gateway Name;

        • В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;

        • Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.

        L2TPVPN02.jpg

        Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.

        Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES).

      2. Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.

        L2TPVPN03.jpg

        Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):

        • Connection Name;

        • В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.

        L2TPVPN04.jpg

        Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
        VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством.

      3. После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.

        Создайте Address Object для пользователей L2TP VPN.

        L2TPVPN05.jpg

        Затем настройте L2TP over IPsec:

        • Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;

        • Укажите созданное ранее правило в поле VPN Connection;

        • Укажите диапазон IP-адресов в поле IP Address Pool;

        • В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;

        • В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;

        • Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.

        L2TPVPN06.jpg

        Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
        Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.

        L2TPVPN07.png

        После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.

        По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:

  2. Настройка операционной системы Windows XP

    Выполняем пошаговую инструкцию из базы знаний Zyxel:

    1. Нажмите Start > Control Panel > Network Connections > New Connection Wizard.

    2. Нажмите Next на первом экране.

    3. Выберите Connect to the network at my workplace и нажмите Next.

      KB-2079-26-l2tp26.jpg
      KB-2079-26-l2tp26.jpg (22.94 КБ) 20241 просмотр
    4. Выберите Virtual Private Network connection и нажмите Next.

      KB-2079-27-l2tp27.jpg
      KB-2079-27-l2tp27.jpg (19.55 КБ) 20241 просмотр
    5. Введите L2TP to ZyWALL в поле Company Name.

      KB-2079-28-l2tp28.jpg
      KB-2079-28-l2tp28.jpg (16.94 КБ) 20241 просмотр
    6. Укажите Do not dial the initial connection и нажмите Next.

      KB-2079-29-l2tp29.jpg
      KB-2079-29-l2tp29.jpg (17.2 КБ) 20241 просмотр
    7. Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).

      KB-2079-30-l2tp30.jpg
      KB-2079-30-l2tp30.jpg (18.08 КБ) 20241 просмотр
    8. Нажмите Finish.

    9. Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.

      KB-2079-31-l2tp31.jpg
      KB-2079-31-l2tp31.jpg (21.61 КБ) 20241 просмотр
    10. Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.

      KB-2079-32-l2tp32.jpg
      KB-2079-32-l2tp32.jpg (16.98 КБ) 20241 просмотр
    11. В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.

      KB-2079-33-l2tp33.jpg
      KB-2079-33-l2tp33.jpg (22.17 КБ) 20241 просмотр
    12. Нажмите кнопку IPSec Settings.

      KB-2079-34-l2tp34.jpg
      KB-2079-34-l2tp34.jpg (20.7 КБ) 20241 просмотр
    13. Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.

      KB-2079-35-l2tp35.jpg
      KB-2079-35-l2tp35.jpg (9.6 КБ) 20241 просмотр
    14. Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.

      KB-2079-36-l2tp36.jpg
      KB-2079-36-l2tp36.jpg (27.34 КБ) 20241 просмотр
    15. Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.

      KB-2079-37-l2tp37.jpg
      KB-2079-37-l2tp37.jpg (20.81 КБ) 20241 просмотр
    16. Появится окно с проверкой имени пользователя и пароля.

    17. После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.

      KB-2079-38-l2tp38.jpg
      KB-2079-38-l2tp38.jpg (1.73 КБ) 20241 просмотр
    18. Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).

      KB-2079-39-l2tp39.jpg
      KB-2079-39-l2tp39.jpg (19.11 КБ) 20241 просмотр
    19. Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.

Примечание:

На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение