Zyxel ZyWall USG 50 + Windows XP VPN client

Проблема:
Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.
Решение:
Примечание:
На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).
Необходимо настроить роутер Zyxel ZyWall USG 50 на подключение к нему VPN клиентов Windows XP.
Решение:
- Настройка роутера:
- Первым делом обновляем микропрограмму роутера до последней версии.Начиная с версий 3.00 микропрограммного обеспечения технология L2TP VPN (L2TP over IPSec) была реализована в ZyWALL USG 20/20W/50 (ранее была доступна только в старших моделях 100/300/1000/2000). Данная технология реализована в мобильных устройствах Apple и устройствах с операционной системой Android, которая обеспечивает пользователям безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов или планшетных компьютеров. Настройка подключения L2TP over IPSec возможна и с обычного настольного компьютера.
- Далее, включаем алгоритм шифрования 3DES, для чего захотим telnet-ом на роутер и выполняем команды:
- Код: Выделить всё
Username: admin
Password:
Router> configure terminal
Router(config)# crypto algorithm-hide disable
% The setting has been changed. You should reboot device to apply setting.
Router(config)# write
Router(config)# reboot
- Выполняем пошагово инструкцию из базы знаний Zyxel:
- Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN.
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):- VPN Gateway Name;
- В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address;
- Укажите Pre-Shared Key - этот параметр (предварительно согласованный ключ) будет необходим при настройке VPN-подключения.
Установите настройки фазы 1 в разделе Phase 1 Settings, которые поддерживаются удаленным устройством.
Для ОС Windows XP возможно подключение и на более слабых протоколах шифрования (DES). - Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения.
Добавьте новое правило с указанием следующей информации (нажмите сначала Show Advanced Settings для отображения дополнительных параметров):- Connection Name;
- В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило.
Для туннеля L2TP over IPSec нужно использовать транспортный режим (в поле Encapsulation установите значение Transport).
VPN-подключение настраивается как туннель Peer-to-peer (точка-точка). Таким образом, мы должны указать интерфейс с WAN IP-адресом в поле Local Policy и установить настройки фазы 2 в разделе Phase 2 Settings, которые поддерживаются удаленным устройством. - После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN.
Создайте Address Object для пользователей L2TP VPN.
Затем настройте L2TP over IPsec:- Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
- Укажите созданное ранее правило в поле VPN Connection;
- Укажите диапазон IP-адресов в поле IP Address Pool;
- В нашем примере используется метод аутентификации по умолчанию (локальная база данных пользователей ZyWALL USG). В поле Authentication Method установлено значение default;
- В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
- Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.
Но можно создать отдельную учетную запись, с которой будет возможно использовать подключение L2TP over IPSec.
Зайдите на страницу CONFIGURATION > Object > User/Group > User для ее создания. Созданная учетная запись будет сохранена в локальной базе ZyWALL'а.
После выполнения указанных выше настроек пользователи смогут получить безопасный удаленный доступ к ресурсам корпоративной сети со своих смартфонов/компьютеров, подключившись к аппаратному шлюзу ZyWALL USG по VPN-соединению L2TP over IPSec.
По следующим ссылкам вы можете получить дополнительную информацию по настройке подключения L2TP over IPSec:- Пример настройки подключения L2TP over IPSec между аппаратным шлюзом ZyWALL USG и смартфоном iPhone (iOS)
- Пример настройки смартфонов с ОС Android для создания подключения L2TP over IPSec к аппаратному шлюзу ZyWALL USG
- Пример создания подключения L2TP over IPSec в операционной системе Windows 7
- Пример создания подключения L2TP over IPSec в операционной системе Windows Vista/XP
- Пример настройки VPN-туннеля L2TP over IPSec в аппаратном шлюзе ZyWALL 1050
- Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.
- Первым делом обновляем микропрограмму роутера до последней версии.
- Настройка операционной системы Windows XP
Выполняем пошаговую инструкцию из базы знаний Zyxel:- Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
- Нажмите Next на первом экране.
- Выберите Connect to the network at my workplace и нажмите Next.
- Выберите Virtual Private Network connection и нажмите Next.
- Введите L2TP to ZyWALL в поле Company Name.
- Укажите Do not dial the initial connection и нажмите Next.
- Введите доменное имя или WAN IP-адрес, который был указан в разделе My Address при настройке VPN Gateway Configuration в ZyWALL, использующийся для VPN-туннеля L2TP (в нашем примере это IP-адрес 172.16.1.2).
- Нажмите Finish.
- Появится экран Connect L2TP to ZyWALL. Нажмите кнопку Properties.
- Зайдите в раздел Security, выберите Advanced (custom settings) и нажмите кнопку Settings.
- В поле Data encryption укажите Optional encryption (connect even if no encryption). Выберите Allow these protocols, установите галочку в поле Unencrypted password (PAP) и снимите галочки с других полей этого раздела. Нажмите OK.
- Нажмите кнопку IPSec Settings.
- Укажите Use pre-shared key for authentication и введите в поле Key ключ (пароль), который был указан ранее в VPN Gateway Configuration в ZyWALL для VPN-туннеля L2TP в поле Pre-shared Key (в нашем примере это top-secret). Нажмите OK.
- Нажмите Networking. Укажите в поле Type of VPN значение L2TP IPSec VPN. Нажмите OK.
- Введите имя пользователя (User name) и пароль (Password) пользовательской учетной записи ZyWALL. Нажмите Connect.
- Появится окно с проверкой имени пользователя и пароля.
- После установки VPN-подключения появится значок ZyWALL-L2TP в правом нижнем углу экрана (в области пиктограмм панели задач). Выполните двойной щелчок мышью для открытия экрана статуса.
- Нажмите Details для просмотра IP-адреса, который был получен по L2TP из диапазона, указанного в ZyWALL (192.168.10.10 ~ 192.168.10.20).
- Обратитесь к серверу или другим сетевым ресурсам, находящимся за ZyWALL, чтобы убедиться, что VPN-доступ работает.
- Нажмите Start > Control Panel > Network Connections > New Connection Wizard.
Примечание:
На роутере Zyxel ZyWall USG 50 одновременно можно поднять 10 IPSec туннелей (этот параметр не расширяется).