HimeraSearchDB
Carding_EbayThief
triada
CrackerTuch
BMIX
issn24

НОВОСТИ Создание подключений VPN на шлюзах Zyxel

Alvaros
Онлайн

Alvaros

.
Регистрация
14.05.16
Сообщения
21.452
Реакции
101
Репутация
204
w1qyqc2npwsga7g1i3_l8fqp3s0.jpeg

VPN шлюзы Zyxel Zywall серий VPN, ATP и USG обладают обширными возможностями создания защищенных виртуальных сетей (VPN) для подключения как конечных пользователей (узел-сеть), так и создания подключения между шлюзами (сеть-сеть). В этой статье мы пройдем по всем моментам создания и настройки VPN подключения удаленных сотрудников.


Выбор подходящего VPN


Шлюзы позволяют создать три сценария подключения:
  • L2TP over IPSec VPN
  • SSL VPN
  • IPSec VPN


В зависимости от требований к безопасности и поддержки протоколов на конечных устройствах
You must be registered for see links
.

Рассмотрим настройку каждого из них.

Предварительная настройка


Даже при столь обильном функционале шлюзов, создание подключений не составит труда для не сильно подготовленного человека, главное иметь в виду некоторые нюансы:

Для корректной работы L2TP VPN по средствам встроенного клиента на Windows требуется проверить включение службы «IKEEXT» (Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности)

o_ta7qr7zztzbc9aktrf6irkkm0.jpeg


Остальные советы из интернета о правке реестра стоит воспринимать с осторожностью, так как они могут только навредить.

В связи с таможенными ограничениями по отношению ввоза сетевого оборудования на территорию РФ, реализующее шифровально-криптографические функции, на шлюзах Zyxel «из коробки» доступно только шифрование DES.

На актуальной прошивке версии 4.35 есть возможность работы с CLI прямо из Web интерфейса и не требует отдельного подключения к шлюзу через консольный кабель, что сильно упрощает работу с командной строкой.

Для активации остальных режимов (3DES) — нужно через консоль ввести команды:


Router> configure terminal
Router(config)# crypto algorithm-hide disable
Router(config)# write
Router(config)# reboot

w79rvtztvkn3zo49hdkq01_ushk.jpeg


После ввода команды reboot шлюз перезапустится и позволит выбрать нужные режимы шифрования.

oiotmgpep3d3vc-2hexsi-faq5s.jpeg


С нюансами разобрались, приступим непосредственно к настройке соединений.

Все примеры будут описаны с применением шлюза VPN50, VPN2S, ПК под управлением Windows, Android смартфона и иногда iPhone смартфона.

VPN50 выступает в роли «головного шлюза» находящегося в офисе/серверной.

Настройка L2TP подключения


Настройка L2TP на VPN50



Проще всего настроить VPN через Wizard. Он сразу создаст все правила и подключение.
После ввода логина\пароля открывается Easy mode (упрощенный режим управления)

sf1akelkcwpg9hwsatkhbmg7oyy.jpeg


Настоятельно рекомендуем использовать его только в информационном режиме, так как создаваемые через Easy Wizard режимы VPN потом нельзя корректировать в Expert Mode.
Нажимаем верхнюю правую кнопку “Expert Mode” и попадаем в полноценный Web интерфейс управления

2wb2pjtchbzjxbb8jvrcjpl-eyo.jpeg

Слева сверху иконка «волшебная палочка» — быстрая настройка:

cmh3blvnuxb36h9grcsljoiikck.jpeg

Если настройки интернета отличаются от DHCP, первоначально требуется настроить WAN interface. Для настройки VPN выбираем правую иконку

j3k13t77gwp6yfonzotihvktxjq.jpeg

Для настройки L2TP выбрать последний пункт «VPN Setting for L2TP».

awa34prmvcubwojycj3yzxhdw6m.jpeg

Здесь нам предлагают ввести имя подключения, интерфейс, через который будет проходить трафик (стоит иметь в виду: если подключение к интернету происходит через PPPOE подключение, то и здесь соответственно нужно выбрать wan_ppp) и предварительный ключ.

anhvvh2sshbffkzpxz-ijprr1fg.jpeg

На следующей странице вводим диапазон IP адресов, которые будут присваиваться клиентам.
Диапазон не должен пересекаться с другими интерфейсами на шлюзе!
DNS сервер можно не прописывать, если не требуется пускать весь трафик (клиентский интернет) через VPN, что выбирается галочкой ниже.

xbe3rtj5xsmx36wsgiury0qc-bi.jpeg

На этой странице выводится информация о созданном подключении, проверяется правильность всех данных и сохраняется.

Всё! Подключение создано. Осталось создать пользователей для подключения к шлюзу.

pktbdojhfmt7l7i-qt_z7sn-zac.jpeg

На вкладке Configuration -> Object -> User/Group создаются пользователи (требуется ввести имя и пароль.)

5wxtzi8jjltwnfkmasrwtdddrai.jpeg

На соседней вкладке для удобства можно создать группу и внести в нее список пользователей. Если удаленных пользователей более одного, то группу в любом случае придется создавать.

iwfn6yldcmu9nyloljigt5keuc4.jpeg

На вкладке VPN-L2TP VPN в пункте Allowed user выбираем созданную ранее группу или единичного пользователя, которые смогут подключаться по L2TP.

На этом создание подключения по L2TP на шлюзе можно считать настроенным.
Перейдем к настройке клиентов.

Настройка клиентов L2TP

Настройка L2TP на клиентах Windows


На Windows 10 настройка L2TP производится штатными средствами:

Пуск -> Параметры -> Сеть и Интернет -> VPN -> Добавить VPN-подключение


vftgjg2bx2irjdp2njmeyvzu4ek.jpeg


  • Поставщик услуг – Windows (встроенные)
  • Имя подключения – на выбор
  • Имя или адрес сервера- IP адрес VPN шлюза
  • Тип VPN- L2TP с предварительным ключом
  • Общий ключ- ток ключ, что создавался на первом пункте Wizard'а
  • Логин и пароль пользователя из группы разрешенных


Для подключения этого достаточно. Но иногда требуется немного подправить подключение, либо Подключение создается на более ранних версиях Windows:


Панель управления -> Центр управления сетями и общим доступом -> Изменение параметров адаптера -> свойства L2TP подключения

oht3ugz8hhuxruuwrtsd-0zicq4.jpeg

Выставляется правильные шифрование и протоколы как на изображении.

1jl6qrkpmziloooedooxjxsqmis.jpeg

Во вкладке Дополнительные параметры меняется предварительный ключ

xkgo61c6gzyvrckgz0gyxsuyzf0.jpeg

Так же рекомендуется на вкладке Сеть отключить протокол IPv6

На этом подключение готово.

Настройка L2TP на клиентах Android


Иногда требуется подключать и мобильных сотрудников к корпоративной сети.
На Android смартфонах это делается в меню:

Настройки -> Беспроводные сети (Дополнительно) -> VPN -> Создать новое подключение (в зависимости от производителя телефона и оболочки ОС пункты могут называться по-разному)


geg59ks9ie4r52cczh2o3qnzxb8.jpeg

Здесь вводится имя подключения, выбирается тип VPN L2TP/IPSec PSK, вводится общий ключ, имя пользователя и пароль.

После подключения должен появиться значок «Ключ», который информирует о VPN соединении.

Настройка L2TP на клиентах Iphone


Настройка Iphone практически не отличается от клиентов android

sxsm9hut-g4ezc-tf6bdjigc5q0.jpeg


По пути
Настройки -> Основные -> VPN

создается новое подключение, где прописывается Описание (название подключения), Сервер (ip адрес шлюза), имя пользователя с паролем и общий ключ. Готово.

hqaidrh4hjdkapicj1tnrak9jwq.jpeg

После создания и подключения VPN в верхнем правом углу будет отображаться иконка «VPN», как индикатор поднятого соединения.

vyaaocc0joiuxga4goapew2zuvi.jpeg

Тапнув по конфигурации так же можно увидеть информацию о соединении.

Настройка L2TP на аппаратном клиенте VPN2S


А теперь покажем, как подключить к корпоративной сети удаленного клиента, у которого дома установлен недорогой шлюз Zyxel VPN2S.

Для подключения VPN2S клиентом L2TP настройка так же не составит труда. Тут даже не требуется «Wizard», все правила изначально созданы.

mb-5x16qsjkyalyodajwjds4k2s.jpeg

Первым делом в Configuration -> VPN -> IPsec VPN нужно включить стандартные конфигурации.

fxiygcp_vr2z4pgh5jtnyitqwfg.jpeg

В Gateway конфигурации ввести Peer Gateway Address (IP адрес шлюза) и ключ.

ldme0aw8im166oa5tg_hcrhdub4.jpeg

На вкладке L2TP VPN поставить галочку Enable, на против IPsec (имя дефолтной конфигурации) Enforce, ввести имя и пароль пользователя и, если требуется, включить NAT.

c0iqklbuheb1ujn7oxah92m65iq.jpeg

После этого перейти обратно на вкладку IPsec VPN и убедиться, что в Connection Tunnel горит «зеленый глобус», сигнализирующий о поднятом соединении.

Настройка SSL подключения


Настойка SSL на шлюзе VPN50


Для настройки SSL VPN (которых к слову без лицензии меньше, чем L2TP, но имеющие более защищенное подключение) потребуется:

xdz9s5tv_coqhnbrxv2b6tiyodg.jpeg

На вкладке VPN -> SSL VPN создается новое правило, в котором указывается имя, список пользователей\групп, пул выдаваемых IP адресов и список сетей, в который будет доступ клиентам.

Важное замечание! Для работы SSL VPN протокол HTTPS должен быть добавлен в конфигурацию протоколов

xwxwwedtnciqgfiiozmsz2o1adm.jpeg

Делается это по пути Object -> Service -> Service Group.
В группе “Default_Allow_Wan_To_ZyXall” добавить HTTPS. Он так же потребуется и для доступа на Web интерфейс шлюза извне.

Настройка клиентов SSL


Настройка SSL на клиентах Windows



Для подключения клиента Windows используется программа
You must be registered for see links
.

4jta4yjcg6yupy4pwfw4kag33ns.jpeg

Настройка заключается лишь в введении IP адреса шлюза и логина\пароля пользователя.
Так же можно поставить галочку «запомнить пользователя», чтобы не вводить каждый раз.

aszmcj6mrt6atjvdy32igs--4ty.jpeg

В процессе подключения согласиться со всплывающим предупреждением

zow9wkpqt3jjys6i0u-70e0zhrs.jpeg

После подключения во вкладке Status будет показана информация о соединении.

Настройка VPN IPsec подключения


Настройка VPN IPsec на VPN50


Перейдем к настройке самого безопасного VPN IPsec.
На вкладке VPN -> IPsec VPN -> VPN Gateway создается новое правило

a0iq1h7qrwetkvfjz1t0vsjshvi.jpeg

Где указывается имя, версия IPsec, ключ, режим согласования и варианты шифрования.

7vm5vsyk4q_hirfom0lhsfqsqri.jpeg

В соседней вкладке VPN Connection создается новое подключение, настройки по аналогии с созданием L2TP.

Настройка VPN IPsec на клиентах


Настройка VPN IPsec на клиентах Windows



Программа для подключения IPSec VPN на Windows располагается по
You must be registered for see links
.

1wtbkeja0m1t5j-lxckbh-krxso.jpeg

Подключение создается через «мастер создания туннеля IKE V1» (так как на шлюзе был выбран именно он).

w3hipn0vgkra1uchtlxdd_xx5cy.jpeg

На этой вкладке вводится IP адрес шлюза, ключ и подсеть шлюза- далее- готово.

k427z2tgmrhjbk99t87d7k69jkm.jpeg

В первой фазе проверяется соответствие параметров шифрования.

-663mrnpyxxvofgcck8mcmvltmk.jpeg

Так же и во второй фазе

faijevjles6dzrb-7ck48sj67da.jpeg

Если всё сделано правильно, то подключение поднимется, о чем будет сигнализировать зеленый индикатор.

Настройка VPN IPsec на VPN50 с предоставлением конфигурации


Шлюз позволяет упростить настройку у пользователей посредством запроса конфигурации прямо со шлюза. Для этого на вкладке VPN -> IPSec VPN -> Configuration Provisioning
включается функция предоставления конфигурации

20j-2mcmrjjmqjj82n5dokxz6xy.jpeg

Добавляется новая конфигурация, где выбирается созданное VPN подключение и группа пользователей. Активировать и сохранить.

После этого в ZyWALL IPSec VPN Client будет доступна возможность загрузки конфигурации прямо со шлюза.

fg-dzt09vgfc8ws8o3ljw1_smtc.jpeg

В меню Конфигурация выбрать пункт «Получить с сервера»

jxalrplt8zjfyh3abx0hveqkdgg.jpeg

Где нужно ввести только IP адрес шлюза, логин и пароль пользователя.

7adyb1uzda5q0u7g3_mjsmffjpm.jpeg

После успешного соединения будут получены все нужные настройки и создано новое подключение.

Заключение


Были рассмотрены самые популярные варианты подключения VPN с различными клиентскими устройствами. Но самих вариантов еще очень много.

Благодаря обширному функционалу шлюзов Zyxel, есть возможность расширить рабочую сеть далеко за пределами офиса с минимальными затратами на настройку и поддержку.

Больше информации вы можете найти на
You must be registered for see links
технической поддержки Zyxel

Обсудить статью и получить поддержку вы можете в нашем
You must be registered for see links
.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу