ZYWALL USG: VPN L2TP OVER IPSEC Scenario

ZYW ALL USG: VPN L2TP OVER IPSEC
Scenario:
Zywall USG
Wan: Ip 87.241.14.114
Lan: Ip 192.168.1.1, Subnet 255.255.255.0
Nel menu Object/Address creiamo 3 oggetti che identificano l’ ip wan dell’ USG (WAN_L2TP, HOST); l’ ip dell’ host
remoto (HOST_L2TP, HOST); range di ip da assegnare ai client remoti (RANGE_L2TP, RANGE), facendo attenzione
ad usare un indirizzamento di rete che non sia presente sulla vostra rete:
Creiamo un nuovo utente USER_L2TP con password 1234:
Ci spostiamo nella sezione VPN/IPSEC ed attiviamo la VPN relativa all’ L2TP, lasciamo tutti i parametri a default e ci
assicuriamo che su My Address ci sia selezionata la wan ed inseriamo la Pre-Shared Key:
Nella VPN Connection lasciamo tutti I parametri a default, abilitiamo il Policy Enforcement (da “Show Advanced
Settings) e ci assicuriamo che su Local policy sia selezionato il W AN_L2TP e su Remote policy l’ HOST_L2TP:
Ci spostiamo nella sezione VPN/L2TP ed abilitiamo la vpn. Come IP Address Pool scegliamo il RANGE_L2TP e come
Allowed User l’ USER_L2TP:
In NETWORK/POLICY creiamo la Policy Route per instradare il traffic verso la VPN (regola 1) e per permettere ai
client l2tp di navigare in internet (regola 2)
Nota: può essere necessario lasciare passare la porta UDP 1701 nel firewall:
Dal menù Object > Service andiamo a creare il servizio corrispondente:
Dal tab “Service Group” inseriamo il servizio nel gruppo “Default_allow_WAN_to_ZyW ALL”:
Sul pc client creiamo una nuova connessione di rete. Scegliamo “Apri Centro connessioni di rete e condivisione”
cliccando sull’icona della connessione sulla system tray:
Scegliamo Configura nuova connessione o rete:
Scegliamo “Connessione a una rete aziendale”:
Selezioniamo “Usa connessione Internet esistente (VPN):
Inseriamo l’ ip pubblico del nostro USG che farà da server L2TP e selezioniamo “Non stabilire la connessione ora.”
Inseriamo le credenziali per connetterci alla L2TP e diamo “Crea”:
Non clicciamo su “Connetti” ma chiudiamo la finestra:
Clicchiamo sull’iconcina Rete nella taskbar, selezioniamo la connession Vpn e diamo Connetti:
Clicchiamo su Proprietà:
Nel tab “opzioni” deselezioniamo “inclusi dominio di accesso Windows”:
Ci spostiamo nel tab Sicurezza e selezioniamo come Tipo di VPN L2TP IPSEC VPN, impostiamo la crittografia in
“Richiedi Crittografia” e consentiamo tutti i protocolli:
Clicchiamo sul pulsante “Impostazioni Avanzate” ed inseriamo la preshared key:
Dal tab Rete togliamo la spunta su “Condivisione file e stampanti”
Inseriamo user e pwd scelti in precedenza e avviamo la connessione:
Dal menù di stato della cnnessione verifichiamo se al nostro client è stato assegnato uno degli ip definiti nel nostro
range:
Proviamo a questo punto a pingare una macchina che sta dietro l’ USG per verificare se la connettività è presente: