ZYWALL USG: VPN L2TP OVER IPSEC Scenario
Transcript
ZYWALL USG: VPN L2TP OVER IPSEC Scenario
ZYW ALL USG: VPN L2TP OVER IPSEC Scenario: Zywall USG Wan: Ip 87.241.14.114 Lan: Ip 192.168.1.1, Subnet 255.255.255.0 Nel menu Object/Address creiamo 3 oggetti che identificano l’ ip wan dell’ USG (WAN_L2TP, HOST); l’ ip dell’ host remoto (HOST_L2TP, HOST); range di ip da assegnare ai client remoti (RANGE_L2TP, RANGE), facendo attenzione ad usare un indirizzamento di rete che non sia presente sulla vostra rete: Creiamo un nuovo utente USER_L2TP con password 1234: Ci spostiamo nella sezione VPN/IPSEC ed attiviamo la VPN relativa all’ L2TP, lasciamo tutti i parametri a default e ci assicuriamo che su My Address ci sia selezionata la wan ed inseriamo la Pre-Shared Key: Nella VPN Connection lasciamo tutti I parametri a default, abilitiamo il Policy Enforcement (da “Show Advanced Settings) e ci assicuriamo che su Local policy sia selezionato il W AN_L2TP e su Remote policy l’ HOST_L2TP: Ci spostiamo nella sezione VPN/L2TP ed abilitiamo la vpn. Come IP Address Pool scegliamo il RANGE_L2TP e come Allowed User l’ USER_L2TP: In NETWORK/POLICY creiamo la Policy Route per instradare il traffic verso la VPN (regola 1) e per permettere ai client l2tp di navigare in internet (regola 2) Nota: può essere necessario lasciare passare la porta UDP 1701 nel firewall: Dal menù Object > Service andiamo a creare il servizio corrispondente: Dal tab “Service Group” inseriamo il servizio nel gruppo “Default_allow_WAN_to_ZyW ALL”: Sul pc client creiamo una nuova connessione di rete. Scegliamo “Apri Centro connessioni di rete e condivisione” cliccando sull’icona della connessione sulla system tray: Scegliamo Configura nuova connessione o rete: Scegliamo “Connessione a una rete aziendale”: Selezioniamo “Usa connessione Internet esistente (VPN): Inseriamo l’ ip pubblico del nostro USG che farà da server L2TP e selezioniamo “Non stabilire la connessione ora.” Inseriamo le credenziali per connetterci alla L2TP e diamo “Crea”: Non clicciamo su “Connetti” ma chiudiamo la finestra: Clicchiamo sull’iconcina Rete nella taskbar, selezioniamo la connession Vpn e diamo Connetti: Clicchiamo su Proprietà: Nel tab “opzioni” deselezioniamo “inclusi dominio di accesso Windows”: Ci spostiamo nel tab Sicurezza e selezioniamo come Tipo di VPN L2TP IPSEC VPN, impostiamo la crittografia in “Richiedi Crittografia” e consentiamo tutti i protocolli: Clicchiamo sul pulsante “Impostazioni Avanzate” ed inseriamo la preshared key: Dal tab Rete togliamo la spunta su “Condivisione file e stampanti” Inseriamo user e pwd scelti in precedenza e avviamo la connessione: Dal menù di stato della cnnessione verifichiamo se al nostro client è stato assegnato uno degli ip definiti nel nostro range: Proviamo a questo punto a pingare una macchina che sta dietro l’ USG per verificare se la connettività è presente: