Настройка VPN-туннеля L2TP over IPSec с использованием сертификата в ZyWALL USG

Как в аппаратном шлюзе серии ZyWALL USG настроить VPN-туннель L2TP over IPSec с использованием сертификата для проверки подлинности?


Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG с использованием предварительно согласованного ключа (Pre-Shared Key) описана в статье: «Настройка подключения L2TP VPN (L2TP over IPSec) в аппаратных шлюзах серии ZyWALL USG»

В данной статье приведена пошаговая инструкция по созданию подключения VPN-туннеля L2TP over IPSec (L2TP-подключение происходит внутри VPN-туннеля IPSec) с использованием сертификата в аппаратном шлюзе серии ZyWALL.

1. Для создания подключения L2TP over IPSec нужно сначала создать правило IPSec.

Зайдите в веб-конфигураторе устройства на страницу CONFIGURATION > VPN > IPSec VPN > VPN Gateway для создания шлюза VPN и добавьте новое правило. В разделе Gateway Settings укажите интерфейс wan1 в качестве My Address и Dynamic Address в качестве Peer Gateway Address.
В разделе Authentication укажите используемый сертификат (в данном случае используется сертификат по умолчанию - default).

2. Зайдите на страницу CONFIGURATION > VPN > IPSec VPN > VPN Connection для создания VPN-подключения и добавьте новое правило.

В разделе Application Scenario выберите значение Remote Access (Server Role) и в поле VPN Gateway выберите созданное ранее правило. В поле Local Policy укажите объект с WAN IP-адресом устройства (в нашем примере используется интерфейс wan_ip).

3. После создания настроек VPN Connection зайдите на страницу CONFIGURATION > VPN > L2TP VPN > L2TP VPN и настройте подключение L2TP over IPSec:

    • Активируйте подключение. Установите галочку в поле Enable L2TP Over IPSec;
    • Укажите созданное ранее правило в поле VPN Connection;
    • Укажите диапазон IP-адресов в поле IP Address Pool;
    • В поле Allowed User укажите учетную запись пользователя или группу пользователей, которые имеют права на использование туннеля L2TP VPN. В нашем примере в ZyWALL USG указано значение any, что означает разрешение доступа всем пользователям из списка;
    • Значения других полей оставьте по умолчанию, как указано в нашем примере. Нажмите кнопку Apply для сохранения информации.

4. Затем на странице CONFIGURATION > OBJECT > CERTIFICATE > MY CERTIFICATES откройте необходимый сертификат (в нашем примере это сертификат default) и экспортируйте его с приватным ключом на компьютер.

5. Запустите на компьютере консоль управления Microsoft (Microsoft Management Console, MMC).

6. В меню Файл выберите пункт Добавить или удалить оснастку.


7. Из доступных оснасток выберите Сертификаты и нажмите кнопку Добавить.


8. Выберите управление для учетной записи компьютера.


9. Укажите управление локальным компьютером.


10. В корне консоли появится пункт Сертификаты.


11. Щелкните правой кнопкой мыши по разделу Личное и выберите Все задачи > Импорт.


12. Когда откроется мастер импорта сертификатов, нажмите кнопку Далее.


13. Выберите ранее сохраненный сертификат и нажмите Далее.


14. Введите приватный ключ (Пароль) и нажмите Далее.


15. Укажите Поместить все сертификаты в Личное хранилище.


16. Импортированный сертификат аппаратного шлюза ZyWALL USG появится в хранилище в Личное > Cертификаты.


17. Выполните импорт сертификата для Доверенных Корневых центров сертификации.


18. Теперь в Доверенных Корневых центрах сертификации появится сертификат от ZyWALL USG.


19. При настройке L2TP-соединения на компьютере для проверки подлинности вместо предварительного ключа выберите Использовать сертификат для проверки подлинности и отключите опцию Проверить атрибуты имени и использования у сертификата сервера.

20. После установки соединения L2TP over IPSec по логам аппаратного шлюза можно убедиться, что для проверки подлинности использовался сертификат.

 

KB-3236

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев