Пример импорта сертификата из ZyWALL/USG и создание подключения L2TP VPN в Windows 10

Как выполнить импорт сертификата из ZyWALL/USG для создания соединения L2TP VPN в операционной системе Windows 10?

В данной статье рассмотрим пример подключения L2TP VPN (L2TP over IPSec) из операционной системы Windows 10, используя самоподписанный сертификат из ZyWALL/USG. C помощью VPN-туннеля удаленные пользователи смогут получить безопасный доступ в сеть за ZyWALL/USG.
В данном примере используется центр безопасности USG (c микропрограммой ZLD 4.13) и клиентский компьютер с операционной системой Windows 10 Pro (версия 10.0.10240).
 
Шаг 1: Настройка туннеля L2TP VPN в ZyWALL/USG.
 
1.1. В веб-конфигураторе ZyWALL/USG перейдите в меню Configuration > Quick Setup > VPN Setup Wizard. Используйте мастер настройки VPN для создания подключения L2TP VPN.
На странице приветствия Welcome выберите значение VPN Settings for L2TP VPN Settings.
1.2. Затем в поле Rule Name впишите название подключения, в поле My Address (interface) укажите интерфейс устройства, который подключен к Интернету (в нашем примере это wan1) и в поле Pre-Shared Key впишите ключ (должен состоять от 8 до 32 символов).
1.3. Укажите диапазон (RANGE) IP-адресов, которые будут использовать клиенты L2TP VPN (в нашем примере это диапазон 192.168.100.10–192.168.100.20). Установите галочку в поле Allow L2TP traffic Through WAN, если хотите разрешить трафик от клиентов L2TP VPN в Интернет.
1.4. На следующем экране вы можете проверить настройки VPN-туннеля. Для сохранения настроек нажмите Save.
1.5. Таким образом было создано правило VPN-подключения в ZyWALL/USG. Дополнительные настройки правила можно посмотреть в меню веб-конфигуратора VPN > L2TP VPN.
Нажмите Close для завершения работы мастера настройки VPN-подключения.
1.6. Перейдите в меню Configuration > VPN > VPN Gateway и отредактируйте созданное правило WIZ_L2TP_VPN. В подразделе Authentication установите значение метода аутентификации Certificate и выберите сертификат, который ZyWALL/USG будет использовать для аутентификации клиентов (в нашем примере это сертификат по умолчанию default).
1.7. Далее перейдите в меню Configuration > VPN > L2TP VPN и нажмите Create new Object > User для создания учетной записи пользователя, с которой должны будут подключаться удаленные клиенты туннеля L2TP VPN. В поле User Name впишите логин (в нашем примере L2TP_Remote_Users), а в поле Password установите пароль (в нашем примере установлен пароль zyx168; может содержать от 4 до 24 символов).
Затем в настройках L2TP VPN в поле Allowed User укажите значение созданного ранее объекта (в нашем примере это учетная запись L2TP_Remote_Users с паролем zyx168).
1.8. Если трафик от клиентов L2TP VPN нужно направить в Интернет, создайте правило Policy Route в меню Configuration > Network > Routing для отправки трафика из L2TP-туннеля через WAN-транк. В настройках правила в поле Incoming установите значение Tunnel и укажите ваше подключение L2TP VPN (в нашем примере это WIZ_L2TP_VPN). В поле Source Address установите адрес пула L2TP VPN. В подразделе Next-Hop в поле Type установите значение Trunk, а в поле Trunk укажите соответствующий WAN-транк.
 
Шаг 2: Экспорт сертификата из ZyWALL/USG и его импорт в ОС Windows 10.
 
2.1. В веб-конфигураторе ZyWALL/USG перейдите в меню Configuration > Object > Certificate, выберите сертификат по умолчанию (default в нашем примере) и нажмите Edit для редактирования настроек.
2.2. Экспортируйте сертификат default из ZyWALL/USG. Нажмите кнопку Export Certificate with Private Key (Экспорт сертификата с закрытым ключом). В нашем примере используется zyx123 в качестве закрытого ключа.
2.3. Сохраните сертификат default в файл с расширением *.p12 на компьютере с Windows 10.
2.4. В операционной системе Windows 10 перейдите в меню Start (Пуск) > Search (Поиск). Наберите mmc и нажмите клавишу Enter на клавиатуре.
2.5. В окне консоли mmc нажмите File (Файл) > Add/Remove Snap-in... (Добавить или удалить оснастку...).
2.6. В списке Available snap-ins (Доступные оснастки) выберите Certificates (Сертификаты) и нажмите Add (Добавить). Затем нажмите Finished (Готово) и далее OK для закрытия окна добавления/удаления оснасток.
2.7. В окне консоли mmc перейдите в Certificates (Сертификаты) > Trusted Root Certification Authorities (Доверенные корневые центры сертификации), щелкните правой кнопкой мыши по Certificate (Сертификаты) выберите All Tasks (Все задачи) > Import...(Импорт...).
2.8. Запустится мастер импорта сертификатов.
Нажмите Next (Далее) для продолжения.
2.9. Нажмите Browse...(Обзор...) и укажите путь к файлу *.p12, который вы сохранили на компьютере ранее. Затем нажмите Next (Далее).
2.10. Затем укажите пароль (в нашем примере это zyx123) и нажмите Next (Далее).
2.11. Выберите Place all certificates in the following store (Поместить все сертификаты в следующее хранилище), затем нажмите Browse (Обзор) и найдите Trusted Root Certification Authorities (Доверенные корневые центры сертификации). Нажмите Next (Далее) и затем Finish (Готово) для завершения работы мастера импорта сертификатов.
 
Внимание! Каждый ZyWALL/USG имеет самоподписанный сертификат в настройках по умолчанию. Когда вы выполняете сброс настроек на заводские, оригинальный самоподписанный сертификат удаляется и новый самоподписанный сертификат будет создан только при следующей загрузке ZyWALL/USG.
 
Шаг 3: Настройка туннеля L2TP VPN (L2TP over IPSec) в Windows 10.
 
3.1. Для настройки L2TP VPN в Windows 10 перейдите в меню Start (Пуск) > Settings (Параметры) > Network & Internet (Сеть и Интернет) > VPN и нажмите Add a VPN Connection (Добавление VPN-подключения) для создания VPN-подключения.
В поле VPN Provider (Поставщик услуг VPN) установите значение Windows built-in (Windows встроенные).
В поле Connection name (Имя подключения) введите имя VPN-подключения.
В поле Server name or address (Имя или адрес сервера) укажите WAN IP-адрес ZyWALL/USG (в нашем примере 172.124.163.150).
В VPN type (Тип VPN) установите Layer 2 Tunneling Protocol with IPsec (L2TP IPsec VPN).
Впишите User name (Имя пользователя) и Password (Пароль) учетной записи, которую вы указали в настройках Allowed User в ZyWALL/USG (в нашем примере это L2TP_Remote_Users и zyx168 соответственно).
3.2. Перейдите в Control Panel (Панель управления) > Network and Internet (Сеть и Интернет) > Network Connections (Сетевые подключения) и щелкните правой кнопкой мыши на Properties (Свойства). Затем перейдите на вкладку Security (Безопасность) > Advanced settings (Дополнительные параметры) и выберите Use Certificate for authentication (Использовать сертификат для проверки подлинности).
3.3. Перейдите в окно настройки Network & Internet (Сеть и Интернет) и нажмите Connect (Подключиться) для запуска VPN-соединения.
 
4. Проверка туннеля L2TP VPN.
 
4.1. В веб-конфигураторе ZyWALL/USG перейдите в меню Configuration > VPN > IPSec VPN > VPN Connection. Значок подключения Status будет подсвечен, когда соединение было успешно установлено.
4.2. Затем перейдите в меню Monitor > VPN Monitor > IPSec и проверьте параметры времени подключения Up Time и трафика Inbound(Bytes)/Outbound(Bytes). Нажмите Connectivity Check для проверки результата ICMP-запроса.
4.3. Перейдите в Monitor > VPN Monitor > L2TP over IPSec и проверьте таблицу текущих соединений Current L2TP Session.
4.4. На компьютере с ОС Windows 10 перейдите в меню Start (Пуск) > Settings (Параметры) > Network & Internet (Сеть и Интернет) > VPN и посмотрите статус подключения, он должен быть Connected (Подключено).
 
Примечание
 
Если в системном журнале вы видите сообщение [alert], как показано ниже, проверьте в ZyWALL/USG настройки L2TP Allowed User или User/Group. Пользователи Windows 10 должны использовать такие же Username (Имя пользователя) и Password (Пароль), которые были созданы в ZyWALL/USG для подключения L2TP VPN.
 
Если вы видите сообщение [info] или [error], проверьте в ZyWALL/USG настройки Phase 1. Пользователи Windows 10 должны использовать Pre-Shared Key, который был настроен в ZyWALL/USG для IKE SA.
 
Если вы видите, что Phase 1 IKE SA process был завершен, но остаются сообщения [info] об ошибке в настройках фазы 2, проверьте в ZyWALL/USG настройки Phase 2. В ZyWALL/USG нужно корректно настроить Local Policy для IKE SA.

KB-4968

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.