pctechnik.ch Herisau

pctechnik.ch Herisau

VPN L2TP_IPSec mit der Zywall
  1. Address Range vergeben
    1. Unter "Adress/Geo IP einen Addressbereich den es noch nicht gibt auswählen. Der Name "L2TP_Range" vergeben, "Address Typ" "Range" auswählen eine Startadresse verben und eine Endadresse vergeben. Zum Beispiel 192.168.199.10 bis 1912.168.199.20. Darauf achten, dass dieser Bereich nirgends sonst im Einsatz ist.
  2. Einen VPN User hinzufügen
    1. Unter Objecte "User/Group" einen neuen User mit "Add" hinzufügen.
    2. "User Name" zum Beispiel L2TP_User vergeben, "User Typ" den "user" auswählen, eine Passwort eingeben und "Use Default Settings" Punkt setzen.
  3. Gateway erstellen
    1. Einen Namen des Gateways vergeben (L2TP_VPN). Das richtige Interface auswählen unter "My Address". Meistens "wan1". Unter "Peer Gateway Address" Dynamic Address auswählen.
    2. Unter "Authentication" "Pre-Ahared Key" auswählen und ein Passwort setzen. Unter "advanced" "Local ID Tyoe" IP4 auswählen im Conten 0.0.0.0 eingeben und Peer ID Type auf Any stellen.
    3. "Phase 1 Settings" "Sa Live Time" auf86400 setzen und bei "Negotian Mode" auf Main einstellen. Im "advanced Settings" Mode unter "Proposal" die richtigen Encription Protokolle hinzufügen. Je nach Client aber meistens 3DES - SHA1, 3DES MD5, DES SHA1. Unter "Keygroup" DH2 auswählen und Hacken setzen bei "Nat Traversal" und "Dead Peer Protection (DPD)". X-Auth bleibt leer und ist nicht ausgewählt
  4. VPN Connection
    1. "Use Policy Route to control dynamic IPSec rules" kein Hacken. Nur hacken setzen bei "Ignore 'Don't Fragment' setting in "IPv4 Header".
    2. Neue IP4 Configuration mittels "Add" hinzufügen. Und "Show advanced Settings" klicken.
    3. Connection Name vergeben (L2TP_VPN).
    4. Unter "advanced" nur Punkt setzen bei Auto.
    5. Den "VPN Gateway" auf "Remote Access (Server Role" stellen.
    6. Policy unter "Local policy die WANIP1 auswählen".
    7. Mode Config bleibt leer.
    8. Phase 2 Settings" "SA Live Time" auf 86400 und unter Advanced "Active Protocol" "ESP" auswählen. "Encapsulation auf Transport stellen. "Proposal" die richtigen Encription Protokolle hinzufügen. Je nach Client aber meistens 3DES - SHA1, 3DES MD5, DES SHA1. "Perfect Forward Secrecy (PFS)" auf "none".
    9. Realeted Settings aud "IPSec_VPN" stellen.
    10. Unter Advanced alles leer lassen.Auch "Destination" bleibt leer.
  5. L2TP_VPN
    1. Enaple L2TP Over IPSec
    2. Bei "VPN Connection" unsere Connection auswählen, also "L2TP_VPN.
    3. Bei "IP_Address Pool" den Addresspool, den wir unter Punkt 1: den Objects unter "Adress/Geo IP" erstellt haben, auswählen".
    4. Bei "Allowed User" den User auswählen den wir unter Punkt 2: erstellet haben, also L2TP_User".
    5. "Keep alive Time" auf 60.
    6. Beide DNS auf "Custom defined" stellen, hier die Interne IP der Zwall angeben, beim Second DNS einen öffentlichen DNS angeben, zum Beispiel der von Google.
  6. Policy Einstellungen Regel 1
    1. Unter "Security" "Policey Control" mit "Add" eine neue Regel erstellen.
    2. Hier aktivieren wir die Regel mit dem Hacken und geben den "Name" IPSec_VPN_LAN" ein.
    3. "From" wählen wir unsere VPN, die wir "IPSec_VPN" genannt haben.
    4. "To" muss auf "any (Exluding ZyWall)" eingestellt werden.
    5. "Source", "Destination", "Service" und "User" stellen wir auf "any". Den "Schedule" auf "none" und die "Action" auf "allow". Den letzten Eintrag, "Log matched traffic" bekommt noch das "no".
    6. Im "UTM Profil" wird alles auf "" gestellt.
  7. Policy Einstellungen Regel 2
    1. Unter "Security" "Policey Control" mit "Add" eine neue Regel erstellen.
    2. Hier aktivieren wir die Regel mit dem Hacken und geben den "Name" IPSec_VPN" ein.
    3. "From" wählen wir unsere VPN, die wir "IPSec_VPN" genannt haben.
    4. "To" muss auf "ZyWall" eingestellt werden.
    5. "Source", "Destination", "Service" und "User" stellen wir auf "any". Den "Schedule" auf "none" und die "Action" auf "allow". Den letzten Eintrag, "Log matched traffic" bekommt noch das "no".
    6. Im "UTM Profil" wird alles auf "" gestellt.
  8. Verbindungsaufbau
    1. Der Verbindungsaufbau sollte nun mit dieser Konfiguaration keine Probleme darstellen
    2. In dem Client muss auf "pre Shared Key" gesetzt werden mit dem Passwort das wir vergeben haben.
    3. DerAnmeldenamen ist in unserem Beispiel "L2TP-User mit dem vergebenen Passwort.
    4. Selstverständlich muss de öffentliche IP die im Wan Interface hinterlegt ist angegeben werden.
pctechnik.ch Herisau CMS und Ecommerce
Ohne Cookies würden die wenigsten Websites funktionieren. Auch diese Website verwendet Cookies. Was Cookies sind, können Sie unter - Weitere Informationen - nachlesen. Durch das Akzeptieren erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen