- Address Range vergeben
- Unter "Adress/Geo IP einen Addressbereich den es noch nicht gibt auswählen. Der Name "L2TP_Range" vergeben, "Address Typ" "Range" auswählen eine Startadresse verben und eine Endadresse vergeben. Zum Beispiel 192.168.199.10 bis 1912.168.199.20. Darauf achten, dass dieser Bereich nirgends sonst im Einsatz ist.
- Einen VPN User hinzufügen
- Unter Objecte "User/Group" einen neuen User mit "Add" hinzufügen.
- "User Name" zum Beispiel L2TP_User vergeben, "User Typ" den "user" auswählen, eine Passwort eingeben und "Use Default Settings" Punkt setzen.
- Gateway erstellen
- Einen Namen des Gateways vergeben (L2TP_VPN). Das richtige Interface auswählen unter "My Address". Meistens "wan1". Unter "Peer Gateway Address" Dynamic Address auswählen.
- Unter "Authentication" "Pre-Ahared Key" auswählen und ein Passwort setzen. Unter "advanced" "Local ID Tyoe" IP4 auswählen im Conten 0.0.0.0 eingeben und Peer ID Type auf Any stellen.
- "Phase 1 Settings" "Sa Live Time" auf86400 setzen und bei "Negotian Mode" auf Main einstellen. Im "advanced Settings" Mode unter "Proposal" die richtigen Encription Protokolle hinzufügen. Je nach Client aber meistens 3DES - SHA1, 3DES MD5, DES SHA1. Unter "Keygroup" DH2 auswählen und Hacken setzen bei "Nat Traversal" und "Dead Peer Protection (DPD)". X-Auth bleibt leer und ist nicht ausgewählt
- VPN Connection
- "Use Policy Route to control dynamic IPSec rules" kein Hacken. Nur hacken setzen bei "Ignore 'Don't Fragment' setting in "IPv4 Header".
- Neue IP4 Configuration mittels "Add" hinzufügen. Und "Show advanced Settings" klicken.
- Connection Name vergeben (L2TP_VPN).
- Unter "advanced" nur Punkt setzen bei Auto.
- Den "VPN Gateway" auf "Remote Access (Server Role" stellen.
- Policy unter "Local policy die WANIP1 auswählen".
- Mode Config bleibt leer.
- Phase 2 Settings" "SA Live Time" auf 86400 und unter Advanced "Active Protocol" "ESP" auswählen. "Encapsulation auf Transport stellen. "Proposal" die richtigen Encription Protokolle hinzufügen. Je nach Client aber meistens 3DES - SHA1, 3DES MD5, DES SHA1. "Perfect Forward Secrecy (PFS)" auf "none".
- Realeted Settings aud "IPSec_VPN" stellen.
- Unter Advanced alles leer lassen.Auch "Destination" bleibt leer.
- L2TP_VPN
- Enaple L2TP Over IPSec
- Bei "VPN Connection" unsere Connection auswählen, also "L2TP_VPN.
- Bei "IP_Address Pool" den Addresspool, den wir unter Punkt 1: den Objects unter "Adress/Geo IP" erstellt haben, auswählen".
- Bei "Allowed User" den User auswählen den wir unter Punkt 2: erstellet haben, also L2TP_User".
- "Keep alive Time" auf 60.
- Beide DNS auf "Custom defined" stellen, hier die Interne IP der Zwall angeben, beim Second DNS einen öffentlichen DNS angeben, zum Beispiel der von Google.
- Policy Einstellungen Regel 1
- Unter "Security" "Policey Control" mit "Add" eine neue Regel erstellen.
- Hier aktivieren wir die Regel mit dem Hacken und geben den "Name" IPSec_VPN_LAN" ein.
- "From" wählen wir unsere VPN, die wir "IPSec_VPN" genannt haben.
- "To" muss auf "any (Exluding ZyWall)" eingestellt werden.
- "Source", "Destination", "Service" und "User" stellen wir auf "any". Den "Schedule" auf "none" und die "Action" auf "allow". Den letzten Eintrag, "Log matched traffic" bekommt noch das "no".
- Im "UTM Profil" wird alles auf "" gestellt.
- Policy Einstellungen Regel 2
- Unter "Security" "Policey Control" mit "Add" eine neue Regel erstellen.
- Hier aktivieren wir die Regel mit dem Hacken und geben den "Name" IPSec_VPN" ein.
- "From" wählen wir unsere VPN, die wir "IPSec_VPN" genannt haben.
- "To" muss auf "ZyWall" eingestellt werden.
- "Source", "Destination", "Service" und "User" stellen wir auf "any". Den "Schedule" auf "none" und die "Action" auf "allow". Den letzten Eintrag, "Log matched traffic" bekommt noch das "no".
- Im "UTM Profil" wird alles auf "" gestellt.
- Verbindungsaufbau
- Der Verbindungsaufbau sollte nun mit dieser Konfiguaration keine Probleme darstellen
- In dem Client muss auf "pre Shared Key" gesetzt werden mit dem Passwort das wir vergeben haben.
- DerAnmeldenamen ist in unserem Beispiel "L2TP-User mit dem vergebenen Passwort.
- Selstverständlich muss de öffentliche IP die im Wan Interface hinterlegt ist angegeben werden.
