Настройка L2TP на ZyWALL USG PDF Печать E-mail
Рейтинг пользователей: / 2
ХудшийЛучший 
Сетевые устройства - Маршрутизаторы и концентраторы
Автор: dreamw   
07.02.2012 23:27

Настройка L2TP over IPSEC VPN на  устройствах ZyWALL USG 100 и выше. Описанная методика позволяет подключаться к устройству с компьютеров, использующих OС Windows7 или Windows XP.

К сожалению, возможность обычного клиентского подключения (L2TP) к устройствам серии USG начинается только с USG 100. В устройствах младших моделей придется довольствоваться SSL VPN.

 Для корректной настройки IPSEC VPN нужно использовать ключи шифрования с большей длинной, чем разрешено для использования в официальных органах России. Поэтому, если такой вариант Вам не подходит, Вы можете пропустить эту статью.

 

Итак, если Вы прошивали свое устройство прошивкой с zyxel.ru, у Вас отключены необходимые режимы шифрования. Для их включения нужно зайти в консоль устройства (проще всего с помощью com-кабеля) и выполнить следующие команды: 

Router> configure terminal

Router(config)# crypto algorithm-hide disable

% The setting has been changed. You should reboot device to apply setting.

Router(config)# write

Router(config)# reboot

по материалам статьи Базы Знаний

Теперь мы имеем готовый для настройки шлюз.

Приступаем к настройке.

 Небольшое отступление: я не рекомендую использовать существующие объекты настроек, лучше использовать вновь созданные объекты.

 

 

Создаем шлюз (у меня он называется l2tp):

В качестве интерфейса выбираем тот, на котором у нас доступный извне ip-адрес.
Pre-shared key — ключ для установки туннеля, не менее 8 символов.

Остальное как на скриншоте.

После этого идем в VPN-соединения и не забываем снять галочку с

Use Policy Route to control dynamic IPSec rules

и, если возникают проблемы с обрывами соединения, поставить галочку тут:

Ignore "Don't Fragment" setting in IP header

Теперь создаем vpn-подключение (connect_l2tp):

Local Policy — объект адреса интерфейса (host-interface ip), отражающий внешний адрес шлюза, на который мы будем подключаться.

Не забываем, что для того, чтобы настроить параметры Phase 2Phase 1 в gateway), нужно нажать Show Advanced Settings вверху окна.

Теперь настраиваем непосредственно L2TP доступ:

Предварительно: Create new Object - Address и создаем диапазон (Address Type - Range) выдаваемых vpn-пользователям адресов.
Выбираем предварительно созданное vpn-соединение.
Создаем vpn-пользователя или используем имеющийся аккаунт.

Теперь настраиваем собственно то, ради чего нам нужен был vpn-доступ — доступ во внутреннюю сеть ну и, заодно, в интернет:

Здесь, под номером 5 идет разрешение доступа в интернет.

Потом, под номером 4 и 3 разрешается доступ из диапазонов l2tp-соединения в адреса сетей соответствующих VLAN-груп. В Вашем случае VLAN-интерфейсы могут быть заменены на, к примеру, LAN1 интерфейс и адреса назначения на lan1_subnet соответственно.

    
Обратите внимание на очередность построения policy route. 

 Если, к примеру, передвинуть 5 маршрут на 2-ю позицию, пропадет доступ в локальную сеть. Но в интернет ходить будет.

На этом настройка устройства закончена. Настройка клиента достаточно подробна описана в статье Базы Знаний Zyxell:
Пример создания подключения L2TP

В случае возникновения каких-либо проблем с настройкой подключения на устройстве, не забывайте смотреть логи, фильтруя записи по ключу IKE.
Обновлено ( 22.02.2012 09:56 )