USG FLEX/ ATP 系列防火牆 遠端存取 IKEV2 VPN 設定教學
Zyxel Employee
功能說明
USG FLEX/ ATP 系列防火牆在 5.20 版本支援遠端存取 IKEV2 VPN 設定精靈,讓遠端使用者可以快速設定 VPN 存取公司內部資料。
本文向各位展示遠端存取 IKEV2 VPN 設定精靈操作步驟以及終端使用者 VPN 設定操作步驟
於 ATP/USG FLEX 防火牆設定 VPN
1.登入 USG-FLEX/ATP 的網頁管理介面,點擊“快速設置”,選擇“Remote Access VPN Setup”進入VPN設定精靈模式。
2.選擇Zyxel VPN Client (SecuExtender IPSec).
3.設定 VPN 認證參數
(1)選擇 VPN 連接的 WAN 介面
(2)設定 VPN 憑證 (建議選擇Auto即可)
(3)選擇完整通道模式,並啟用允許客戶 VPN 流量連接外網。
4.設定要分配給 VPN 使用者的 IP 網段
預設值防火牆會自動選擇防火牆未使用的網段。
IP 位址會從 192.168.50.1 開始分配。
如果防火牆已經有介面使用 192.168.50.1/24 網段,防火牆會自動改為192.168.51.1/24。
警告 : 若網段衝突,會造成 VPN 使用者連線異常,因此強烈建議選擇 Auto 。
5.新增允許連接 VPN 的使用者帳號
不在成員的使用者,將無法認證成功,連上 VPN。
6. 完成設定精靈中的所有步驟後,單擊左側 Non-SecuExtender VPN Client ,依據設備操作系統,選擇下載安裝腳本。
連線測試
Windows 使用者 IKEv2 連線:
1. 將下載的檔案解壓縮後,雙擊RemoteAccess_Win_16.bat檔案,即開始自動設定VPN
2. 透過防火牆下載的批次檔,自動設定VPN連線完成
3. 點即連線,輸入VPN用戶的帳號密碼即可成功建立VPN通道
4. 測試電腦可以 PING 到內部設備
iOS/MacOS 用戶設定方式:
1.將防火牆產生的 Script 檔案透過Email或檔案傳輸的方式傳送到手機
2.Settings->Profile Downloaded
3.點擊右上角進行 VPN 自動供裝
4.輸入 VPN 用戶帳號
5.輸入 VPN 用戶密碼
6.設定完成,點擊連線即可完成 VPN 通道建立
For Android:
1.於 Google Play 下載 strongSwan APP
2.將防火牆產生的 Script 檔案透過Email或檔案傳輸的方式傳送到手機
3.將 Script 檔案匯入 strongSwan ,並輸入VPN用戶帳號密碼
點選 "直立3個點" 的圖示匯入 VPN 設定檔
匯入精靈模式產生的 VPN Script 檔案
輸入 VPN 帳號密碼
4.載入完成後,點擊即可連線成功
5. 測試手機可以成功 PING 到防火牆內部設備
疑難雜症
問題1 : 連上 IKEv2 的使用者無法上網
防火牆對於 IKEv2 用戶預設值會從 WAN 區域的介面出外網,並啟用 SNAT。
若您防火牆外網的介面有自訂 WAN 區域,導致預設值 WAN 區域裡面沒有正確外網介面,則會出現無法上網問題。
解決辦法
遇到此問題,只要手動新增策略路由,即可讓 IKEV2 用戶成功連上網路。
內送選擇 "Tunnel",選取成員 "RemoteAccess_Wiz"
下一個躍點選擇正確的外網介面,範例為 ge1
來源位址轉譯保持預設值 "Outgoing interface"
