USG FLEX/ ATP 系列防火牆 遠端存取 IKEV2 VPN 設定教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 197  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 10月 18 日 防火牆 常見問題

功能說明

USG FLEX/ ATP 系列防火牆在 5.20 版本支援遠端存取 IKEV2 VPN 設定精靈,讓遠端使用者可以快速設定 VPN 存取公司內部資料。

本文向各位展示遠端存取 IKEV2 VPN 設定精靈操作步驟以及終端使用者 VPN 設定操作步驟 

於 ATP/USG FLEX 防火牆設定 VPN

1.登入 USG-FLEX/ATP 的網頁管理介面,點擊“快速設置”,選擇“Remote Access VPN Setup”進入VPN設定精靈模式。

2.選擇Zyxel VPN Client (SecuExtender IPSec).

3.設定 VPN 認證參數

  1. 選擇 VPN 連接的 WAN 介面
  2. 設定 VPN 憑證 (建議選擇Auto即可)
  3. 選擇完整通道模式,並啟用允許客戶 VPN 流量連接外網。

4.設定要分配給 VPN 使用者的 IP 網段

預設值防火牆會自動選擇防火牆未使用的網段。

IP 位址會從 192.168.50.1 開始分配。

如果防火牆已經有介面使用 192.168.50.1/24 網段,防火牆會自動改為192.168.51.1/24。

警告 : 若網段衝突,會造成 VPN 使用者連線異常,因此強烈建議選擇 Auto 。

5.新增允許連接 VPN 的使用者帳號

不在成員的使用者,將無法認證成功,連上 VPN。

6. 下載VPN自動設定檔

完成設定精靈中的所有步驟後,點擊左側 Non-SecuExtender VPN Client

依據設備操作系統,選擇下載安裝腳本。

——————————————————————————————————————————————————————————

用戶端 VPN 名稱修改

預設情況下,VPN 設定檔會顯示為 RemoteAccess_xxxx。如果使用者有多個 VPN 連線設定,可能會難以辨識。因此,以下將說明如何在各系統上更改 VPN 設定檔的名稱,讓使用者在安裝後能夠明確知道該 VPN 的連接對象。

以下皆使用 Windows 內建記事本即可進行文字編輯 :

點選【開始 > 搜尋記事本 > 檔案 > 開啟 > 檔案類型選擇所有檔案】,即可編輯 VPN 安裝檔。

  • Windows

請先解壓縮檔案,然後前往解壓縮後的資料夾,並開啟副檔名為「.bat」的檔案。

只需修改文字檔中的 name 參數(名稱請填寫在引號內 " ")。

請注意! Windows 安裝檔僅支援英文與數字,請勿輸入其他符號。

  • Android StronSwan

副檔名為 .sswan 的檔案是 Android StrongSwan VPN 的安裝檔,請開啟並進行編輯。

只需修改文字檔中的 name 參數(名稱請填寫在引號內 " ")。

  • IOS

副檔名為 .mobileconfig 的檔案是 iOS 系統的 VPN 安裝檔,請開啟並進行編輯。

只需在文字檔中,修改下圖紅框內的參數(請在 <string></string> 標籤之間填寫 VPN 名稱)。

——————————————————————————————————————————————————————————

使用者 IKEV2 設定教學

以下為 Windows、IOS、Andorid IKEv2 設定教學,請依照您的系統選擇操作教學。

Windows 使用者 IKEv2 連線:

1. 將下載的檔案解壓縮(一定要解壓縮)

進入 IPSec_IKEv2 資料夾,雙擊 RemoteAccess_Windows_IPSec_IKEv2.bat 檔案,即開始自動設定VPN

2. 透過防火牆下載的批次檔,自動設定VPN連線完成

點選其他資訊,仍要執行

安裝完成,點選任意鍵結束頁面。

3. 點擊VPN連線,輸入VPN用戶的帳號密碼,即可成功建立VPN通道

4. 測試電腦可以 PING 到內部設備

iOS/MacOS 用戶設定方式:

1. 將防火牆產生的設定檔匯入手機

透過Email或檔案傳輸或雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

2. 前往【設定 > 已下載描述檔】,開始安裝VPN描述檔。

3.輸入VPN用戶帳號、密碼,安裝完成

4. 選擇安裝完成的 VPN 連線,開啟完成 VPN 連線。

PING 驗證 VPN 連線正常

Android 安卓系統操作步驟:

1. 將防火牆產生的設定檔匯入手機

設定檔透過 Email 、檔案傳輸、雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

2. 將 VPN 設定檔匯入 strongSwan

3. 輸入VPN用戶帳號密碼後,請再點擊右上角【匯入】按鈕

連線要求請點選【確定

注意 : 請勿在防火牆底下測試,否則將無法連線成功。

4. 請點擊【確定】【允許】停止最佳化電池用量,以確保VPN連線正常。

5. 檢查連線狀態,確認 VPN 連線成功

VPN 連線成功時,畫面頂端會顯示🗝。

6. 測試手機可以成功連線內部設備

  1. 直接開啟所需公司内部網址確認是否能成功使用。
  2. 以其他測試APP(PING),測試手機是否可以成功連線內部設備。

7. 中斷 VPN 連線

若不需要使用 VPN 連線,可以手動點選中斷連線

如下圖,通知欄下拉,點選 【^】可以直接結束連線。
或進入 strongSwan 也可以點選結束連線。

疑難雜症

問題1 : 連上 IKEv2 的使用者無法上網

防火牆對於 IKEv2 用戶預設值會從 WAN 區域的介面出外網,並啟用 SNAT。

若您防火牆外網的介面有自訂 WAN 區域,導致預設值 WAN 區域裡面沒有正確外網介面,則會出現無法上網問題。

解決辦法

遇到此問題,只要手動新增策略路由,即可讓 IKEV2 用戶成功連上網路。

內送選擇 "Tunnel",選取成員 "RemoteAccess_Wiz"

下一個躍點選擇正確的外網介面,範例為 ge1

來源位址轉譯保持預設值 "Outgoing interface"