Nebula ATP/USG FLEX 系列防火牆 遠端存取 IKEV2 VPN 設定教學

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 211  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
已編輯 Jul 14 日 Nebula 常見問題

新一代的安全遠端連線

隨著作業系統對安全性的要求日益提高,傳統的 L2TP VPN 因其安全限制,已逐漸被部分系統(如 macOS/iOS)停止支援。為此,Zyxel 提供了更現代、更安全的「IKEv2 VPN」作為遠端存取解決方案,讓您外出或居家的同仁,能安全地連回公司內部存取資料。

本篇教學將分為「管理者設定」與「使用者設定」兩大部分,完整引導您完成部署。

適用對象與版本

適用型號:本篇教學適用於 ATP / USG FLEX / VPN 系列防火牆。

適用版本:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本

第一部分:管理者設定 (在 Nebula 平台上)

步驟一:啟用遠端存取 VPN 服務

  1. 前往 【設定 > 防火牆 > 遠端存取 VPN】
  2. 將「用戶端 VPN 伺服器」開關啟用 image.png
  3. 檢查進階選項
    • 用戶端 VPN 子網路:確認此網段未與您任何既有的內部網段衝突。
    • 名稱伺服器:可指定 VPN 用戶端取得的 DNS 伺服器(例如:8.8.8.8)。
  4. 點擊「儲存」 image.png

步驟二:建立 VPN 使用者帳號

  1. 前往【組織 > 雲端認證 > 使用者】 image.png
  2. 點擊「+新增」並填寫以下資訊:
    • 電子郵件 / 使用者名稱:VPN 登入時的帳號。
    • 密碼:可手動輸入或由系統自動產生。
    • VPN 存取務必勾選「允許」,此帳號才能用於 VPN 登入。
  3. 點擊「建立使用者」。 image.png

步驟三:下載使用者設定檔

  1. 回到【設定 > 防火牆 > 遠端存取 VPN】頁面。
  2. 在「IKEv2 用戶端設定」區塊,點擊「下載」。
  3. 依據您的系統下載相應的安裝檔,其中包含了 Windows, iOS, Android 三種系統的設定檔。 image.png

步驟四 (選用):客製化 VPN 連線名稱

為方便使用者識別,建議在發送檔案前,先為設定檔重新命名。

  • Windows (.bat):用記事本打開,修改set Nname="..." 引號內的名稱 (僅支援英文)。 image.png
  • iOS/macOS (.mobileconfig):用記事本打開,修改 <key>UserDefinedName</key> 下方 <string>……</string> 標籤內的名稱(僅支援英文)。 image.png
  • Android (.sswan):用記事本打開,修改 name="..." 引號內的名稱。 image.png

第二部分:終端使用者設定教學

請將對應的設定檔發送給使用者,並引導他們依照自己的作業系統,參考以下步驟進行安裝。

Windows 使用者

  1. 務必先解壓縮下載的檔案。
  2. 在解壓縮後的資料夾中,找到 RemoteAccess_Windows_...**.bat** 檔案,直接雙擊開啟(請勿使用系統管理員執行)。 image.png
  3. 若出現安全性提示,請點選「其他資訊」→「仍要執行」。 image.png
  4. 安裝完成後,即可在 Windows 的 VPN 設定中找到新的連線,點擊連線並輸入帳號密碼即可。 image.png
  5. 測試電腦可以 PING 到內部設備。 image.png

iOS / macOS 使用者

  1. .mobileconfig 檔案傳送到您的 Apple 裝置上(例如透過 Email 或 雲端硬碟或 AirDrop),下圖範例透過雲端硬碟載點讓 IOS 使用者下載。
  2. 打開檔案,系統會提示您「已下載描述檔」。 image.png
  3. 前往手機的【設定 > 已下載描述檔】,點擊「安裝」。 image.png
  4. 依序輸入您的手機解鎖密碼、VPN 帳號、VPN 密碼。 image.png
  5. 安裝完成後,即可在【設定 > 一般 > VPN 與裝置管理】中,找到並啟用此 VPN 連線。 image.png
  6. 測試 VPN 連線,驗證功能正常。 image.png

Android 使用者 (需搭配 strongSwan App)

  1. 請先至 Google Play 商店下載並安裝「strongSwan VPN Client」App。
  2. .sswan 檔案傳送到您的 Android 手機上。設定檔透過 Email 、檔案傳輸、雲端硬碟的方式傳送到手機。
    下圖範例透過雲端硬碟產生載點,讓手機下載檔案。 image.png
  3. 打開 strongSwan App,點擊右上角的選單,選擇「匯入 VPN 設定檔」。
  4. 選擇您收到的 .sswan 檔案並匯入。 image.png
  5. 輸入您的 VPN 帳號密碼,即可建立連線。
  6. (提示) 為確保連線穩定,請依照 App 提示,允許其在背景運作並停止電池用量優化。
  7. 檢查連線狀態,確認 VPN 連線成功
    。VPN 連線成功時,畫面頂端會顯示🗝。 image.png
  8. 測試手機可以成功連線內部設備,直接開啟所需公司内部網址確認是否能成功使用。以其他測試APP(PING),測試手機是否可以成功連線內部設備。 image.png
  9. 若不需要使用 VPN 連線,可以手動點選中斷連線。如下圖,通知欄下拉,點選 【^】可以直接結束連線。
    或進入 strongSwan 也可以點選結束連線。 image.png