Nebula ATP/USG FLEX 系列防火牆 遠端存取 IKEV2 VPN 設定教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 197  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 10月 18 日 Nebula 常見問題

前言

以往若希望從外網連回內部存取資料,都是透過 L2TP VPN,但由於安全性等問題,部分系統已經不支援此功能,因此需要改用新功能 IKEV2 VPN。

Nebula ATP/USG FLEX 系列防火牆支援遠端存取 IKEV2 VPN 設定,讓遠端使用者可以快速設定 VPN 存取公司內部資料。

本篇文章向各位展示遠端存取 IKEV2 VPN 設定精靈操作步驟以及終端使用者 VPN 設定操作步驟

設定步驟

請依據以下設定步驟,正確配置 IKEV2 VPN

步驟1 - 開啟用戶端 VPN 伺服器

前往 設定 > 防火牆 > 遠端存取VPN

步驟2 - 檢查進階選項設定

  • 檢查用戶端VPN子網路是否與內部重疊,若重疊,請手動調整其他網段
  • 可自行調整名稱伺服器,例如:8.8.8.8、168.95.1.1

確認無誤後,點擊右下角儲存。

步驟3 - 新增 VPN 認證帳號

前往 組織 > 雲端身分驗證 > 使用者 > +新增

  • 電子郵件 : 建議設定能接收信件的信箱
  • 使用者名稱 : VPN 登入的帳號
  • 密碼 : 可自行輸入,或使用自動產生亂數密碼
  • VPN 存取 : 記得勾選允許VPN訪問,此帳號才能用於VPN登入。
  • 授權 : 可以指定帳號僅能在那些站點使用,或是所有站點。
  • 已過期 : 設定帳號有效時間
  • 登入方式 : 可以選擇帳號或信箱都能作為帳號登入
  • 發送電子郵件給使用者 : 將帳號密碼資訊發送電子郵件通知使用者

設定完成後,請點選建立使用者。

點選列印可以將此帳號資訊列印出來。

步驟4 - IKEv2 VPN 設定完成

依據您的系統下載設定腳本,將腳本放到指定系統執行,即可完成 IKEV2 VPN 設定。

各系統操作請參考下方附件。

——————————————————————————————————————————————————————————

用戶端 VPN 名稱修改

預設情況下,VPN 設定檔會顯示為 RemoteAccess_nebula_xxxx。如果使用者有多個 VPN 連線設定,可能會難以辨識。因此,以下將說明如何在各系統上更改 VPN 設定檔的名稱,讓使用者在安裝後能夠明確知道該 VPN 的連接對象。

以下皆使用 Windows 內建記事本即可進行文字編輯 :

點選【開始 > 搜尋記事本 > 檔案 > 開啟 > 檔案類型選擇所有檔案】,即可編輯 VPN 安裝檔。

  • Windows

請先解壓縮檔案,然後前往解壓縮後的資料夾,並開啟副檔名為「.bat」的檔案。

只需修改文字檔中的 name 參數(名稱請填寫在引號內 " ")。

請注意! Windows 安裝檔僅支援英文與數字,請勿輸入其他符號。

  • Android StronSwan

副檔名為 .sswan 的檔案是 Android StrongSwan VPN 的安裝檔,請開啟並進行編輯。

只需修改文字檔中的 name 參數(名稱請填寫在引號內 " ")。

  • IOS

副檔名為 .mobileconfig 的檔案是 iOS 系統的 VPN 安裝檔,請開啟並進行編輯。

只需在文字檔中,修改下圖紅框內的參數(請在 <string></string> 標籤之間填寫 VPN 名稱)。

——————————————————————————————————————————————————————————

使用者 IKEV2 設定教學

以下為 Windows、IOS、Andorid IKEv2 設定教學,請依照您的系統選擇操作教學。

Windows 使用者 IKEv2 連線:

1. 將下載的檔案解壓縮(一定要解壓縮)

進入 IPSec_IKEv2 資料夾,雙擊 RemoteAccess_Windows_IPSec_IKEv2.bat 檔案,即開始自動設定VPN

2. 透過防火牆下載的批次檔,自動設定VPN連線完成

點選其他資訊,仍要執行

安裝完成,點選任意鍵結束頁面。

3. 點擊VPN連線,輸入VPN用戶的帳號密碼,即可成功建立VPN通道

4. 測試電腦可以 PING 到內部設備

iOS/MacOS 用戶設定方式:

1. 將防火牆產生的設定檔匯入手機

透過Email或檔案傳輸或雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

2. 前往【設定 > 已下載描述檔】,開始安裝VPN描述檔。

3.輸入VPN用戶帳號、密碼,安裝完成

4. 選擇安裝完成的 VPN 連線,開啟完成 VPN 連線。

PING 驗證 VPN 連線正常

Android 安卓系統操作步驟:

1. 將防火牆產生的設定檔匯入手機

設定檔透過 Email 、檔案傳輸、雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

2. 將 VPN 設定檔匯入 strongSwan

3. 輸入VPN用戶帳號密碼後,請再點擊右上角【匯入】按鈕

連線要求請點選【確定

注意 : 請勿在防火牆底下測試,否則將無法連線成功。

4. 請點擊【確定】【允許】停止最佳化電池用量,以確保VPN連線正常。

5. 檢查連線狀態,確認 VPN 連線成功

VPN 連線成功時,畫面頂端會顯示🗝。

6. 測試手機可以成功連線內部設備

  1. 直接開啟所需公司内部網址確認是否能成功使用。
  2. 以其他測試APP(PING),測試手機是否可以成功連線內部設備。

7. 中斷 VPN 連線

若不需要使用 VPN 連線,可以手動點選中斷連線

如下圖,通知欄下拉,點選 【^】可以直接結束連線。
或進入 strongSwan 也可以點選結束連線。