USG FLEX H 系列防火牆:DDNS 與 IKEv2 VPN 遠端存取完整教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 202  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 七月 2024 防火牆 常見問題

前言

若希望從外網連回內部存取資料,使用者需要與防火牆建立 VPN 通道,才能透過此通道存取內網資料。防火牆通常需要固定外網 IP 以便外部用戶建立 VPN。但有時候,客戶可能無法申請固定 IP,此時可以參考本教學,使用 DDNS 將浮動 IP 與固定域名綁定。這樣即使外網 IP 變更,外部使用者依然能成功與防火牆建立 VPN,並且順利存取內部資料。

image.png

什麼是 DDNS?

DDNS(動態域名系統)是一種技術,用於將動態變化的 IP 地址與固定域名綁定,適合使用動態 IP 地址(如家庭或小型辦公室網路)的用戶。以下是DDNS的簡單介紹:

  1. 工作原理
    • DDNS服務會不斷監測你的IP地址變化。
    • 當IP地址發生變化時,DDNS客戶端會自動將新的IP地址通知DDNS服務器。
    • DDNS服務器會更新其DNS記錄,將域名映射到新的IP地址。
  2. 主要優點
    • 方便遠程訪問:即使IP地址頻繁變化,使用者仍然可以通過固定的域名訪問內部網絡資源。
    • 簡化設置:無需手動更新IP地址,DDNS會自動處理IP變化。
  3. 常見應用
    • 遠程控制和管理:透過固定域名遠程登錄到家庭或辦公室的電腦、伺服器或攝像頭。
    • 建立VPN:外部用戶可以使用固定域名建立VPN連接,從而訪問內部網絡。
    • 運行自有服務:例如自建的網站、FTP伺服器等。

透過DDNS,即使你的外網IP地址經常變化,你也能通過固定的域名穩定地訪問你的內部資源,這為遠程管理和訪問提供了極大的便利。

設定教學

我們將透過以下步驟向您說如何正確配置 USG FLEX H 系列防火牆,讓用戶能透過 DDNS 遠端存取 IKEv2 VPN。

防火牆支援以下 DDNS 類型,本篇文章使用 No IP 作為設定範例。

備註 : 以下設定截圖畫面使用 USG FLEX H 1.20 Patch 1 版本。

image.png

步驟1 - 新建 No IP 帳號

前往 https://www.noip.com/login 官網網站,建立個人帳號,若您已有帳號,請直接登入。

image.png

步驟2 - 建立 DDNS

前往 【Dynamic DNS > No-IP Hostnames > Create Hostname】,自定義您的網域名稱

image.png

步驟3 - 產生 DDNS 帳號密碼

為此網域名稱產生一個帳號密碼,透過此帳號密碼才能更新網域名稱對應的 IP。

image.png

請紀錄產生的帳號密碼,後續步驟將設定於防火牆。

image.png

步驟4 - 登入防火牆,設定 DDNS

前往 【系統 > DNS 與 DDNS > DDNS】,將前幾個步驟設定好的 DDNS 參數套用到防火牆。

image.png

步驟5 - 檢查 DDNS 狀態

設定完成後,請確認狀態是否顯示 Success,並且網域名稱IP 位址都是正確的。

image.png

步驟6 - 啟用用戶遠端存取 VPN

啟用 VPN,並將接收介面改為網域名稱/IP,並輸入 DDNS 設定的網域名稱

image.png

步驟7 - 依據系統下載 VPN 設定檔

請依照您的系統下載所需的 VPN 設定檔,若您仍不熟悉用戶端 VPN 設定,請參考後續章節 - 使用者 IKEV2 設定教學

image.png

步驟8 - 建立 VPN 用戶帳號密碼

請注意!User 使用者類型才能登入 VPN。

image.png

步驟9 - 定期啟用 No IP

若您使用免費 DDNS,每 30 天 No IP 會寄送確認信件到您註冊的信箱,請記得前往點擊 Confirm Hostname,預期該網域名稱將消失,此時需要重新建立 DDNS,重新設定。

image.png

使用者 IKEV2 設定教學

以下為 Windows、IOS、Android IKEv2 設定教學,請依照您的系統選擇操作教學。

Windows 使用者 IKEv2 連線:

1. 將下載的檔案解壓縮(一定要解壓縮)

進入 IPSec_IKEv2 資料夾,雙擊 RemoteAccess_Windows_IPSec_IKEv2.bat 檔案,即開始自動設定 VPN

image.png

2. 透過防火牆下載的批次檔,自動設定VPN連線完成

點選其他資訊,仍要執行

image.png

安裝完成,點選任意鍵結束頁面。

image.png

3. 點擊VPN連線,輸入VPN用戶的帳號密碼,即可成功建立VPN通道

image.png

4. 測試電腦可以 PING 到內部設備

il10ue1gp28c.png

iOS/MacOS 用戶設定方式:

1. 將防火牆產生的設定檔匯入手機

透過Email或檔案傳輸或雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

image.png

2. 前往【設定 > 已下載描述檔】,開始安裝VPN描述檔。

image.png

3.輸入VPN用戶帳號、密碼,安裝完成

image.png

4. 選擇安裝完成的 VPN 連線,開啟完成 VPN 連線。

image.png

PING 驗證 VPN 連線正常

ctvvvrnlocxr.png

Android 安卓系統操作步驟:

1. 將防火牆產生的設定檔匯入手機

設定檔透過 Email 、檔案傳輸、雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

image.png

2. 將 VPN 設定檔匯入 strongSwan

image.png

3. 輸入VPN用戶帳號密碼後,請再點擊右上角【匯入】按鈕

連線要求請點選【確定

注意 : 請勿在防火牆底下測試,否則將無法連線成功。

image.png

4. 請點擊【確定】【允許】停止最佳化電池用量,以確保VPN連線正常。

image.png

5. 檢查連線狀態,確認 VPN 連線成功

VPN 連線成功時,畫面頂端會顯示🗝。

image.png

6. 測試手機可以成功連線內部設備

  1. 直接開啟所需公司内部網址確認是否能成功使用。
  2. 以其他測試APP(PING),測試手機是否可以成功連線內部設備。
xjektivaqg5b.png

7. 中斷 VPN 連線

若不需要使用 VPN 連線,可以手動點選中斷連線

如下圖,通知欄下拉,點選 【^】可以直接結束連線。
或進入 strongSwan 也可以點選結束連線。

image.png

疑難排除

問題1 - DDNS 密碼遺失怎麼辦?

前往 【Dynamic DNS > No-IP Hostnames】,選擇建立的 DDNS,點選 Modifiy DDNS Key > New Key,即可重新產生新的帳號密碼。

image.png

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)