USG FLEX H 系列防火牆:DDNS 與 IKEv2 VPN 遠端存取完整教學

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 165  Zyxel Employee
First Answer First Comment Friend Collector Fifth Anniversary
已編輯 7月 12 日 防火牆 常見問題

前言

若希望從外網連回內部存取資料,使用者需要與防火牆建立 VPN 通道,才能透過此通道存取內網資料。防火牆通常需要固定外網 IP 以便外部用戶建立 VPN。但有時候,客戶可能無法申請固定 IP,此時可以參考本教學,使用 DDNS 將浮動 IP 與固定域名綁定。這樣即使外網 IP 變更,外部使用者依然能成功與防火牆建立 VPN,並且順利存取內部資料。

image.png

什麼是 DDNS?

DDNS(動態域名系統)是一種技術,用於將動態變化的 IP 地址與固定域名綁定,適合使用動態 IP 地址(如家庭或小型辦公室網路)的用戶。以下是DDNS的簡單介紹:

  1. 工作原理
    • DDNS服務會不斷監測你的IP地址變化。
    • 當IP地址發生變化時,DDNS客戶端會自動將新的IP地址通知DDNS服務器。
    • DDNS服務器會更新其DNS記錄,將域名映射到新的IP地址。
  2. 主要優點
    • 方便遠程訪問:即使IP地址頻繁變化,使用者仍然可以通過固定的域名訪問內部網絡資源。
    • 簡化設置:無需手動更新IP地址,DDNS會自動處理IP變化。
  3. 常見應用
    • 遠程控制和管理:透過固定域名遠程登錄到家庭或辦公室的電腦、伺服器或攝像頭。
    • 建立VPN:外部用戶可以使用固定域名建立VPN連接,從而訪問內部網絡。
    • 運行自有服務:例如自建的網站、FTP伺服器等。

透過DDNS,即使你的外網IP地址經常變化,你也能通過固定的域名穩定地訪問你的內部資源,這為遠程管理和訪問提供了極大的便利。

設定教學

我們將透過以下步驟向您說如何正確配置 USG FLEX H 系列防火牆,讓用戶能透過 DDNS 遠端存取 IKEv2 VPN。

防火牆支援以下 DDNS 類型,本篇文章使用 No IP 作為設定範例。

備註 : 以下設定截圖畫面使用 USG FLEX H 1.20 Patch 1 版本。

image.png

步驟1 - 新建 No IP 帳號

前往 https://www.noip.com/login 官網網站,建立個人帳號,若您已有帳號,請直接登入。

image.png

步驟2 - 建立 DDNS

前往 【Dynamic DNS > No-IP Hostnames > Create Hostname】,自定義您的網域名稱

image.png

步驟3 - 產生 DDNS 帳號密碼

為此網域名稱產生一個帳號密碼,透過此帳號密碼才能更新網域名稱對應的 IP。

image.png

請紀錄產生的帳號密碼,後續步驟將設定於防火牆。

image.png

步驟4 - 登入防火牆,設定 DDNS

前往 【系統 > DNS 與 DDNS > DDNS】,將前幾個步驟設定好的 DDNS 參數套用到防火牆。

image.png

步驟5 - 檢查 DDNS 狀態

設定完成後,請確認狀態是否顯示 Success,並且網域名稱IP 位址都是正確的。

image.png

步驟6 - 啟用用戶遠端存取 VPN

啟用 VPN,並將接收介面改為網域名稱/IP,並輸入 DDNS 設定的網域名稱

image.png

步驟7 - 依據系統下載 VPN 設定檔

請依照您的系統下載所需的 VPN 設定檔,若您仍不熟悉用戶端 VPN 設定,請參考後續章節 - 使用者 IKEV2 設定教學

image.png

步驟8 - 建立 VPN 用戶帳號密碼

請注意!User 使用者類型才能登入 VPN。

image.png

步驟9 - 定期啟用 No IP

若您使用免費 DDNS,每 30 天 No IP 會寄送確認信件到您註冊的信箱,請記得前往點擊 Confirm Hostname,預期該網域名稱將消失,此時需要重新建立 DDNS,重新設定。

image.png

使用者 IKEV2 設定教學

以下為 Windows、IOS、Android IKEv2 設定教學,請依照您的系統選擇操作教學。

Windows 使用者 IKEv2 連線:

1. 將下載的檔案解壓縮(一定要解壓縮)

進入 IPSec_IKEv2 資料夾,雙擊 RemoteAccess_Windows_IPSec_IKEv2.bat 檔案,即開始自動設定 VPN

image.png

2. 透過防火牆下載的批次檔,自動設定VPN連線完成

點選其他資訊,仍要執行

image.png

安裝完成,點選任意鍵結束頁面。

image.png

3. 點擊VPN連線,輸入VPN用戶的帳號密碼,即可成功建立VPN通道

image.png

4. 測試電腦可以 PING 到內部設備

il10ue1gp28c.png

iOS/MacOS 用戶設定方式:

1. 將防火牆產生的設定檔匯入手機

透過Email或檔案傳輸或雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

image.png

2. 前往【設定 > 已下載描述檔】,開始安裝VPN描述檔。

image.png

3.輸入VPN用戶帳號、密碼,安裝完成

image.png

4. 選擇安裝完成的 VPN 連線,開啟完成 VPN 連線。

image.png

PING 驗證 VPN 連線正常

ctvvvrnlocxr.png

Android 安卓系統操作步驟:

1. 將防火牆產生的設定檔匯入手機

設定檔透過 Email 、檔案傳輸、雲端硬碟的方式傳送到手機。
本篇範例透過雲端硬碟產生載點,讓手機下載檔案。

image.png

2. 將 VPN 設定檔匯入 strongSwan

image.png

3. 輸入VPN用戶帳號密碼後,請再點擊右上角【匯入】按鈕

連線要求請點選【確定

注意 : 請勿在防火牆底下測試,否則將無法連線成功。

image.png

4. 請點擊【確定】【允許】停止最佳化電池用量,以確保VPN連線正常。

image.png

5. 檢查連線狀態,確認 VPN 連線成功

VPN 連線成功時,畫面頂端會顯示🗝。

image.png

6. 測試手機可以成功連線內部設備

  1. 直接開啟所需公司内部網址確認是否能成功使用。
  2. 以其他測試APP(PING),測試手機是否可以成功連線內部設備。
xjektivaqg5b.png

7. 中斷 VPN 連線

若不需要使用 VPN 連線,可以手動點選中斷連線

如下圖,通知欄下拉,點選 【^】可以直接結束連線。
或進入 strongSwan 也可以點選結束連線。

image.png

疑難排除

問題1 - DDNS 密碼遺失怎麼辦?

前往 【Dynamic DNS > No-IP Hostnames】,選擇建立的 DDNS,點選 Modifiy DDNS Key > New Key,即可重新產生新的帳號密碼。

image.png

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)