L2TP over IPSec Application Topologia sieci: ZałoŜenia: Naszym zadaniem będzie taka konfiguracja Windows oweg klienta L2TP oraz urządzenia serii ZyWALL USG, by umoŝliwić zdalnemu uŝytkownikowi bezpieczny dostęp do zasobów sieci lokalnej, chronionej przez urządzenie serii USG. Cele: Konfiguracja IPSec VPN na potrzeby kanału L2TP. Konfiguracja kanału L2TP. Konfiguracja Policy Route. Konfiguracja kliena L2TP na komputerze z systemem Win2000/XP. Nawiązanie połączenia L2TP i uzyskanie dostepu z komputera zdalnego do zasobów sieci lokalnej, chronionej przez urządznie ZyWALL USG. 1/9
Konfiguracja ZyWALL USG Krok 1. Przechodzimy do menu Object > Address i tworzymy trzy obiekty na potrzeby konfiguracji połączenia VPN: L2TP_IFACE, HOST, 10.1.1.1 L2TP_HOST, HOST, 0.0.0.0 L2TP_Pool, Range, 192.168.2.1 ~ 192.168.2.10 Krok 2. Przechodzimy do menu Object > User/Group i tworzymy nowego uŝytkownika na potrzeby połączenia L2TP: UŜytkownik: L2TP_user Hasło: 1234 Typ: Local user Krok 3. Konfigurujemy domyślną regułę L2TP w menu IPSec VPN Gatway. Przechodzimy do menu VPN > IPSec VPN > VPN Gateway, i edytujemy wpis Default_L2TP_VPN_GW naciskając ikonę Edit pokazaną na poniŝszym rysunku. Upewniamy się, Ŝe jako My Address wybrany jest interfejs ge2 (WAN) oraz, Ŝe adrs IP przypisany do interfejsu WAN (ge2) jest poprawnie skonfigurowany (10.1.1.1). Sprawdzamy równieŝ pre-shared key, który powinien być równy (12345678). Zapisujemy zmiany i opuszczamy to menu naciskając przycisk OK. 2/9
Krok 4. Aktywujemy wpis Default_L2TP_VPN_GW klikając ikonę enable zaznaczoną na poniŝszym rysunku. Krok 5. Konfigurujemy domyślną regułę L2TP dla połączenia IPSec VPN. Przechodzimy do menu VPN > IPSec VPN > VPN Connection i klikamy ikonę Edit połączenia Default_L2TP_VPN_GW. Zaznaczamy opcję policy enforcement tak jak to zostało pokazane na poniŝszym rysunku i naciskamy przycisk OK. Krok 6. Aktywujemy regułę klikając ikone enable. 3/9
Krok 7. Przechodzimy do konfiguracji reguły L2TP, menu VPN > L2TP VPN i wprowadzamy zmiany zgodnie z poniŝszym przykładem. Krok 8. W tym kroku zajmiemy się konfiguracją Policy Route dla naszego połączenia L2TP. Przechodzimy do menu Network > Policy Route i wprowadzamy zmiany zgodnie z poniŝszym przykładem. 4/9
Konfiguracja komputera uŝytkownika zdalnego (system Windows 2000 lub XP). Przed przystąpieniem do konfiguracji naleŝy na komputerze uŝytkownika zdalnego pracuje usługa Microsoft IPSec. W tym celu naleŝy z wiersza poleceń systemu wydać jedną z poniŝszych komend: Dla Windows XP: net start ipsec services Dla Windows 2000: net start ipsec policy agent In Windows XP do the following to establish an L2TP VPN connection. Krok 1. Klikamy Start > Control Panel > Network Connections > New Connection Wizard. Krok 2. Następnie klikamy Next na ekranie powitalnym. Krok 3. Zaznaczamy opcję Connect to the network at my workplace i klikamy Next. Krok 4. Zaznaczamy opcję Virtual Private Network connection i klikamy Next. 5/9
Krok 5. W polu Company Name wpisujemy L2TP to ZyWALL. Krok 6. Następnie zaznaczamy opcję Do not dial the initial connection i klikamy Next. Krok 7. Podajemy nazwę domenową lub adres IP interfejsu WAN, który został skonfigurowany jako My Address w menu VPN gateway urządzenia ZyWALL USG. W naszym przykładzie adres uŝywany do połączeń L2TP VPN to 10.1.1.1. Klikamy Next. Krok 8. Klikamy Finish. 6/9
Krok 9. W nowo utworzonym połączeniu Connect L2TP to ZyWALL klikamy Properties i przechodzimy do zakłaski Security. Krok 10. W zakładce Security, zaznaczamy Advanced (custom settings) i klikamy Settings. 7/9
Krok 11. Z rozwijanej listy umieszczonej w górnej części okna wybieramy Optional encryption allowed (connect even if no encryption). Następnie wybieramy Allow these protocols i zaznaczamy opcje Unencrypted password (PAP). Pozostyałe pola typu check box naleŝy odznaczyć. Naciskamy przycisk OK. Krok 12. Naciskamy przycisk IPSec Settings. 8/9
Krok 13. Zaznaczamy pole Use pre-shared key for authentication i podajemy pre-shared key, który wymyśliliśmy na potrzeby tego ćwiczenia (12345678). Klucz musi być zgodny z tym, który został podany w konfiguracji ZyWALL a USG dla połączenia L2TP VPN. Naciskamy przycisk OK. Krok 14. Wywołujemy nasze połączenie L2TP VPN. Krok 15. Wprowadzamy nazwę uŝytkownika i hasło, parametry te muszą być zgodne z kontem utworzonym na urządzeniu ZyWALL USG. Naciskamy przycisk Connect. Krok 16. JeŜeli wszystkie czynności zostały wykonane poprawnie uŝytkownik powinien zostać zautoryzowany na urządzeniu ZyWALL USG. Krok 17. W zasobniku system tray powinna pojawić się ikona naszego połączenia (L2TP to ZyWALL). Podwujne klieknięcie w tę ikonę wywołą okienko zawierające status połączenia. Krok 18. Po kliknięciu w Details otrzymamy informacje na temat przydzielonego nam adrsu IP. Adres ten powinien być zgodny z pulą (L2TP range) zdefiniowaną na ZyWALL u USG (192.168.10.10-192.168.10.20). Krok 19. JeŜeli połączenie działa poprawnie powinniśmy mieć dostęp do serwera HTTP i FTP, który symulujemy za pomocą urządzenia ZyWALL 5. 9/9