Zyxel Nebula VPN за отдалечен достъп - Как да конфигурирате IKEv2 IPsec VPN за отдалечен достъп

Тази статия ще ви помогне да разберете какво можете да правите с IKEv2 VPN в Nebula. В нея се обяснява как да настроите IKEv2, да създадете потребители на Nebula Cloud за VPN достъп и да конфигурирате клиента SecuExtender.

Ограничения на IKEv2

Понастоящем Nebula не поддържа официално използването:

• IKEv2 с предварително споделен ключ

Конфигуриране на IKEv2 в Nebula

• Активиране на "IPsec VPN сървър"

Go to  Site-wide -> Configure -> Firewall -> Remote access VPN

• Активиране на "IPsec VPN сървър"
• Въведете клиентската VPN подмрежа (това е подмрежата, която ще получат VPN клиентите, и НЕ МОЖЕ да се припокрива с никоя друга подмрежа във вашата организация Nebula, нито с отдалечени VPN подмрежи (трябва да бъде записана като xx.xx.xx.xx/xx "напр. 192.168.50.0/24")
• Изберете версия на IKEv2
• Ако е необходимо, посочете сървърите за имена (DNS сървъри) за VPN клиентите. Ако използвате вътрешни DHCP/DNS сървъри, посочете вътрешния DNS сървър и използвайте Google DNS (8.8.8.8) като втори запис за сървър за имена. Тази настройка помага да се предотвратят всякакви потенциални проблеми с DNS и комуникацията с VPN клиентите.
• Nebula Удостоверяване в облак - използваме в нашия пример. Норазполагате с опции за удостоверяване. Можете да изберете Nebula Cloud Authentication, собствен Active Directory или RADIUS сървър, или дори да използвате двуфакторно удостоверяване чрез приложението Google Authenticator. То може да бъде настроено, като включите функцията "двуфакторно удостоверяване с Captive Portal". Когато потребителят се свърже с VPN, той ще бъде насочен да влезе в системата с помощта на Google Authenticator. Те могат също така да се регистрират за двуфакторно удостоверяване чрез имейл, който включва данните им за вход.
• SecuExtender IKEv2 VPN configuration provision (Предоставяне на конфигурация на SecuExtender IKEv2 VPN) - Изберете имейла(ите), който(които) искате да използвате за изпращане на файла с конфигурацията на VPN за SecuExtender IKEv2 VPN (тук можете да добавяте и премахвате имейли, което не влиза в сила, докато не натиснете "Запази").
• Натиснете "Запази"

• Следващата стъпка е да промените "Политиката", за да направите това, щракнете върху "По подразбиране" и конфигурирайте настройките на Фаза 1 и Фаза 2, както е посочено по-долу (не забравяйте да запазите настройките, като щракнете върху бутона "Запази"):

Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

• След като промените "Политики", не забравяйте да запазите промените, като щракнете върху бутона "Запази".

Забележка: MacOS може да изисква по-високо ниво на криптиране и удостоверяване, където AES256 и SHA256 работят чудесно според нашия опит

Създаване на Nebula Потребители на облака

Organization-wide -> Organization-wide manage -> Cloud authentication

• Щракнете върху "Добавяне" на нов VPN потребител
• Попълнете "Имейл", който може да се използва за изпращане на идентификационните данни, а също и за влизане в системата (ако е избрано).
• Попълнете "Потребителско име" и "Парола
• VPN Access (Достъп до VPN) - трябва да бъде активиран, за да може VPN потребителят да получи достъп до VPN и да се удостовери успешно с потребителските данни
• Authorized (Оторизиран) - изберете до кои сайтове искате да разрешите достъп
• Login by (Вход чрез) - изберете дали потребителят може да влезе във VPN / 802.1x с потребителско име, имейл адрес или като използва някое от тях
• Двуфакторно удостоверяване. -поставете отметка в квадратчето, ако НЕ искате двуфакторна автентификация да бъде зададена за този потребител
• Email to user (Изпращане на имейл до потребителя) - изберете, ако искате да изпратите идентификационните данни на потребителя по имейл
• Забележка: всеки път, когато натиснете "Save" (или "Create user) след промените, потребителят ще получи имейл. Така че, ако промените настройките за този потребител, може да искате да махнете отметката от квадратчето, докато не приключите с конфигурирането на потребителя

Допълнителни настройки, за които е интересно да знаете:

• Динамичен личен предварително споделен ключ (функция на професионалния пакет ) е динамично управление на пароли за WiFi (не за VPN), което може да направи потребителите и мрежата ви по-сигурни. Тя създава уникална парола за всеки потребител, така че потребителят да може да бъде изолиран по-лесно, ако бъде хакнат.
• 802.1X - За удостоверяване на мрежата (не VPN), това може да направи така, че потребителите да се удостоверяват при използване на мрежата с 802.1x, като използват Nebula Облачно удостоверяване.
• VLAN assignment (Присвояване на VLAN ) - Присвояването на VLAN е функция от пакета Professional Pack, която конфигурира статична VLAN на потребителя, когато той влиза в мрежата.

Конфигуриране на клиента SecuExtender

• Изпращане на .tgb-файла (VPN конфигурация) по имейл

Site-wide -Configure Firewall -> Remote access VPN

• Изпратете VPN конфигурацията на електронната си поща, като добавите своята електронна поща (или имейлите на потребителите) и след това натиснете бутона "Add new" (Добави нова), ако тя не присъства. След това кликнете върху "Изпрати имейл" и проверете електронната си поща (и папката за спам)

• Инсталирайте .tgb-файла в SecuExtender

• Ако не можете да покажете изскачащия прозорец, моля, отворете SecuExtender на работния плот, така че да видите SecuExtender IPsec VPN клиента (прозореца, показан на снимката по-долу), и след това отворете отново .tgb-файла от имейла

• Проверка на връзката

След като импортирате конфигурацията в VPN клиента, моля, щракнете два пъти върху "RemoteAccessVPN", след което въведете "Login" и "Password" и щракнете върху "OK"

• Ако срещнете някакви проблеми, моля, проверете два пъти настройките на фаза 1 и фаза 2 в SecuExtender и се уверете, че имате същото криптиране и удостоверяване на Nebula IKEv2 VPN настройките

• Деактивиране на разделянето на тунелите

Ако имате проблеми с целия трафик, преминаващ през VPN тунела (както интернет, така и VPN трафик), моля, разгледайте тази статия:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

• Проверка на VPN връзката

След като VPN връзката е установена, можете да я проверите, като отворите прозорец с команден ред (или PowerShell) и издадете следните команди.

• ipconfig

Тази команда ще предостави IP адреса за VPN интерфейса.

• ping [отдалечен_адрес]

Тази команда ще ви позволи да извършите ping тест към устройство, разположено в LAN мрежата на шлюза NebulaCC.

• На NCC вече трябва да можете да видите логове, които показват, че VPN мрежата работи правилно. На долната екранна снимка можете да видите, че заявките за главен режим са достигнали до USG, Фаза 1 може да бъде успешно установена и XAuth в контролния център Nebula работи добре.