Това ръководство ще помогне при конфигурирането на Zyxel IPSec VPN Client (версия 3.8.204.61.32) за VPN свързаност с функцията Nebula CC IPSec VPN за отдалечен достъп (C2S), използвайки Nebula Security Gateway (NSG).

Съдържание

1. Преглед
2. Поддържани устройства
3. Настройка на контролния център на Nebula
4. Настройка на VPN клиент (SecuExtender IPSEC VPN клиент)

Преглед

VPN ( Виртуална частна мрежа ) осигурява сигурна комуникация между сайтове без разходите за наети линии. VPN се използват за сигурно транспортиране на трафик през интернет на несигурна мрежа, която използва TCP/IP комуникации. VPN с отдалечен достъп (клиент към сайт) позволява на служителите, които пътуват или работят от разстояние, сигурен достъп до мрежовите ресурси на компанията. Има множество типове VPN протоколи/технологии, които могат да се използват за установяване на защитена връзка към фирмената мрежа, L2TP, PPTP, SSL, OpenVPN и т.н. Това ръководство ще се позовава на IPSec протокола за установяване на защитен VPN тунел между външни хостове ( потребители, свързани към интернет извън мрежовата структура на компанията) и шлюза NebulaCC. IPSec софтуер на трета страна е необходим за установяване на VPN връзка, тъй като настоящите операционни системи нямат вграден IPSec клиент. Това ръководство ще ви помогне да конфигурирате настройката на VPN на IPSec VPN клиента (версия 3.8.204.61.32).

Поддържани устройства

Серия NSG (50/100/200/300)
Серия USG FLEX (100/100W/200/500/700)

Настройка на Nebula CC VPN

Забележка: В Nebula Control Center има изискване да има потребителска база данни във фонов режим, към която IPSec-клиентът се удостоверява. За да работи това, ще трябва да настроим в клиента "X-Auth" и "Config Mode".

Щракнете върху новия потребителски интерфейс Nebula CC и отидете на:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Посочете клиентския VPN сървър като IPSec клиент. Ако вашият NSG/USG FLEX се намира зад NAT шлюза, ще трябва да въведете NAT traversal.

Създайте VPN клиентски акаунт за удостоверяване. Типът е Nebula Cloud Удостоверяване. Уверете се, че сте създали потребител в съответното подменю

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Настройка на Zyxel VPN клиент

Най-новата версия на Zyxel IPSec VPN клиента може да бъде изтеглена от тук След като клиентът е инсталиран, стартирайте програмата и отворете Конфигурационен панел . Кликнете върху папката "IKE V1" под VPN конфигурация , след като папката е избрана, натиснете клавишите "Ctrl + N" на клавиатурата, за да добавите правило "Ikev1Gateway". Направете следните промени в правилото:

1. Дистанционно Gateway
   
   • Интерфейс – Изберете интерфейса, който компютърът ще използва за установяване на VPN връзка. Задайте това на Всякакви дали на VPN клиента ще бъде разрешено да използва всяка налична връзка на компютъра.
   • Отдалечен Gateway – Въведете FQDN/DDNS/IP на шлюза NebulaCC, към който ще се свързвате.
2. Удостоверяване
   
   • Изберете опцията „Предварително споделен ключ“.
   • Въведете предварително споделения ключ, използван в конфигурацията NebulaCC IPSec, и „Потвърдете“ ключа.
3. X-Auth
   
   • Активиране – Това поле трябва да бъде отметнато.
   • X-Auth Popup – това квадратче трябва да бъде отметнато само ако искате да бъдете подканени за потребителско име и парола при свързване
     • Вход – Въведете потребителското име на акаунта за VPN NebulaCC. Само ако "X-Auth Popup" не е отметнато.
     • Парола – Въведете паролата за NebulaCC VPN акаунт. Само ако "X-Auth Popup" не е отметнато.
4. Криптография (примерна настройка)
   • Шифроване – Изберете AES256 от падащото меню.
   • Удостоверяване – Изберете SHA-256 от падащото меню.
   • Ключова група – Изберете DH14 (1024) от падащото меню.

От "Ikev1Gateway" щракнете върху протокол и направете следната промяна:

Активирайте Режим Конфиг опция.
Докато „Ikev1Gateway“ е маркиран, натиснете отново клавишите „Ctrl + N“ на клавиатурата, за да добавите частта „Ikev1Tunnel“ на връзката. Направете следните промени:

1. Адрес
   
   • Адрес на VPN клиент – оставете тази опция такава, каквато е. (0.0.0.0 по подразбиране)
   • Тип адрес – Изберете Подмрежов адрес от падащото меню.
   • Отдалечен LAN адрес – Въведете NebulaCC локална LAN IP схема.
   • Subnet Mask – Въведете int he NebulaCC локална LAN подмрежова маска.
2. ESP
   
   • Шифроване – Изберете AES256 от падащото меню.
   • Удостоверяване – Изберете SHA-256 от падащото меню.
   • Режим – Избор Тунел от падащото меню.
3. PFS
   
   • Оставете тази опция без отметка.
4. Живот
   
   • Продължителността на живота е времето в секунди, преди клиентът да договори отново алгоритмите.

След като направите всички настройки, щракнете върху Конфигурация опция в лентата с инструменти и изберете Запазване . Това ще запази всички промени, направени в клиента.

За да установите VPN връзка към шлюза NebulaCC, щракнете с десния бутон върху опцията „Ikev1Tunnel“ и изберете Отворен тунел или натиснете (Ctrl + O) на клавиатурата.

Проверка

След като VPN връзката е установена, можете да проверите връзката, като отворите прозорец на командния ред (или PowerShell) и издадете следните команди.

• ipconfig
  Тази команда ще предостави IP адреса за VPN интерфейса.
  
• ping [отдалечен_адрес]
  Тази команда ще ви позволи да изпълните ping тест към устройство, разположено в LAN мрежата на NebulaCC gateways.
  

В NCC вече трябва да можете да видите регистрационни файлове, които показват, че VPN работи правилно. На екранната снимка по-долу можете да видите, че заявките за основен режим са достигнали USG, Фаза 1 може да бъде успешно установена и XAuth в Nebula Control Center работи добре.