Виртуалната частна мрежа, или VPN накратко, е една от най-често използваните функции на нашите защитни шлюзове, а с Nebula можете да конфигурирате VPN на вашия USG FLEX за няколко минути!
Резюме
Тази статия ще обхване всички често срещани VPN сценарии, било то отдалечен достъп VPN или Site-to-Site VPN (включително VPN към не-Nebula устройства). За да получите достъп до опциите за конфигурация, моля, влезте в Nebula Control Center с вашите идентификационни данни на https://nebula.zyxel.com/ и навигирайте до следното меню в зависимост от типа VPN, който искате да създадете:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Съдържание
- Отдалечен достъп VPN: L2TP през IPSec
- Отдалечен достъп VPN: IPSec клиент
- Site-to-Site VPN: Nebula устройства
- Site-to-Site VPN: не-Nebula устройства
- Site-to-Site VPN: VPN Оркестратор и разширени конфигурации
Отдалечен достъп VPN: L2TP през IPSec
За да конфигурирате L2TP през IPSec VPN, моля, навигирайте до менюто Отдалечен достъп VPN и активирайте опцията L2TP през IPSec VPN. Единствените задължителни полета за да работи вашият VPN са да попълните вашата тайна (Preshared Key) и подмрежата на клиентския VPN. Трябва само да използвате подмрежа, която все още не е използвана никъде другаде. Можете да промените DNS сървърите или да зададете удостоверяване към локален сървър, например, но това е напълно по избор. Бутонът "Default" до Policy отваря меню, което ви позволява да зададете IPSec предложения. По подразбиране стойностите са проектирани да бъдат съвместими с повечето операционни системи.
Site-wide -> Configure -> Firewall -> Remote Access VPNСлед като запазите конфигурацията си, можете да се възползвате от функцията за скрипт за предоставяне на VPN - попълнете списък с получатели и кликнете върху бутона "Send Mail". Скриптът за конфигурация с инструкции как да го използвате ще бъде изпратен на посочените адреси.
Конфигурация на клиента - режим Provision скрипт
Nebula Pro предлага удобен начин за конфигуриране на Windows или macOS клиенти чрез VPN provisioning скрипт. Той може да бъде изпратен директно на потребителите:
След като имейлът бъде изпратен, потребителите ще получат съобщение от info@nebula.zyxel.com, което съдържа provisioning скриптовете:
Както подсказва името им, .bat файлът е предназначен за Windows, докато .mobileconfig файлът е предназначен за macOS. Поради ограничения за сигурност, .bat файлът трябва да бъде преименуван на .bat преди изпълнение. Просто двойно кликване върху скрипта ще създаде VPN връзка на вашата система. По време на първото свързване потребителят трябва да въведе своите идентификационни данни. Те ще бъдат запазени след първото успешно свързване.
Конфигурация на клиента - Ръчен режим
Въпреки това, не е трудно да се конфигурира VPN ръчно. В Windows, моля, навигирайте до Settings > Network & Internet > VPN и кликнете на Add VPN Connection.
Попълнете формуляра според идентификационните данни, предоставени от Nebula (Можете да използвате или IP адрес, или DDNS, автоматично генериран от Nebula), и сте готови!
Вижте повече информация в тази статия:
Nebula CC - Конфигуриране на L2TP за вашия Nebula Firewall
Отдалечен достъп VPN: IPSec клиент
По подобен начин на конфигурацията на L2TP през IPSec, конфигурацията на IPSec VPN също се извършва в менюто Отдалечен достъп VPN и започва с отметката за IPSec VPN сървър. Единствените задължителни полета за да работи вашият VPN са да попълните тайна (Preshared Key) и подмрежата на клиентския VPN. Единственото, което трябва да се има предвид, е да използвате подмрежа, която все още не е използвана никъде другаде. Можете да промените DNS сървърите или да зададете удостоверяване към локален сървър, например, но това е по избор. Бутонът "Default" до Policy отваря меню, което ви позволява да зададете IPSec предложения. По подразбиране стойностите са проектирани да осигурят висока сигурност за вашите IPSec връзки. Можете също да активирате двуфакторно удостоверяване за вашите клиенти, за да повишите сигурността чрез Google authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Конфигурация на клиента
Конфигурирането на клиента е много просто. Първо, трябва да създадем IPSec Gateway и да попълним детайлите в раздел Authentication, както в следния пример, който използва подразбиращите се стойности за криптография:
В раздел Protocol е важно да се отбележи отметката "Mode Config":
Сега сме готови да създадем IPSec връзка. Моля, попълнете адреса на целевата мрежа, параметрите ESP/PFS и сте готови да се свържете. Можете също така да създадете множество мрежи и да имате достъп до тях едновременно:
Това е! Сега сте готови за отдалечено свързване. Запомнете, че IPSec клиентът винаги може да експортира конфигурацията след като е завършена, за да я разположи лесно на множество устройства.
Вижте повече информация в тази статия:
Nebula [VPN] - Как да конфигурирате IKEv2 IPsec VPN
Site-to-Site VPN: Nebula устройства
Конфигурирането на Site-to-Site VPN никога не е било по-лесно. Менюто Site-to-Site VPN започва с конфигурацията на WAN интерфейс. Можете да изберете един WAN интерфейс като изходящ или да оставите опцията на auto за осигуряване на излишък. В този случай ще бъдете попитани кой интерфейс да се предпочита.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNКонфигурацията продължава към вашите локални мрежи, където локалните интерфейси и отдалечените VPN връзки са налични за участие в Site-to-Site VPN връзката.
В следващия раздел можете да конфигурирате разширените настройки. Например, можете да изберете желаната VPN зона за вашата мрежа - по-малките мрежи ще се справят добре само с една Default VPN зона. По-големи или просто по-сложни VPN структури може да се нуждаят от използване на повече VPN зони. Повече информация относно VPN зоните и Nebula VPN Оркестратор можете да намерите в последната глава.
Опцията NAT traversal ви позволява да персонализирате WAN IP адреса за вашия VPN. Това е полезно в ситуации, когато към вашия WAN порт са насочени множество IP адреси и искате да използвате конкретен адрес за VPN.
Site-to-Site VPN: не-Nebula устройства
Добавянето на не-Nebula устройство естествено изисква конфигурация както в Nebula Control Center, така и на самостоятелното устройство.
От страна на Nebula е необходимо само да попълните някои данни за връзката, по-специално името, което ще идентифицира устройството, неговия публичен IP адрес и отдалечената частна подмрежа, към която възнамерявате да се свържете, както и предварително споделения ключ. По избор можете да редактирате IPSec политиката според нуждите си и да зададете кои сайтове ще имат достъп до този рутер. Моля, обърнете внимание, че свойството за частната подмрежа не трябва да е мрежов адрес, а реален адрес на устройство, използван за проверка на връзката в CIDR формат - например самият отдалечен VPN сървър.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNВажно:
Специални символи като -, +, ^, *, [, ], \, ", ? не са разрешени.
Това ще се промени в бъдеще.
В този случай, от страна на отдалечения рутер, ATP200, първо ще трябва да създадем VPN шлюз. Следващата конфигурация ще ви позволи да използвате този шлюз за толкова устройства, колкото желаете. Със стандартното IPSec предложение, само променете режима на преговори на "Aggressive" и предварително споделения ключ е необходим.
След конфигурирането на VPN шлюза, VPN връзката най-накрая ще ни позволи да установим връзка между двата рутера. Моля, задайте локалната и отдалечената политика според топологията на вашата мрежа. Тези стойности трябва да съвпадат с конфигурацията в Nebula. В противен случай преговорите ще се провалят.
След запазване на VPN връзката, връзката между рутерите трябва да бъде установена в рамките на няколко секунди.
Вижте повече информация в тази статия:
Nebula VPN - Конфигуриране на Site-to-Site VPN към не-Nebula устройство
Site-to-Site VPN: VPN Оркестратор и разширени конфигурации
Nebula VPN Оркестратор е мощен инструмент, който ви позволява лесно да конфигурирате сложни VPN топологии. Платформата NCC позволява абстрактна конфигурация без нужда от конфигуриране на отделни VPN връзки на всеки шлюз и безпроблемна промяна на топологията въз основа на текущите ви изисквания само с няколко клика!
Nebula Обяснение на VPN топологията
Nebula Оркестратор може да съдържа множество VPN зони. Всяка зона може да бъде или Site-to-Site топология, или Hub-and-Spoke топология. В Site-to-Site топологиите всеки защитен шлюз се свързва с всички останали шлюзове в рамките на VPN зоната. В Hub-and-Spoke топологиите, само шлюзът, определен като Hub, се свързва с другите шлюзове. Възможно е също да имате една или повече Site-to-Site зони и други Hub-and-Spoke зони.
Всяка зона може да има до пет Hub устройства, освен ако зоната не съдържа NSG - в този случай в дадена зона може да има само един Hub. Ако Hub има изходящ интерфейс зададен на "auto", всички WAN връзки ще осъществят VPN връзките към Spoke шлюзовете едновременно.
За да комуникирате между зоните, можете да активирате Area Communication за шлюза. Site-to-Site зоните трябва да имат определен Area Leader, за да работи това. Area Leaders или Hub шлюзовете ще осъществяват VPN тунели към други зони и ще позволяват комуникация между AC шлюзовете.
Конфигурация
Конфигурацията на VPN Оркестратора може да бъде намерена в следното меню:
Organization-wide > VPN OrchestratorГорната част на екрана показва карта с текущата визуализация на VPN мрежата - включително грешки поради загуба на връзка. Това включва и връзки към не-Nebula устройства - те могат да бъдат разграничени с прекъсната линия.
В менюто Smart VPN можете да изберете желаната зона, която искате да конфигурирате, или да създадете нова и да изберете желаната топология.
Въз основа на избора си, може да се наложи да определите Hub и Spoke в същото меню. Но във всеки случай ще можете да изберете кои шлюзове ще се свързват към VPN, кои подмрежи на тези шлюзове ще участват във VPN връзките и да конфигурирате състоянието на Area Communication на устройството.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Коментари
0 коментараВлезте в услугата, за да оставите коментар.