Nebula [VPN] - преглед на виртуалната частна мрежа (VPN)

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Виртуалната частна мрежа, или накратко VPN, е една от най-често използваните функции на нашите шлюзове за сигурност, а с Nebula можете да конфигурирате VPN на вашия USG FLEX за няколко минути!

Синопсис

В тази статия ще бъдат разгледани всички често срещани сценарии за VPN, независимо дали става въпрос за VPN за отдалечен достъп или за VPN от сайт до сайт (включително VPN към партньори, които не са от системата Nebula). За да получите достъп до опциите за конфигуриране, моля, влезте в контролния център на Nebula, като използвате своите идентификационни данни на адрес https://nebula.zyxel.com/, и преминете към следното меню в зависимост от типа VPN, който искате да създадете:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Съдържание

  1. VPN за отдалечен достъп: L2TP през IPSec
  2. VPN за отдалечен достъп: IPSec клиент
  3. VPN от сайт до сайт: равнопоставени потребители на Nebula
  4. Site-to-Site VPN: равнопоставени потребители, които не са от Небула
  5. Site-to-Site VPN: VPN Orchestrator и разширени конфигурации

VPN за отдалечен достъп: L2TP през IPSec

За да конфигурирате L2TP over IPSec VPN, отидете в менюто Remote access VPN (VPN за отдалечен достъп) и активирайте опцията L2TP over IPSec VPN (L2TP over IPSec VPN). Единствените задължителни полета, за да функционира вашата VPN мрежа, са да попълните тайната си (Preshared Key) и клиентската VPN подмрежа. Необходимо е само да помислите за използване на подмрежа, която все още не се използва никъде другаде. Може да искате да промените DNS сървърите или да зададете удостоверяване на местен сървър, например, но това е напълно незадължително. Бутонът "Default" (По подразбиране) до Policy (Политика) отваря меню, което ви позволява да зададете IPSec предложения. Стойностите по подразбиране са разработени така, че да са съвместими с повечето операционни системи.

Site-wide -> Configure -> Firewall -> Remote Access VPN

След като запазите конфигурацията си, можете да се възползвате от функцията на скрипта за VPN предоставяне - попълнете списък с получатели и щракнете върху бутона "Изпрати поща". Скриптът на конфигурацията с инструкции как да го използвате ще бъде изпратен на предоставените адреси.

Клиентска конфигурация - режим на скрипт за предоставяне

Nebula Pro предлага удобен начин за конфигуриране на клиенти за Windows или macOS с помощта на скрипт за осигуряване на VPN. Той може да бъде изпратен директно на потребителите:

mceclip3.png

След като бъде изпратено, потребителите ще получат имейл от info@nebula.zyxel.com, който съдържа скриптовете за осигуряване:
mceclip4.png
Както подсказва името им, файлът .batfile е предназначен за Windows, докато файлът .mobileconfig е предназначен за macOS. Поради ограничения в сигурността, преди да бъде изпълнен, файлът .batfile трябва да бъде преименуван на .bat. Просто двойно щракване върху скрипта ще създаде VPN връзка във вашата система. По време на първата връзка потребителят трябва да предостави своите идентификационни данни. Те ще бъдат запазени след първата успешна връзка.

Конфигурация на клиента - ръчен режим

Ръчното конфигуриране на VPN мрежата обаче не е трудна задача. В Windows отидете в Настройки > Мрежа и интернет > VPN и щракнете върху Добавяне на VPN връзка.

Попълнете формуляра в съответствие с данните, предоставени от Nebula (Можете да използвате или IP адрес, или DDNS, генериран автоматично от Nebula), и сте готови!

mceclip6.png

Вижте повече информация в тази статия:

Nebula CC - Конфигуриране на L2TP за защитната стена Nebula

VPN за отдалечен достъп: IPSec клиент

Подобно на конфигурацията на L2TP през IPSec, конфигурацията на IPSec VPN също се извършва в менюто Remote Access VPN и започва с квадратчето за отметка IPSec VPN server. Единствените задължителни полета, за да заработи вашата VPN мрежа, са да се попълнят тайната (Preshared Key) и клиентската VPN подмрежа. Единственото нещо, което трябва да се вземе предвид, е да се използва подмрежа, която все още не се използва никъде другаде. Може да искате да промените DNS сървърите или да зададете удостоверяване на местен сървър, например, но това не е задължително. Бутонът "Default" (По подразбиране) до Policy (Политика) отваря меню, което ви позволява да зададете IPSec предложения. Стойностите по подразбиране са разработени така, че да осигурят висока сигурност на вашите IPSec връзки. Можете също така да активирате двуфакторно удостоверяване за вашите клиенти, за да повишите още повече сигурността чрез Google authenticator.

Целият сайт -> Конфигуриране -> Защитна стена -> VPN за отдалечен достъп

Конфигурация на клиента

Конфигурирането на клиента е много просто. Първо, искаме да създадем IPSec шлюза и да попълним данните в раздела Удостоверяване, както е в следния пример, в който са взети предвид стойностите на криптографията по подразбиране:

mceclip0.png

В раздела "Протокол" е важно да се избере полето "Конфигурация на режима":

mceclip1.png

Сега сме готови да създадем IPSec връзка. Моля, попълнете адреса на целевата мрежа, параметрите на ESP/PFS и сте готови да се свържете. Можете също така да създадете няколко мрежи и да осъществите достъп до тях едновременно:

mceclip2.png

Това е всичко! Вече сте готови да се свържете дистанционно. Не забравяйте, че IPSec клиентът винаги може да експортира конфигурацията, след като приключи, за да я разположи лесно на множество устройства.

Вижте повече информация в тази статия:

Nebula [VPN] - Как да конфигурираме IKEv2 IPsec VPN

VPN от сайт до сайт: равнопоставени потребители на Nebula

Конфигурирането на Site-to-Site VPN никога не е било по-лесно. Менюто Site-to-Site VPN започва с конфигурация на WAN интерфейса. Можете да изберете един WAN интерфейс като изходящ или да оставите опцията като автоматична, за да осигурите резервираност. В този случай ще бъдете попитани кой интерфейс да бъде предпочетен.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

След това конфигурацията продължава към вашите локални мрежи, където са налични локални интерфейси и отдалечени VPN връзки, които да участват в site-to-site VPN връзката.

mceclip4.png

В следващия раздел можете да конфигурирате разширените настройки. Например, можете да изберете желаната VPN област за вашата мрежа - по-малките мрежи ще се справят само с една VPN област по подразбиране. По-големите или просто по-сложните VPN структури може да се нуждаят от използването на повече VPN области. Повече информация относно VPN зоната и Nebula VPN Orchestrator можете да намерите в последната глава.

Опцията за преминаване през NAT ви позволява да персонализирате вашия WAN IP адрес за вашата VPN мрежа. Това е полезно в ситуации, в които множество IP адреси са насочени към вашия WAN порт и искате да използвате конкретен адрес за VPN.


Вижте повече информация в тази статия:

Nebula VPN - Конфигуриране на Site-to-Site VPN в Nebula между два шлюза Nebula

Site-to-Site VPN: връстници извън Nebula

Добавянето на партньор, който не е от Nebula, естествено изисква конфигурация в Центъра за управление на Nebula и самостоятелното устройство.

От страна на Nebula е необходимо само да се попълни известна информация за връзката, а именно името, което ще идентифицира устройството, неговият публичен IP адрес и отдалечената частна подмрежа, която възнамерявате да свържете с предварително споделения ключ. По желание можете да редактирате политиката IPSec, за да отговаря на вашите нужди, и да зададете кои сайтове ще имат достъп до този маршрутизатор. Обърнете внимание, че свойството частна подмрежа не трябва да бъде мрежов адрес, а действителен адрес на устройство, използван за целите на проверката на връзката в CIDR формат - например самият отдалечен VPN сървър.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

mceclip0.png

Важно:
Специални символи като -, +, ^, *, [, ], \, ", ? не са разрешени.
Това ще се промени в бъдеще.

В този случай, от страна на отдалечения маршрутизатор ATP200, ще трябва първо да създадем VPN шлюз. Следващата конфигурация ще ви позволи да използвате този шлюз повторно за колкото искате равнопоставени потребители. При предложението IPSec по подразбиране е необходимо само да промените режима на договаряне на "Агресивен" и предварително споделения ключ.

mceclip8.png

След конфигурирането на VPN шлюза, VPN връзката най-накрая ще ни позволи да установим връзка между двата маршрутизатора. Моля, задайте локалната и отдалечената политика в съответствие с топологията на вашата мрежа. Тези стойности трябва да съответстват на конфигурацията в Nebula. В противен случай договарянето ще се провали.

mceclip9.png

След като запазите VPN връзката, връзката между маршрутизаторите трябва да се установи в рамките на няколко секунди.

mceclip10.png


Вижте повече информация в тази статия:

Nebula VPN - Конфигуриране на Site-to-Site VPN към партньор, който не е от Nebula

Site-to-Site VPN: VPN Orchestrator и разширени конфигурации

Nebula VPN Orchestrator е мощен инструмент, който ви позволява лесно да конфигурирате сложни VPN топологии. Платформата NCC позволява абстрактна конфигурация без конфигуриране на индивидуални VPN връзки на всеки шлюз и безпроблемна промяна на топологията въз основа на текущите ви изисквания само с няколко кликвания!

Обяснение на VPN топологията на Nebula

Nebula Orchestrator може да съдържа няколко VPN области. Всяка област може да бъде с топология Site-to-Site или с топология Hub-and-Spoke. В топологиите Site-to-Site всеки шлюз за сигурност се свързва с всички други шлюзове в рамките на VPN зоната. В топологии "Hub-and-Spoke" единственият шлюз, определен като "Hub", се свързва с другите шлюзове. Възможно е също така да има една или повече Site-to-Site области и други Hub-and-Spoke области.

mceclip1.png

Всяка област може да има до пет концентратора, освен ако областта не съдържа NSG - в този случай в дадена област има само един концентратор. Ако Хъбът има изходящ интерфейс, зададен на "auto" (автоматично), всички WAN връзки ще набират VPN връзките към шлюзовете Spoke едновременно.

mceclip2.png

За да комуникирате между областите, можете да активирате функцията Area Communication (Комуникация в областта) за шлюза. За да работи това, зоните Site-to-Site трябва да имат определен Area Leader (Ръководител на зона). Лидерите на области или централните шлюзове ще набират VPN тунели към други области и ще позволяват комуникация между шлюзовете на АС.

Конфигурация

Конфигурацията на VPN Orchestrator може да бъде намерена в следното меню:

Organization-wide > VPN Orchestrator

В горната част на екрана се показва карта с текуща визуализация на VPN мрежата - включително неизправности поради загуба на връзка. Това включва и връзки с равнопоставени партньори, които не са от мрежата на Небюла - те могат да бъдат разграничени с прекъсната линия.

В менюто Smart VPN (Интелигентна VPN) можете да изберете желаната област, която искате да конфигурирате, или да създадете нова и да изберете желаната топология.

Въз основа на избора ви може да се наложи да определите концентратори и спикове в същото меню. Но във всеки случай ще можете да изберете кои шлюзове ще се свързват към VPN, кои подмрежи на тези шлюзове ще участват във VPN връзките и да конфигурирате състоянието на комуникация в зоната на устройството.

Organization-wide -> Organization-wide manage -> VPN Orchastrator

blobid1.png

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 1 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.