Zyxel Nebula Vzdálený přístup VPN - Jak nakonfigurovat IPsec IKEv2 pro vzdálený přístup VPN

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Článek obsahuje podrobný návod na nastavení IKEv2 VPN v Nebula, včetně vytvoření uživatelů Nebula Cloud pro přístup k VPN a konfigurace klienta SecuExtender. Uvádí omezení IKEv2, jako je například absence oficiální podpory předsdílených klíčů, a poskytuje pokyny krok za krokem pro povolení serveru IPsec VPN, konfiguraci klientských podsítí VPN a nastavení možností ověřování, jako je ověřování Nebula Cloud, Active Directory a dvoufaktorové ověřování prostřednictvím služby Google Authenticator. Článek se zabývá také vytvářením uživatelů VPN, odesíláním konfiguračních souborů a ověřováním připojení VPN a nabízí tipy pro řešení problémů a další nastavení pro zvýšení zabezpečení.

Tento článek vám pomůže pochopit, co všechno můžete dělat s IKEv2 VPN v Nebula. Vysvětluje, jak nastavit IKEv2, vytvořit uživatele Nebula Cloud pro přístup k síti VPN a nakonfigurovat klienta SecuExtender.

Omezení IKEv2

Nebula v současné době oficiálně nepodporuje používání:

  • IKEv2 s předsdíleným klíčem.

Konfigurace IKEv2 v Nebula

  • Povolte "IPsec VPN server". 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Povolení "IPsec VPN serveru"
  • Zadejte klientskou podsíť VPN (jedná se o podsíť, kterou budou přijímat klienti VPN, a NESMÍ se překrývat s žádnou jinou podsítí v organizaci Nebula ani se vzdálenými podsítěmi VPN (měla by být zapsána jako xx.xx.xx.xx/xx "např. 192.168.50.0/24").
  • Vyberte verzi IKEv2
  • V případě potřeby zadejte jmenné servery (servery DNS) pro klienty VPN. Pokud používáte interní servery DHCP/DNS, zadejte interní server DNS a jako druhou položku jmenného serveru použijte Google DNS (8.8.8.8). Toto nastavení pomáhá předcházet případným problémům s DNS a komunikací s klienty VPN.
  • Nebula Cloudové ověřování - používáme v našem příkladu. Mátevšakk dispozici různé možnosti ověřování. Můžete zvolit ověřování Nebula Cloud Authentication, vlastní adresář Active Directory nebo server RADIUS, nebo dokonce použít dvoufaktorové ověřování prostřednictvím aplikace Google Authenticator. To lze nastavit zapnutím funkce "dvoufaktorové ověřování s Captive Portal". Když se uživatel připojí k síti VPN, bude přesměrován k přihlášení pomocí aplikace Google Authenticator. K dvoufaktorovému ověřování se mohou přihlásit také prostřednictvím e-mailu, který obsahuje jejich přihlašovací údaje.
  • Poskytnutí konfigurace SecuExtender IKEv2 VPN - Vyberte e-mail(y), který(é) chcete použít k odeslání konfiguračního souboru VPN pro SecuExtender IKEv2 VPN (zde můžete přidávat a odebírat e-maily, což se projeví až po stisknutí tlačítka "uložit").
  • Stiskněte tlačítko "Uložit"

  • Dalším krokem je změna "Policy", za tímto účelem klikněte na "Default" (Výchozí) a nakonfigurujte nastavení fáze 1 a fáze 2, jak je uvedeno níže (nezapomeňte nastavení uložit kliknutím na tlačítko "Save" (Uložit)):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Po změně zásad nezapomeňte změny uložit kliknutím na tlačítko "Save" (Uložit).

Poznámka: Systém MacOS může vyžadovat vyšší šifrování a ověřování, kde podle našich zkušeností skvěle fungují AES256 a SHA256.

Vytvoření uživatelů cloudu Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klikněte na tlačítko "Přidat" nového uživatele VPN
  • Vyplňte "Email", který může být použit pro odeslání pověření a také pro přihlášení (pokud je vybráno).
  • Vyplňte "Uživatelské jméno" a "Heslo".
  • VPN Access (Přístup k síti VPN) - měl by být povolen, aby uživatel VPN mohl přistupovat k síti VPN a úspěšně se ověřit pomocí pověření uživatele.
  • Autorizováno - vyberte, ke kterým webům chcete povolit přístup
  • Login by - vyberte, zda se uživatel může přihlásit do sítě VPN / 802.1x pomocí uživatelského jména, e-mailové adresy nebo pomocí obou z nich
  • Dvoufaktorová autentizace. -zaškrtněte políčko, pokud NECHCETE, aby bylo pro tohoto uživatele nastaveno dvoufaktorové ověřování.
  • Email to user - zaškrtněte, pokud chcete uživateli zaslat pověření e-mailem.
  • Poznámka: pokaždé, když po změnách stisknete tlačítko "uložit" (nebo "vytvořit uživatele), uživatel dostane e-mail. Pokud tedy změníte nastavení pro tohoto uživatele, možná budete chtít zrušit zaškrtnutí tohoto políčka, dokud neskončíte s konfigurací uživatele

Další nastavení, o kterých je zajímavé vědět:

  • Dynamický osobní předsdílený klíč (funkce balíčku Professional Pack ) je dynamická správa hesel pro WiFi (nikoli VPN), která může zvýšit bezpečnost uživatelů a sítě VPN. Vytváří jedinečné heslo pro každého uživatele, aby bylo možné uživatele snadněji izolovat, pokud dojde k jeho hacknutí.
  • 802.1X - Pro ověřování sítě (nikoli VPN), může zajistit, aby se uživatelé ověřovali pomocí sítě 802.1x s využitím Nebula Cloudové ověřování.
  • Přiřazení VLAN - Přiřazení VLAN je funkce balíčku Professional Pack, která uživateli při vstupu do sítě nakonfiguruje statickou VLAN.

Konfigurace klienta SecuExtender

  • Odeslání souboru .tgb (konfigurace VPN) e-mailem.
Site-wide -Configure Firewall -> Remote access VPN
  • Konfiguraci VPN odešlete na svůj e-mail přidáním svého e-mailu (nebo e-mailů uživatelů) a poté stiskněte tlačítko "Přidat nový", pokud není přítomen. Poté klikněte na "Odeslat e-mail" a zkontrolujte svůj e-mail (a složku se spamem).

  • Nainstalujte soubor .tgb do aplikace SecuExtender.

mceclip4.png

  • Pokud se vám vyskakovací okno nezobrazí, otevřete program SecuExtender na ploše tak, abyste viděli klienta SecuExtender IPsec VPN (okno zobrazené na obrázku níže), a poté znovu otevřete soubor .tgb z e-mailu


  • Kontrola připojení

Po importu konfigurace do klienta VPN dvakrát klikněte na "RemoteAccessVPN", poté zadejte "Login" a "Password" a klikněte na "OK".

  • Pokud narazíte na nějaké problémy, překontrolujte prosím nastavení fáze 1 a fáze 2 v aplikaci SecuExtender a ujistěte se, že máte stejné šifrování a ověřování v nastavení Nebula IKEv2 VPN.

  • Zakázání rozděleného tunelování

Pokud máte problémy s tím, že veškerý provoz prochází tunelem VPN (internetový provoz i provoz VPN), podívejte se na tento článek:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender.

  • Ověření připojení VPN

Po navázání připojení VPN můžete připojení ověřit otevřením okna příkazového řádku (nebo prostředí PowerShell) a zadáním následujících příkazů.

  • ipconfig

Tento příkaz poskytne IP adresu pro rozhraní VPN.

mceclip4.png

  • ping [vzdálená_adresa]

Tento příkaz umožní provést test ping na zařízení umístěné v síti LAN brány NebulaCC.

mceclip5.png

  • Na NCC byste nyní měli být schopni zobrazit protokoly, které ukazují, že VPN funguje správně. Na následujícím snímku obrazovky vidíte, že požadavky hlavního režimu dorazily do USG, fáze 1 mohla být úspěšně navázána a XAuth v řídicím centru Nebula funguje správně.

mceclip0.png

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet