Tato příručka vám pomůže s konfigurací klienta Zyxel IPSec VPN Client (verze 3.8.204.61.32) pro připojení VPN pomocí funkce Nebula CC IPSec Remote Access VPN (C2S) pomocí Nebula Zabezpečení PRD_N7NSGSm (PRDIN7NSGSm).

Obsah

1. Přehled
2. Podporovaná zařízení
3. Nastavení ovládacího centra Nebula
4. Nastavení VPN klienta (SecuExtender IPSEC VPN klient)

Přehled

VPN ( virtuální privátní síť ) poskytuje bezpečnou komunikaci mezi lokalitami bez nákladů na pronajaté linky. VPN se používají k bezpečnému přenosu provozu přes internet v nezabezpečené síti, která používá komunikaci TCP/IP. VPN se vzdáleným přístupem (client-to-site) umožňuje zaměstnancům, kteří cestují nebo pracují na dálku, bezpečný přístup k firemním síťovým zdrojům. Existuje několik typů protokolů/technologií VPN, které lze použít k vytvoření zabezpečeného připojení k firemní síti, L2TP, PPTP, SSL, OpenVPN atd. Tato příručka bude odkazovat na protokol IPSec pro vytvoření zabezpečeného tunelu VPN mezi externími hostiteli ( uživatelé připojení k internetu mimo strukturu firemní sítě) a brána NebulaCC. K navázání připojení VPN je vyžadován software IPSec třetí strany, protože současné operační systémy nemají vestavěného klienta IPSec. Tento návod vám pomůže nakonfigurovat nastavení VPN na klientovi IPSec VPN (verze 3.8.204.61.32).

Podporovaná zařízení

Řada NSG (50/100/200/300)
Řada USG FLEX (100/100W/200/500/700)

Nastavení VPN Nebula CC

Poznámka: V ovládacím centru Nebula je požadavek, aby na pozadí existovala uživatelská databáze, ke které se klient IPSec ověřuje. Aby to fungovalo, budeme muset v klientovi nastavit "X-Auth" a "Config Mode".

Klikněte do nového uživatelského rozhraní Nebula CC a přejděte na:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Zadejte klientský server VPN jako klienta IPSec. Pokud se vaše NSG/USG FLEX nachází za bránou NAT, budete muset zadat NAT traversal.

Vytvořte si klientský účet VPN pro ověřování. Typ je Nebula Cloud Autentizace. Ujistěte se, že jste vytvořili uživatele v příslušné podnabídce

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Nastavení klienta VPN Zyxel

Nejnovější verzi klienta Zyxel IPSec VPN lze stáhnout z zde . Jakmile je klient nainstalován, spusťte program a otevřete Konfigurační panel . Klikněte na složku „IKE V1“ pod Konfigurace VPN , jakmile je složka vybrána, stiskněte klávesy "Ctrl + N" na klávesnici a přidejte pravidlo "Ikev1Gateway". Proveďte v pravidle následující změny:

1. Vzdálený Gateway
   
   • Rozhraní – Vyberte rozhraní, které počítač použije k navázání připojení VPN. Nastavte toto na Žádný zda klient VPN bude moci používat jakékoli připojení dostupné v počítači.
   • Vzdálená Gateway – Zadejte FQDN/DDNS/IP brány NebulaCC, ke které se budete připojovat.
2. Autentizace
   
   • Vyberte možnost „Předsdílený klíč“.
   • Zadejte předsdílený klíč použitý v konfiguraci NebulaCC IPSec a „Potvrdit“ klíč.
3. X-Auth
   
   • Povolit – Toto políčko by mělo být zaškrtnuté.
   • Vyskakovací okno X-Auth – Toto políčko by mělo být zaškrtnuté pouze v případě, že si přejete být při připojení vyzváni k zadání uživatelského jména a hesla.
     • Přihlášení – Zadejte uživatelské jméno účtu VPN NebulaCC. Pouze v případě, že není zaškrtnuto políčko X-Auth Popup.
     • Heslo – Zadejte heslo účtu VPN NebulaCC. Pouze v případě, že není zaškrtnuto políčko X-Auth Popup.
4. Kryptografie (příklad nastavení)
   • Šifrování – z rozevírací nabídky vyberte AES256 .
   • Autentizace – vyberte SHA-256 z rozbalovací nabídky.
   • Skupina klíčů – vyberte DH14 (1024) z rozbalovací nabídky.

Na "Ikev1Gateway" klikněte na Protokol kartu a proveďte následující změnu:

Povolit Konfigurace režimu volba.
Zatímco je "Ikev1Gateway" zvýrazněno, stiskněte znovu klávesy "Ctrl + N" na klávesnici pro přidání části "Ikev1Tunnel" připojení. Proveďte následující změny:

1. Adresa
   
   • Adresa VPN klienta – ponechte tuto možnost tak, jak je. (ve výchozím nastavení 0.0.0.0)
   • Typ adresy – vyberte Adresa podsítě z rozbalovací nabídky.
   • Vzdálená LAN adresa – Zadejte NebulaCC místní LAN IP schéma.
   • Maska podsítě – Zadejte masku místní podsítě LAN NebulaCC.
2. ESP
   
   • Šifrování – vyberte AES256 z rozbalovací nabídky.
   • Autentizace – vyberte SHA-256 z rozbalovací nabídky.
   • Režim – vyberte Tunel z rozbalovací nabídky.
3. PFS
   
   • Ponechte tuto možnost nezaškrtnutou.
4. Život
   
   • Životnost je množství času v sekundách, než klient znovu vyjedná algoritmy.

Po provedení všech nastavení klepněte na Konfigurace na panelu nástrojů a vyberte Uložit . Tím se uloží všechny změny provedené na klientovi.

Chcete-li navázat připojení VPN k bráně NebulaCC, klikněte pravým tlačítkem na možnost „Ikev1Tunnel“ a vyberte Otevřete tunel nebo stiskněte (Ctrl + O) na klávesnici.

Ověření

Po navázání připojení VPN můžete připojení ověřit otevřením okna příkazového řádku (nebo PowerShellu) a zadáním následujících příkazů.

• ipconfig
  Tento příkaz poskytne IP adresu pro rozhraní VPN.
  
• ping [vzdálená_adresa]
  Tento příkaz vám umožní spustit test ping na zařízení umístěném v síti LAN brány NebulaCC.
  

Na NCC byste nyní měli být schopni vidět protokoly, které ukazují, že VPN funguje správně. Na níže uvedeném snímku obrazovky můžete vidět, že požadavky hlavního režimu dosáhly USG, Fáze 1 mohla být úspěšně vytvořena a XAuth v Nebula Control Center funguje dobře.