Nebula VPN – Přehled virtuální privátní sítě VPN

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Virtuální privátní síť, zkráceně VPN, je jednou z nejčastěji používaných funkcí na našich bezpečnostních bránách a s Nebula můžete VPN na svém USG FLEX nakonfigurovat během několika minut!

Shrnutí

Tento článek pokrývá všechny běžné scénáře VPN, ať už se jedná o vzdálený přístup VPN nebo Site-to-Site VPN (včetně VPN k zařízením mimo Nebula). Pro přístup k možnostem konfigurace se prosím přihlaste do Nebula Control Center pomocí svých přihlašovacích údajů na https://nebula.zyxel.com/ a přejděte do následujícího menu podle typu VPN, kterou chcete vytvořit:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

 

Obsah

  1. Vzdálený přístup VPN: L2TP přes IPSec
  2. Vzdálený přístup VPN: IPSec klient
  3. Site-to-Site VPN: Nebula zařízení
  4. Site-to-Site VPN: zařízení mimo Nebula
  5. Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurace

Vzdálený přístup VPN: L2TP přes IPSec

Pro konfiguraci L2TP přes IPSec VPN přejděte do menu Vzdálený přístup VPN a povolte možnost L2TP přes IPSec VPN. Jedinými povinnými poli pro funkční VPN je vyplnění vašeho tajemství (Preshared Key) a podsítě klienta VPN. Je třeba zvolit podsíť, která ještě není nikde jinde použita. Můžete také změnit DNS servery nebo nastavit autentizaci na lokální server, například, ale toto je zcela volitelné. Tlačítko "Default" vedle položky Policy otevře menu, které umožňuje nastavit IPSec návrhy. Výchozí hodnoty jsou navrženy tak, aby byly kompatibilní s většinou operačních systémů.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Po uložení konfigurace můžete využít funkci skriptu pro nastavení VPN – vyplňte seznam příjemců a klikněte na tlačítko „Send Mail“. Konfigurační skript s instrukcemi, jak jej použít, bude odeslán na zadané adresy.

 

Konfigurace klienta – režim skriptu pro nastavení

Nebula Pro nabízí pohodlný způsob konfigurace klientů Windows nebo macOS pomocí skriptu pro nastavení VPN. Ten lze odeslat přímo uživatelům:

mceclip3.png

Po odeslání e-mailu uživatelé obdrží zprávu od info@nebula.zyxel.com, která obsahuje skripty pro nastavení:
mceclip4.png
Jak název napovídá, soubor .bat je určen pro Windows, zatímco soubor .mobileconfig je určen pro macOS. Z bezpečnostních důvodů je třeba soubor .bat přejmenovat na .bat před spuštěním. Dvojklikem na skript se vytvoří VPN připojení ve vašem systému. Při prvním připojení musí uživatel zadat své přihlašovací údaje, které se po úspěšném připojení uloží.

 

Konfigurace klienta – manuální režim

Není však složité VPN nakonfigurovat ručně. Na Windows přejděte do Nastavení > Síť a internet > VPN a klikněte na Přidat VPN připojení.

Vyplňte formulář podle přihlašovacích údajů poskytnutých Nebula (můžete použít IP adresu nebo DDNS automaticky generované Nebula) a jste připraveni!

mceclip6.png

 

Další informace v tomto článku:

Nebula CC – Konfigurace L2TP pro váš Nebula Firewall

 

 

Vzdálený přístup VPN: IPSec klient

Podobně jako konfigurace L2TP přes IPSec, i konfigurace IPSec VPN probíhá v menu Vzdálený přístup VPN a začíná zaškrtnutím políčka IPSec VPN server. Jedinými povinnými poli pro funkční VPN je vyplnění tajemství (Preshared Key) a podsítě klienta VPN. Je třeba zvolit podsíť, která ještě není nikde jinde použita. Můžete také změnit DNS servery nebo nastavit autentizaci na lokální server, například, ale toto je volitelné. Tlačítko "Default" vedle položky Policy otevře menu, které umožňuje nastavit IPSec návrhy. Výchozí hodnoty jsou navrženy tak, aby poskytovaly vysokou bezpečnost vašim IPSec připojením. Můžete také povolit dvoufaktorovou autentizaci pro své klienty pro ještě větší zabezpečení pomocí Google Authenticatoru.

Site-wide -> Configure -> Firewall -> Remote access VPN

 

Konfigurace klienta

Konfigurace klienta je velmi jednoduchá. Nejprve vytvoříme IPSec Gateway a vyplníme údaje na záložce Autentizace, například v následujícím příkladu, který používá výchozí kryptografické hodnoty:

mceclip0.png

Na záložce Protokol je důležité zaškrtnout políčko „Mode Config“:

mceclip1.png

Nyní jsme připraveni vytvořit IPSec připojení. Vyplňte cílovou adresu sítě, parametry ESP/PFS a jste připraveni se připojit. Můžete také vytvořit více sítí a přistupovat k nim současně:

mceclip2.png

To je vše! Nyní jste připraveni se vzdáleně připojit. Nezapomeňte, že IPSec klient může po dokončení konfigurace exportovat nastavení pro snadné nasazení na více zařízeních.

Další informace v tomto článku:

Nebula [VPN] – Jak nakonfigurovat IKEv2 IPsec VPN

Site-to-Site VPN: Nebula zařízení

Konfigurace Site-to-Site VPN nebyla nikdy jednodušší. Menu Site-to-Site VPN začíná konfigurací WAN rozhraní. Můžete zvolit jedno WAN rozhraní jako odchozí nebo ponechat možnost automatickou pro zajištění redundance. V tom případě budete vyzváni k výběru preferovaného rozhraní.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Konfigurace pokračuje u vašich lokálních sítí, kde jsou dostupná lokální rozhraní a vzdálená VPN připojení, která se mohou účastnit Site-to-Site VPN spojení.

mceclip4.png

V další sekci můžete nakonfigurovat pokročilá nastavení. Například můžete vybrat požadovanou VPN oblast pro vaši síť – menší sítě budou vyhovovat jedna výchozí VPN oblast. Větší nebo složitější VPN struktury mohou potřebovat více VPN oblastí. Více informací o VPN oblasti a Nebula VPN Orchestrator naleznete v poslední kapitole.

Možnost NAT traversal vám umožní upravit WAN IP adresu pro vaši VPN. To je užitečné v situacích, kdy je k vašemu WAN portu směrováno více IP adres a chcete použít konkrétní adresu pro VPN.

Site-to-Site VPN: zařízení mimo Nebula

Přidání zařízení mimo Nebula samozřejmě vyžaduje konfiguraci jak na straně Nebula Control Center, tak na samostatném zařízení.

Na straně Nebula je potřeba vyplnit několik informací o připojení, zejména název, který zařízení identifikuje, jeho veřejnou IP adresu a vzdálenou privátní podsíť, ke které se chcete připojit, a předem sdílený klíč. Volitelně můžete upravit IPSec politiku podle svých potřeb a nastavit, které lokality budou mít přístup k tomuto routeru. Upozorňujeme, že vlastnost privátní podsítě by neměla být síťovou adresou, ale skutečnou adresou zařízení používanou pro kontrolu připojení v CIDR formátu – například samotný vzdálený VPN server.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

mceclip0.png

Důležité:
Speciální znaky jako -, +, ^, *, [, ], \, ", ? nejsou povoleny.
Toto se v budoucnu změní.

V tomto případě, na straně vzdáleného routeru ATP200, je nejprve nutné vytvořit VPN bránu. Následující konfigurace vám umožní znovu použít tuto bránu pro libovolný počet zařízení. S výchozím IPSec návrhem stačí změnit režim vyjednávání na „Aggressive“ a zadat předem sdílený klíč.

mceclip8.png

Po konfiguraci VPN brány umožní VPN připojení konečně navázat spojení mezi oběma routery. Nastavte lokální a vzdálenou politiku podle topologie vaší sítě. Tyto hodnoty musí odpovídat konfiguraci v Nebula. Jinak vyjednávání selže.

mceclip9.png

Po uložení VPN připojení by mělo být spojení mezi routery navázáno během několika sekund.

mceclip10.png


Další informace v tomto článku:

Nebula VPN – Konfigurace Site-to-Site VPN k zařízení mimo Nebula

 

Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurace

Nebula VPN Orchestrator je výkonný nástroj, který vám umožní snadno konfigurovat složité VPN topologie. Platforma NCC umožňuje abstraktní konfiguraci bez nutnosti nastavovat jednotlivá VPN připojení na každé bráně a bez problémů měnit topologii podle aktuálních požadavků jen několika kliknutími!

 

Nebula VPN topologie vysvětleny

Nebula Orchestrator může obsahovat více VPN oblastí. Každá oblast může být buď Site-to-Site topologie nebo Hub-and-Spoke topologie. V Site-to-Site topologiích se každá bezpečnostní brána připojuje ke všem ostatním bránám v rámci VPN oblasti. V Hub-and-Spoke topologiích se připojuje pouze brána označená jako Hub k ostatním bránám. Je také možné mít jednu nebo více Site-to-Site oblastí a další Hub-and-Spoke oblasti.

mceclip1.png

Každá oblast může mít až pět Hubů, pokud oblast neobsahuje NSG – v takovém případě může být v dané oblasti pouze jeden Hub. Pokud má Hub nastaveno odchozí rozhraní na „auto“, všechny WAN připojení budou současně navazovat VPN spojení na Spoke brány.

mceclip2.png

Pro komunikaci mezi oblastmi můžete povolit Area Communication pro bránu. Site-to-Site oblasti musí mít pro tuto funkci určeného Area Leadera. Area Leadeři nebo Hub brány navazují VPN tunely do ostatních oblastí a umožňují komunikaci mezi AC bránami.

 

Konfigurace

Konfiguraci VPN Orchestratoru najdete v následujícím menu:

Organization-wide > VPN Orchestrator

Horní část obrazovky zobrazuje mapu s aktuální vizualizací VPN sítě – včetně chyb způsobených ztrátou spojení. Zahrnuje také připojení k zařízením mimo nebula – ta jsou rozlišena přerušovanou čarou.

 

V menu Smart VPN můžete vybrat požadovanou oblast, kterou chcete konfigurovat, nebo vytvořit novou a zvolit požadovanou topologii.

Na základě vašeho výběru může být potřeba v tomtéž menu určit Huby a Spokes. V každém případě budete moci vybrat, které brány se připojí k VPN, které podsítě na těchto branách se zúčastní VPN připojení a nastavit stav Area Communication zařízení.

Organization-wide -> Organization-wide manage -> VPN Orchastrator

blobid1.png

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 1
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.