Nebula [VPN] - Přehled virtuální privátní sítě (VPN)

Virtuální privátní síť, zkráceně VPN, je jednou z nejpoužívanějších funkcí našich bezpečnostních bran a s nástrojem Nebula můžete VPN na svém zařízení USG FLEX nakonfigurovat během několika minut!

Synopse

Tento článek se bude zabývat všemi běžnými scénáři VPN, ať už jde o VPN se vzdáleným přístupem nebo VPN mezi lokalitami (včetně VPN s partnery mimo síť Nebula). Chcete-li získat přístup k možnostem konfigurace, přihlaste se do řídicího centra Nebula pomocí svých přihlašovacích údajů na adrese https://nebula.zyxel.com/ a přejděte do následující nabídky v závislosti na typu sítě VPN, kterou chcete vytvořit:

Obsah

1. Vzdálený přístup VPN: L2TP přes IPSec
2. Vzdálený přístup VPN: klient IPSec
3. Site-to-Site VPN: Nebula peers
4. Site-to-Site VPN: partneři mimo Nebulu
5. Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurace

Vzdálený přístup VPN: L2TP přes IPSec

Chcete-li nakonfigurovat VPN L2TP přes IPSec, přejděte do nabídky Vzdálený přístup VPN a povolte možnost L2TP přes IPSec VPN. Jedinými povinnými poli pro zprovoznění sítě VPN je vyplnění tajného klíče (Preshared Key) a klientské podsítě VPN. Je třeba zvážit pouze použití podsítě, která ještě není nikde jinde používána. Můžete například změnit servery DNS nebo nastavit ověřování na místní server, ale to je zcela volitelné. Tlačítko "Výchozí" vedle položky Zásady otevře nabídku, která umožňuje nastavit návrhy IPSec. Výchozí hodnoty jsou navrženy tak, aby byly kompatibilní s většinou operačních systémů.

Po uložení konfigurace můžete využít funkci skriptu pro poskytování VPN - vyplňte seznam příjemců a klikněte na tlačítko "Odeslat poštu". Na zadané adresy bude odeslán konfigurační skript s pokyny k jeho použití.

Konfigurace klienta - režim skriptu poskytování

Nebula Pro nabízí pohodlný způsob konfigurace klientů se systémem Windows nebo macOS pomocí skriptu pro poskytování VPN. Ten lze odeslat přímo uživatelům:

Po odeslání e-mailu obdrží uživatelé e-mail z adresy info@nebula.zyxel.com, který obsahuje provisioningové skripty:

Jak napovídá jejich název, soubor .batfile je určen pro systém Windows, zatímco soubor .mobileconfig je určen pro systém macOS. Vzhledem k bezpečnostním omezením je třeba soubor .batfile před spuštěním přejmenovat na .bat. Jednoduchým poklepáním na skript vytvoříte v systému připojení k síti VPN. Během prvního připojení musí uživatel zadat své přihlašovací údaje. Ty se uloží po prvním úspěšném připojení.

Konfigurace klienta - ruční režim

Ruční konfigurace sítě VPN však není nijak obtížná. V systému Windows přejděte do nabídky Nastavení > Síť a internet > VPN a klikněte na Přidat připojení VPN.

Vyplňte formulář podle pověření poskytnutých společností Nebula (Můžete použít buď IP adresu, nebo DDNS automaticky generovanou společností Nebula) a vše je připraveno!

Další informace naleznete v tomto článku:

Nebula CC - Konfigurace protokolu L2TP pro bránu Nebula Firewall

Vzdálený přístup VPN: klient IPSec

Podobně jako konfigurace L2TP přes IPSec probíhá i konfigurace IPSec VPN v nabídce Vzdálený přístup VPN a začíná zaškrtnutím políčka IPSec VPN server. Jedinými povinnými poli pro zprovoznění sítě VPN je vyplnění tajného klíče (Preshared Key) a klientské podsítě VPN. Jediné, co je třeba zvážit, je použití podsítě, která ještě není nikde jinde používána. Můžete například změnit servery DNS nebo nastavit ověřování na místní server, ale to je volitelné. Tlačítko "Výchozí" vedle položky Zásady otevře nabídku, která umožňuje nastavit návrhy IPSec. Výchozí hodnoty jsou navrženy tak, aby poskytovaly vysoké zabezpečení připojení IPSec. Můžete také povolit dvoufaktorové ověřování klientů, abyste ještě více zvýšili zabezpečení pomocí autentizátoru Google.

Celá stránka -> Konfigurace -> Brána firewall -> Vzdálený přístup VPN

Konfigurace klienta

Konfigurace klienta je velmi jednoduchá. Nejprve chceme vytvořit bránu IPSec a vyplnit údaje na kartě Ověřování, jako v následujícím příkladu, který zohledňuje výchozí hodnoty kryptografie:

Na kartě Protokol je důležité zaškrtnout políčko Konfigurace režimu:

Nyní jsme připraveni vytvořit připojení IPSec. Vyplňte cílovou síťovou adresu, parametry ESP/PFS a můžete se připojit. Můžete také vytvořit více sítí a přistupovat k nim současně:

To je vše! Nyní jste připraveni se vzdáleně připojit. Nezapomeňte, že klient IPSec může vždy po dokončení konfiguraci exportovat a snadno ji tak nasadit na více zařízení.

Další informace naleznete v tomto článku:

Nebula [VPN] - Jak nakonfigurovat IKEv2 IPsec VPN

Site-to-Site VPN: Nebula peers

Konfigurace Site-to-Site VPN nebyla nikdy jednodušší. Nabídka Site-to-Site VPN začíná konfigurací rozhraní WAN. Jako odchozí rozhraní WAN můžete zvolit jediné rozhraní WAN nebo ponechat volbu jako automatickou, aby byla zajištěna redundance. V takovém případě budete dotázáni, které rozhraní má být upřednostněno.

Konfigurace pak pokračuje v místních sítích, kde jsou k dispozici místní rozhraní a vzdálená připojení VPN, která se mohou účastnit připojení VPN mezi lokalitami.

V další části můžete konfigurovat pokročilá nastavení. Můžete například vybrat požadovanou oblast VPN pro vaši síť - menším sítím bude stačit jedna výchozí oblast VPN. Větší nebo jednoduše propracovanější struktury VPN mohou potřebovat použít více Oblastí VPN. Další informace týkající se Oblasti VPN a Nebula VPN Orchestrator najdete v poslední kapitole.

Možnost NAT traversal umožňuje přizpůsobit IP adresu WAN pro vaši VPN. To je užitečné v situacích, kdy je na váš port WAN směrováno více IP adres a vy chcete pro VPN použít konkrétní adresu.

Další informace naleznete v tomto článku:

Nebula VPN - Konfigurace sítě VPN mezi lokalitami v Nebule mezi dvěma branami Nebula

Site-to-Site VPN: peeři mimo Nebulu

Přidání partnera mimo Nebulu samozřejmě vyžaduje konfiguraci v řídicím centru Nebula a v samostatném zařízení.

Na straně Nebula je nutné pouze vyplnit některé informace o připojení, zejména název, který bude identifikovat zařízení, jeho veřejnou IP adresu a vzdálenou privátní podsíť, kterou hodláte připojit k předsdíleným klíčům. Volitelně můžete upravit zásady IPSec podle svých potřeb a nastavit, které stránky budou k tomuto směrovači přistupovat. Upozorňujeme, že vlastnost privátní podsítě by neměla být síťová adresa, ale skutečná adresa zařízení používaná pro účely kontroly připojení ve formátu CIDR - například samotný vzdálený server VPN.

Důležité:
Speciální znaky jako -, +, ^, *, [, ], \, ", ? nejsou povoleny.
To se v budoucnu změní.

V tomto případě budeme muset na straně vzdáleného směrovače ATP200 nejprve vytvořit bránu VPN. Následující konfigurace umožní opakované použití této brány pro libovolný počet partnerů. S výchozím návrhem IPSec je nutné pouze změnit režim vyjednávání na "Aggressive" a předsdílený klíč.

Po konfiguraci brány VPN nám připojení VPN konečně umožní navázat spojení mezi dvěma směrovači. Nastavte místní a vzdálenou politiku podle topologie vaší sítě. Tyto hodnoty musí odpovídat konfiguraci v systému Nebula. V opačném případě se vyjednávání nezdaří.

Po uložení spojení VPN by mělo být spojení mezi směrovači navázáno během několika sekund.

Další informace naleznete v tomto článku:

Nebula VPN - Konfigurace sítě VPN mezi lokalitami s jiným partnerem než Nebula

Site-to-Site VPN: Orchestrátor VPN a pokročilé konfigurace

Nebula VPN Orchestrator je výkonný nástroj, který umožňuje snadno konfigurovat složité topologie VPN. Platforma NCC umožňuje abstraktní konfiguraci bez nutnosti konfigurovat jednotlivá připojení VPN na každé bráně a bezproblémově měnit topologii na základě vašich aktuálních požadavků pouhými několika kliknutími!

Vysvětlení topologie Nebula VPN

Nebula Orchestrator může obsahovat více oblastí VPN. Každá oblast může mít topologii Site-to-Site nebo topologii Hub-and-Spoke. V topologii Site-to-Site se každá bezpečnostní brána připojuje ke všem ostatním branám v oblasti VPN. V topologiích Hub-and-Spoke se jediná brána určená jako Hub připojí k ostatním branám. Je také možné mít jednu nebo více oblastí Site-to-Site a další oblasti Hub-and-Spoke.

Každá oblast může mít až pět rozbočovačů, pokud oblast neobsahuje NSG - v takovém případě může být v dané oblasti pouze jeden rozbočovač. Pokud má Hub nastaveno odchozí rozhraní na "auto", všechna připojení WAN budou vytáčet připojení VPN k branám Spoke současně.

Chcete-li komunikovat mezi oblastmi, můžete pro bránu povolit komunikaci v oblasti. Aby tato funkce fungovala, musí mít oblasti Site-to-Site určeného Area Leadera. Area Leaders nebo Hub brány budou vytáčet VPN tunely do jiných oblastí a umožní komunikaci mezi AC branami.

Konfigurace

Konfiguraci nástroje VPN Orchestrator naleznete v následující nabídce:

V horní části obrazovky je zobrazena mapa s aktuální vizualizací sítě VPN - včetně poruch způsobených ztrátou spojení. Zahrnuje také připojení partnerů, kteří nejsou součástí sítě Nebula - ta lze odlišit přerušovanou čarou.

V nabídce Smart VPN můžete vybrat požadovanou oblast, kterou chcete konfigurovat, nebo vytvořit novou a vybrat požadovanou topologii.

Na základě vašeho výběru může být nutné ve stejné nabídce označit rozbočovače (Hubs) a spoje (Spokes). V každém případě však budete moci vybrat, které brány se budou připojovat k síti VPN, které podsítě na těchto branách se budou účastnit spojení VPN a nakonfigurovat stav Area Communication (Komunikace v oblasti) zařízení.

Organization-wide -> Organization-wide manage -> VPN Orchastrator