Nebula [VPN] - Sådan konfigureres IKEv2 IPsec VPN

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Denne artikel vil hjælpe dig med at forstå, hvad du kan gøre med IKEv2 VPN i Nebula. Den forklarer, hvordan du opsætter IKEv2, opretter Nebula Cloud-brugere til VPN-adgang og konfigurerer SecuExtender-klienten.

IKEv2-begrænsninger

Nebula understøtter i øjeblikket ikke officielt brug:

  • IKEv2 med forhåndsdelt nøgle

Konfiguration af IKEv2 i Nebula

  • Aktivér "IPsec VPN-server" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Aktivér "IPsec VPN-serveren"
  • Indtast klientens VPN-undernet (dette er det undernet, som VPN-klienterne vil modtage, og det KAN IKKE overlappe med noget andet undernet i din Nebula-organisation eller eksterne VPN-undernet (skal skrives som xx.xx.xx.xx/xx "ex. 192.168.50.0/24").
  • Vælg IKEv2-version
  • Angiv om nødvendigt navneservere (DNS-servere) til VPN-klienter. Hvis du bruger interne DHCP/DNS-servere, skal du angive den interne DNS-server og bruge Google DNS (8.8.8.8) som den anden navneserverpost. Denne opsætning hjælper med at forhindre potentielle DNS- og kommunikationsproblemer med VPN-klienter.
  • Nebula Cloud Authentication - vi bruger det i vores eksempel. Mendu har flere muligheder for godkendelse. Du kan vælge Nebula Cloud Authentication, din egen Active Directory- eller RADIUS-server eller endda bruge to-faktor-godkendelse via Google Authenticator-appen. Dette kan sættes op ved at slå funktionen "to-faktor-godkendelse med Captive Portal" til. Når en bruger opretter forbindelse til VPN'en, vil de blive bedt om at logge ind med Google Authenticator. De kan også tilmelde sig tofaktorgodkendelse via en e-mail, der indeholder deres loginoplysninger.
  • SecuExtender IKEv2 VPN-konfigurationsbestemmelse - Vælg den eller de e-mails, du vil bruge til at sende VPN-konfigurationsfilen til SecuExtender IKEv2 VPN (du kan tilføje og fjerne e-mails her, hvilket ikke træder i kraft, før du trykker på "Gem").
  • Klik på "Gem"

  • Det næste trin er at ændre "Policy", for at gøre dette skal du klikke på "Default" og konfigurere indstillingerne for fase 1 og fase 2 som nedenfor (glem ikke at gemme indstillingerne ved at klikke på knappen "Save"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Når du har ændret politikkerne, skal du huske at gemme ændringerne ved at klikke på knappen "Save".

Bemærk: MacOS kan kræve højere kryptering og godkendelse, hvor AES256 og SHA256 efter vores erfaring fungerer godt.

Oprettelse af Nebula Cloud-brugere

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klik på "Tilføj" en ny VPN-bruger
  • Udfyld "Email", som kan bruges til at sende legitimationsoplysningerne og også til login (hvis valgt).
  • Udfyld "Brugernavn" og "Adgangskode
  • VPN Access - skal være aktiveret for at VPN-brugeren kan få adgang til VPN'en og godkende med brugeroplysningerne
  • Autoriseret - vælg, hvilke websteder du vil give adgang til
  • Login by - vælg, om brugeren kan logge ind på VPN / 802.1x med brugernavn, e-mailadresse eller ved hjælp af begge dele
  • To-faktor auth. -marker afkrydsningsfeltet , hvis du IKKE ønsker, at tofaktorgodkendelse skal indstilles for denne bruger
  • E-mail til bruger - vælg, om du vil sende legitimationsoplysningerne til brugeren via e-mail
  • Bemærk: Hver gang du trykker på "Gem" (eller "Opret bruger") efter ændringer, får brugeren en e-mail. Så hvis du ændrer indstillingerne for den pågældende bruger, kan det være en god idé at fjerne markeringen i feltet, indtil du er færdig med at konfigurere brugeren.

Yderligere indstillinger, der er interessante at kende til:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) er dynamisk adgangskodestyring til WiFi (ikke VPN), som kan gøre dine VPN-brugere og dit netværk mere sikkert. Den opretter en unik adgangskode for hver bruger, så en bruger lettere kan isoleres, hvis den bliver hacket.
  • 802.1X - Til netværksgodkendelse (ikke VPN) kan dette få brugerne til at godkende netværket med 802.1x ved hjælp af Nebula Cloud-godkendelse.
  • VLAN-tildeling - VLAN-tildeling er en Professional Pack-funktion, der konfigurerer et statisk VLAN til brugeren, når den kommer ind på netværket.

Konfiguration af SecuExtender-klienten

  • Send .tgb-filen (VPN-konfigurationen) via e-mail
Site-wide -Configure Firewall -> Remote access VPN
  • Send VPN-konfigurationen til din e-mail ved at tilføje din e-mail (eller brugernes e-mails) og derefter trykke på "Tilføj ny", hvis den ikke er til stede. Klik derefter på "Send e-mail", og tjek din e-mail (og spam-mappen).

  • Installer .tgb-filen i SecuExtender

mceclip4.png

  • Hvis du ikke kan få pop op-vinduet vist, skal du åbne SecuExtender på skrivebordet, så du ser SecuExtender IPsec VPN-klienten (vinduet vist på billedet nedenfor), og derefter åbne .tgb-filen fra e-mailen igen.


  • Kontrol af forbindelsen

Når du har importeret konfigurationen til VPN-klienten, skal du dobbeltklikke på "RemoteAccessVPN" og derefter indtaste "Login" og "Password" og klikke på "OK".

  • Hvis du støder på problemer, skal du dobbelttjekke indstillingerne for fase 1 og fase 2 i SecuExtender og sørge for, at du har den samme kryptering og godkendelse på Nebula IKEv2 VPN-indstillingerne.

  • Deaktivering af delt tunnelering

Hvis du har problemer med, at al trafik går gennem VPN-tunnelen (både internet- og VPN-trafik), kan du læse denne artikel:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verificering af VPN-forbindelsen

Når VPN-forbindelsen er etableret, kan du verificere forbindelsen ved at åbne et kommandopromptvindue (eller PowerShell) og udstede følgende kommandoer.

  • ipconfig

Denne kommando giver IP-adressen til VPN-grænsefladen.

mceclip4.png

  • ping [fjern_adresse]

Denne kommando giver dig mulighed for at køre en ping-test til en enhed på NebulaCC-gatewayens LAN-netværk.

mceclip5.png

  • På NCC'en bør du nu kunne se logfiler, der viser, at VPN'en fungerer korrekt. I nedenstående skærmbillede kan du se, at anmodningerne om hovedtilstand har nået USG'en, fase 1 kunne etableres med succes, og XAuth i Nebula Control Center fungerer fint.

mceclip0.png

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del