Denne vejledning hjælper med konfigurationen af Zyxel IPSec VPN-klienten (version 3.8.204.61.32) til VPN-forbindelse med Nebula CC IPSec Remote Access VPN (C2S)-funktionen ved hjælp af Nebula Security PRD_INS_4GtS.

Indholdsfortegnelse

1. Oversigt
2. Understøttede enheder
3. Nebula Control Center opsætning
4. VPN-klientopsætning (SecuExtender IPSEC VPN-klient)

Oversigt

Et VPN (Virtual P rivate Network ) giver sikker kommunikation mellem websteder uden udgifter til lejede kredsløb. VPN'er bruges til sikker transport af trafik over internettet på et usikkert netværk, der bruger TCP/IP-kommunikation. En fjernadgang VPN (klient-til-sted) giver medarbejdere, der er på rejse eller fjernarbejder, sikker adgang til virksomhedens netværksressourcer. Der er flere typer VPN-protokoller/teknologier, der kan bruges til at etablere en sikker forbindelse til virksomhedens netværk, L2TP, PPTP, SSL, OpenVPN osv. Denne vejledning vil referere til IPSec-protokollen for at etablere en sikker VPN-tunnel mellem eksterne værter ( brugere forbundet til internettet uden for virksomhedens netværksstruktur) og NebulaCC-gatewayen. Tredjeparts IPSec-software er påkrævet for at etablere VPN-forbindelsen, da de nuværende operativsystemer mangler en indbygget IPSec-klient. Denne gennemgang hjælper med at konfigurere VPN-opsætningen på IPSec VPN-klienten (version 3.8.204.61.32).

Understøttede enheder

NSG-serien (50/100/200/300)
USG FLEX-serien (100/100W/200/500/700)

Nebula CC VPN-opsætning

Bemærk: På Nebula Kontrolcenter er der et krav om, at der skal være en brugerdatabase i baggrunden for at med IPSec-klienten godkendes hen imod. For at dette skal fungere, skal vi i klienten opsætte "X-Auth" og "Config Mode".

Klik ind på den nye Nebula CC brugergrænseflade og gå til:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Angiv Client VPN-serveren som en IPSec-klient. Hvis din NSG/USG FLEX er placeret bag NAT-gatewayen, skal du skrive NAT-traversal.

Opret en VPN-klientkonto til godkendelse. Typen er Nebula Cloud Authentication. Sørg for at oprette en bruger i den respektive undermenu

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN-klientopsætning

Den seneste version af Zyxel IPSec VPN-klienten kan downloades fra her . Når klienten er installeret, skal du starte programmet og åbne Konfigurationspanel . Klik på mappen "IKE V1" under VPN-konfiguration , når mappen er valgt, skal du trykke på "Ctrl + N"-tasterne på tastaturet for at tilføje en "Ikev1Gateway"-regel. Foretag følgende ændringer af reglen:

1. Fjernbetjening Gateway
   
   • Interface – Vælg den grænseflade, som computeren skal bruge til at etablere VPN-forbindelsen. Indstil dette til Nogen hvis VPN-klienten får lov til at bruge enhver forbindelse, der er tilgængelig på computeren.
   • Remote Gateway – Indtast FQDN/DDNS/IP for NebulaCC-gatewayen, du vil oprette forbindelse til.
2. Godkendelse
   
   • Vælg indstillingen "Foruddelt nøgle".
   • Indtast den foruddelte nøgle, der bruges på NebulaCC IPSec-konfigurationen, og "Bekræft" nøglen.
3. X-Auth
   
   • Aktiver – Dette felt skal være markeret.
   • X-Auth Popup - Dette felt bør kun markeres, hvis du ønskede at blive bedt om brugernavn og adgangskode ved forbindelse
     • Login – Angiv NebulaCC VPN-kontobrugernavn. Kun hvis "X-Auth Popup" ikke er markeret.
     • Adgangskode – Angiv adgangskoden til NebulaCC VPN-konto. Kun hvis "X-Auth Popup" ikke er markeret.
4. Kryptografi (eksempel opsætning)
   • Kryptering – Vælg AES256 fra rullemenuen.
   • Godkendelse – Vælg SHA-256 fra rullemenuen.
   • Nøglegruppe – Vælg DH14 (1024) fra rullemenuen.

Fra "Ikev1Gateway" skal du klikke på Protokol fanen og foretag følgende ændring:

Aktiver Mode Config mulighed.
Mens "Ikev1Gateway" er fremhævet, skal du trykke på "Ctrl + N"-tasterne på tastaturet igen for at tilføje "Ikev1Tunnel"-delen af forbindelsen. Foretag følgende ændringer:

1. Adresse
   
   • VPN-klientadresse – Lad denne mulighed være som den er. (0.0.0.0 som standard)
   • Adressetype – Vælg Subnet-adresse fra rullemenuen.
   • Fjern-LAN-adresse – Indtast NebulaCC lokale LAN IP-skema.
   • Undernetmaske – Indtast NebulaCC lokal LAN-undernetmaske.
2. ESP
   
   • Kryptering – Vælg AES256 fra rullemenuen.
   • Godkendelse – Vælg SHA-256 fra rullemenuen.
   • Mode – Vælg Tunnel fra rullemenuen.
3. PFS
   
   • Lad denne indstilling være umarkeret.
4. Livstid
   
   • Levetiden er mængden af tid, i sekunder, før klienten genforhandler algoritmerne.

Når alle indstillinger er foretaget, skal du klikke på Konfiguration mulighed på værktøjslinjen, og vælg Gem . Dette vil gemme alle de ændringer, der er foretaget til klienten.

For at etablere VPN-forbindelsen til NebulaCC-gatewayen skal du højreklikke på "Ikev1Tunnel" og vælge Åbn tunnelen eller tryk på (Ctrl + O) på dit tastatur.

Verifikation

Når VPN-forbindelsen er etableret, kan du bekræfte forbindelsen ved at åbne et kommandopromptvindue (eller PowerShell) og udstede følgende kommandoer.

• ipconfig
  Denne kommando giver IP-adressen til VPN-grænsefladen.
  
• ping [fjernadresse]
  Denne kommando giver dig mulighed for at køre en ping-test til en enhed placeret på NebulaCC gateways LAN-netværket.
  

På NCC skulle du nu kunne se logfiler, der viser, at VPN'en fungerer korrekt. På nedenstående skærmbillede kan du se, at hovedtilstandsanmodningerne har nået USG, fase 1 kunne etableres med succes, og XAuth i Nebula Control Center fungerer fint.