Virtual Private Network, eller VPN i kort form, er en af de mest anvendte funktioner på vores sikkerhedsgateways, og med Nebula kan du konfigurere VPN på din USG FLEX på få minutter!
Synopsis
Denne artikel dækker alle almindelige VPN-scenarier, hvad enten det er Remote access VPN eller Site-to-Site VPN (inklusive VPN til ikke-Nebula peers). For at få adgang til konfigurationsmulighederne, bedes du logge ind på Nebula Control Center med dine legitimationsoplysninger på https://nebula.zyxel.com/ og navigere til følgende menu afhængigt af den type VPN, du ønsker at oprette:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Indholdsfortegnelse
- Remote Access VPN: L2TP over IPSec
- Remote Access VPN: IPSec klient
- Site-to-Site VPN: Nebula peers
- Site-to-Site VPN: ikke-Nebula peers
- Site-to-Site VPN: VPN Orchestrator og avancerede konfigurationer
Remote Access VPN: L2TP over IPSec
For at konfigurere L2TP over IPSec VPN, bedes du navigere til menuen Remote access VPN og aktivere L2TP over IPSec VPN-indstillingen. De eneste obligatoriske felter for at få din VPN til at fungere er at udfylde din hemmelighed (Preshared Key) og Client VPN-subnet. Du skal blot sikre dig, at du bruger et subnet, der ikke allerede er i brug andre steder. Du kan vælge at ændre DNS-serverne eller sætte autentificering til en lokal server, for eksempel, men dette er helt valgfrit. "Default"-knappen ved siden af Policy åbner en menu, som giver dig mulighed for at indstille IPSec-forslag. Standardværdierne er designet til at være kompatible med de fleste operativsystemer.
Site-wide -> Configure -> Firewall -> Remote Access VPNEfter du har gemt din konfiguration, kan du benytte VPN provision script-funktionen - udfyld en liste over modtagere og klik på "Send Mail"-knappen. Konfigurationsscriptet med instruktioner om, hvordan det bruges, vil blive sendt til de angivne adresser.
Klientkonfiguration - Provision script-tilstand
Nebula Pro tilbyder en bekvem måde at konfigurere Windows- eller macOS-klienter ved hjælp af et VPN-provisioneringsscript. Dette kan sendes direkte til brugerne:
Når mailen er sendt, vil brugerne modtage en mail fra info@nebula.zyxel.com, som indeholder provisioneringsscripts:
Som navnet antyder, er .batfilen beregnet til Windows, mens .mobileconfig-filen er beregnet til macOS. På grund af sikkerhedsrestriktioner skal .batfilen omdøbes til .bat før eksekvering. Et dobbeltklik på scriptet vil oprette en VPN-forbindelse på dit system. Under den første forbindelse skal brugeren angive sine legitimationsoplysninger. Disse gemmes efter den første vellykkede forbindelse.
Klientkonfiguration - Manuel tilstand
Det er dog ikke svært at konfigurere VPN manuelt. På Windows bedes du navigere til Indstillinger > Netværk & Internet > VPN og klikke på Tilføj VPN-forbindelse.
Udfyld formularen i henhold til de legitimationsoplysninger, der er givet af Nebula (du kan bruge enten IP-adresse eller DDNS, som automatisk genereres af Nebula), og så er du klar!
Se flere oplysninger i denne artikel:
Nebula CC - Konfigurer L2TP for din Nebula Firewall
Remote Access VPN: IPSec klient
På samme måde som ved L2TP over IPSec-konfiguration, foregår IPSec VPN-konfiguration også i menuen Remote Access VPN og starter med afkrydsningsfeltet IPSec VPN-server. De eneste obligatoriske felter for at få din VPN til at fungere er at udfylde en hemmelighed (Preshared Key) og Client VPN-subnet. Det eneste, du skal overveje, er at bruge et subnet, der ikke allerede er i brug andre steder. Du kan vælge at ændre DNS-serverne eller sætte autentificering til en lokal server, for eksempel, men dette er valgfrit. "Default"-knappen ved siden af Policy åbner en menu, der giver dig mulighed for at indstille IPSec-forslag. Standardværdierne er designet til at give høj sikkerhed til dine IPSec-forbindelser. Du kan også aktivere tofaktorgodkendelse for dine klienter for yderligere at øge sikkerheden via Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Klientkonfiguration
Det er meget enkelt at konfigurere klienten. Først skal vi oprette IPSec Gateway og udfylde detaljerne på fanen Authentication, som i følgende eksempel, der tager udgangspunkt i standardkryptografiværdier:
På fanen Protocol er det vigtigt at markere boksen "Mode Config":
Nu er vi klar til at oprette en IPSec-forbindelse. Udfyld venligst mål-netværksadressen, ESP/PFS-parametrene, og så er du klar til at oprette forbindelse. Du kan også oprette flere netværk og få adgang til dem samtidig:
Det var det! Nu er du klar til at oprette fjernforbindelse. Husk, at IPSec-klienten altid kan eksportere konfigurationen, når den er færdig, for nemt at implementere den på flere enheder.
Se flere oplysninger i denne artikel:
Nebula [VPN] - Sådan konfigureres IKEv2 IPsec VPN
Site-to-Site VPN: Nebula peers
Det har aldrig været nemmere at konfigurere en Site-to-Site VPN. Menuen Site-to-Site VPN starter med konfiguration af WAN-interface. Du kan vælge en enkelt WAN-interface som udgående eller lade valgmuligheden stå på auto for at give redundans. I så fald bliver du spurgt, hvilken interface der skal foretrækkes.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfigurationen fortsætter derefter til dine lokale netværk, hvor lokale interfaces og fjern-VPN-forbindelser er tilgængelige for at deltage i site-to-site VPN-forbindelsen.
I næste afsnit kan du konfigurere avancerede indstillinger. For eksempel kan du vælge det ønskede VPN-område for dit netværk – mindre netværk klarer sig fint med blot ét standard VPN-område. Større eller mere komplekse VPN-strukturer kan have behov for at bruge flere VPN-områder. Mere information om VPN-område og Nebula VPN Orchestrator kan findes i sidste kapitel.
NAT traversal-indstillingen giver dig mulighed for at tilpasse din WAN IP-adresse til din VPN. Dette er nyttigt i situationer, hvor flere IP-adresser er routet til din WAN-port, og du vil bruge en specifik adresse til VPN.
Site-to-Site VPN: ikke-Nebula peers
Tilføjelse af en ikke-Nebula peer kræver naturligvis en konfiguration både i Nebula Control Center og på den standalone enhed.
På Nebula-siden skal du blot udfylde nogle oplysninger om forbindelsen, især navnet, der vil identificere enheden, dens offentlige IP-adresse og et fjernprivat subnet, som du har til hensigt at forbinde til den foruddelte nøgle. Valgfrit kan du redigere IPSec-politikken for at tilpasse den til dine behov og angive, hvilke sites der får adgang til denne router. Bemærk venligst, at egenskaben privat subnet ikke bør være en netværksadresse, men skal være en faktisk enhedsadresse, der bruges til forbindelsestjek i CIDR-format – for eksempel den fjern-VPN-server selv.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNVigtigt:
Specialtegn som -, +, ^, *, [, ], \, ", ? er ikke tilladt.
Dette vil ændre sig i fremtiden.
I dette tilfælde, på siden af den fjernstyrede router, ATP200, skal vi først oprette en VPN-gateway. Den følgende konfiguration giver dig mulighed for at genbruge denne gateway til så mange peers, som du ønsker. Med standard IPSec-forslaget skal du kun ændre forhandlingsmetoden til "Aggressive" og angive den foruddelte nøgle.
Efter konfigurationen af VPN Gateway vil VPN-forbindelsen endelig tillade os at etablere forbindelsen mellem de to routere. Indstil venligst lokal og fjernpolitik i henhold til din netværkstopologi. Disse værdier skal matche konfigurationen i Nebula. Ellers vil forhandlingen mislykkes.
Efter at have gemt VPN-forbindelsen, bør forbindelsen mellem routerne blive etableret inden for få sekunder.
Se flere oplysninger i denne artikel:
Nebula VPN - Konfigurer Site-to-Site VPN til en ikke-Nebula-peer
Site-to-Site VPN: VPN Orchestrator og avancerede konfigurationer
Nebula VPN Orchestrator er et kraftfuldt værktøj, der giver dig mulighed for nemt at konfigurere komplekse VPN-topologier. NCC-platformen tillader abstrakt konfiguration uden at skulle konfigurere individuelle VPN-forbindelser på hver gateway og muliggør problemfri ændring af topologien baseret på dine aktuelle behov med blot et par klik!
Nebula VPN-topologi forklaret
Nebula Orchestrator kan indeholde flere VPN-områder. Hvert område kan enten være en Site-to-Site-topologi eller en Hub-and-Spoke-topologi. I Site-to-Site-topologier forbinder hver sikkerhedsgateway til alle andre gateways inden for VPN-området. I Hub-and-Spoke-topologier vil den eneste gateway, der er udpeget som Hub, forbinde til de andre gateways. Det er også muligt at have et eller flere Site-to-Site-områder og andre Hub-and-Spoke-områder.
Hvert område kan have op til fem Hubs, medmindre området indeholder en NSG – i så fald kan der kun være en enkelt Hub i et givent område. Hvis Hubben har sin udgående interface sat til "auto", vil alle WAN-forbindelser oprette VPN-forbindelser til Spoke-gateways samtidig.
For at kommunikere mellem områder kan du aktivere Area Communication for gatewayen. Site-to-Site-områder skal have en udpeget Area Leader for at dette kan fungere. Area Leaders eller Hub-gateways vil oprette VPN-tunneler til andre områder og tillade kommunikation mellem AC-gateways.
Konfiguration
VPN Orchestrator-konfigurationen findes i følgende menu:
Organization-wide > VPN OrchestratorØverste del af skærmen viser et kort med en aktuel visualisering af VPN-netværket – inklusive fejl på grund af tab af forbindelse. Dette inkluderer også ikke-nebula peer-forbindelser – disse kan skelnes med en stiplet linje.
I Smart VPN-menuen kan du vælge det ønskede område, du ønsker at konfigurere, eller oprette et nyt og vælge den ønskede topologi.
Baseret på dit valg kan du blive nødt til at udpege Hubs og Spokes i samme menu. Men under alle omstændigheder vil du kunne vælge, hvilke gateways der skal forbindes til VPN, hvilke subnet på disse gateways der deltager i VPN-forbindelserne, og konfigurere Area Communication-status for enheden.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Kommentarer
0 kommentarerLog ind for at kommentere.