Nebula [VPN] - Oversigt over virtuelle private netværk (VPN)

Virtual Private Network, eller kort sagt VPN, er en af de mest anvendte funktioner på vores sikkerhedsgateways, og med Nebula kan du konfigurere VPN på din USG FLEX på få minutter!

Synopsis

Denne artikel vil dække alle almindelige VPN-scenarier, hvad enten det er Remote Access VPN eller Site-to-Site VPN (inklusive VPN til ikke-Nebula-peers). For at få adgang til konfigurationsmulighederne skal du logge ind på Nebula Control Center med dine legitimationsoplysninger på https://nebula.zyxel.com/ og navigere til følgende menu afhængigt af den type VPN, du vil oprette:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Indholdsfortegnelse

1. VPN til fjernadgang: L2TP over IPSec
2. VPN til fjernadgang: IPSec-klient
3. Site-to-Site VPN: Nebula-peers
4. Site-to-Site VPN: ikke-Nebula-peers
5. Site-to-Site VPN: VPN Orchestrator og avancerede konfigurationer

VPN til fjernadgang: L2TP over IPSec

For at konfigurere L2TP over IPSec VPN skal du navigere til Remote Access VPN-menuen og aktivere L2TP over IPSec VPN-indstillingen. De eneste obligatoriske felter for at få din VPN til at fungere er at udfylde din hemmelighed (Preshared Key) og Client VPN subnet. Du behøver kun at overveje at bruge et undernet, der endnu ikke bruges andre steder. Du kan f.eks. ændre DNS-serverne eller indstille godkendelsen til en lokal server, men det er helt valgfrit. Knappen "Default" ved siden af Policy åbner en menu, der giver dig mulighed for at indstille IPSec-forslag. Standardværdierne er designet til at være kompatible med de fleste operativsystemer.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Når du har gemt din konfiguration, kan du bruge funktionen VPN provision script - udfyld en liste over modtagere, og klik på knappen "Send Mail". Konfigurationsscriptet med instruktioner om, hvordan du bruger det, vil blive sendt til de angivne adresser.

Klientkonfiguration - Provision script-tilstand

Nebula Pro tilbyder en praktisk måde at konfigurere Windows- eller macOS-klienter på ved hjælp af et VPN-provisioneringsscript. Dette kan sendes direkte til brugerne:

Når mailen er sendt, vil brugerne modtage en mail fra info@nebula.zyxel.com, der indeholder provisioning-scripts:

Som navnet antyder, er .batfile-filen beregnet til Windows, mens .mobileconfig-filen er beregnet til macOS. På grund af sikkerhedsrestriktioner skal .batfile-filen omdøbes til .bat, før den udføres. Du skal blot dobbeltklikke på scriptet for at oprette en VPN-forbindelse på dit system. Under den første forbindelse skal brugeren angive sine legitimationsoplysninger. Disse gemmes efter den første vellykkede forbindelse.

Klientkonfiguration - Manuel tilstand

Det er dog ikke svært at konfigurere VPN manuelt. I Windows skal du navigere til Indstillinger > Netværk & Internet > VPN og klikke på Tilføj VPN-forbindelse.

Udfyld formularen i henhold til de legitimationsoplysninger, Nebula giver dig (du kan bruge enten IP-adresse eller DDNS, der automatisk genereres af Nebula), og så er du klar!

Se mere information i denne artikel:

Nebula CC - Konfigurer L2TP til din Nebula Firewall

VPN til fjernadgang: IPSec-klient

På samme måde som L2TP over IPSec-konfigurationen foregår IPSec VPN-konfigurationen også i Remote Access VPN-menuen og starter med afkrydsningsfeltet IPSec VPN-server. De eneste obligatoriske felter for at få din VPN til at fungere er at udfylde en hemmelighed (Preshared Key) og Client VPN subnet. Det eneste, du skal overveje, er at bruge et undernet, der endnu ikke bruges andre steder. Du kan f.eks. ændre DNS-serverne eller indstille autentificering til en lokal server, men det er valgfrit. Knappen "Default" ved siden af Policy åbner en menu, der giver dig mulighed for at indstille IPSec-forslag. Standardværdierne er designet til at give høj sikkerhed til dine IPSec-forbindelser. Du kan også aktivere to-faktor-autentificering for dine klienter for at forbedre sikkerheden yderligere med Google authenticator.

Hele webstedet -> Konfigurer -> Firewall -> VPN til fjernadgang

Konfiguration af klient

Det er meget enkelt at konfigurere klienten. Først vil vi oprette IPSec Gateway og udfylde detaljerne på fanen Authentication, som i følgende eksempel, der tager højde for standardkryptografiværdier:

På fanen Protocol er det vigtigt at vælge feltet "Mode Config":

Nu er vi klar til at oprette en IPSec-forbindelse. Udfyld målnetværksadressen, ESP/PFS-parametrene, og du er klar til at oprette forbindelse. Du kan også oprette flere netværk og få adgang til dem samtidigt:

Det var det! Nu er du klar til at oprette fjernforbindelse. Husk, at IPSec-klienten altid kan eksportere konfigurationen, når den er færdig, så den nemt kan implementeres på flere enheder.

Se flere oplysninger i denne artikel:

Nebula [VPN] - Sådan konfigureres IKEv2 IPsec VPN

Site-to-Site VPN: Nebula-peers

Det har aldrig været nemmere at konfigurere en Site-to-Site VPN. Site-to-Site VPN-menuen starter med konfiguration af WAN-interface. Du kan vælge et enkelt WAN-interface som udgående eller lade indstillingen være auto for at sikre redundans. I så fald vil du blive spurgt, hvilken grænseflade der skal foretrækkes.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Konfigurationen fortsætter derefter til dine lokale netværk, hvor lokale interfaces og eksterne VPN-forbindelser er tilgængelige for at deltage i site-to-site VPN-forbindelsen.

I det næste afsnit kan du konfigurere de avancerede indstillinger. For eksempel kan du vælge det ønskede VPN-område for dit netværk - mindre netværk kan nøjes med ét standard-VPN-område. Større eller mere komplicerede VPN-strukturer kan have brug for flere VPN-områder. Mere information om VPN-områder og Nebula VPN Orchestrator kan findes i sidste kapitel.

NAT traversal-indstillingen giver dig mulighed for at tilpasse din WAN-IP-adresse til din VPN. Det er nyttigt i situationer, hvor flere IP'er dirigeres til din WAN-port, og du ønsker at bruge en bestemt adresse til VPN.

Se flere oplysninger i denne artikel:

Nebula VPN - Konfigurer Site-to-Site VPN i Nebula mellem to Nebula Gateways

Site-to-Site VPN: ikke-Nebula-peers

Tilføjelse af en ikke-Nebula-peer kræver naturligvis en konfiguration på Nebula Control Center og standalone-enheden.

På Nebula-siden er det kun nødvendigt at udfylde nogle oplysninger om forbindelsen, især det navn, der skal identificere enheden, dens offentlige IP-adresse og et eksternt privat undernet, som du har til hensigt at forbinde til den forhåndsdelte nøgle. Du kan også redigere IPSec-politikken, så den passer til dine behov, og indstille, hvilke sider der skal have adgang til denne router. Bemærk, at egenskaben privat subnet ikke bør være en netværksadresse, men en faktisk enhedsadresse, der bruges til forbindelsestjek i CIDR-format - for eksempel selve den eksterne VPN-server.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Det er vigtigt:
Specialtegn som -, +, ^, *, [, ], \, ", ? er ikke tilladt.
Dette vil ændre sig i fremtiden.

I dette tilfælde skal vi først oprette en VPN-gateway på siden af den eksterne router, ATP200. Følgende konfiguration giver dig mulighed for at genbruge denne gateway til så mange peers, som du ønsker. Med standard IPSec-forslaget er det kun nødvendigt at ændre forhandlingstilstanden til "Aggressive" og pre-shared key.

Efter konfigurationen af VPN-gatewayen vil VPN-forbindelsen endelig give os mulighed for at etablere forbindelsen mellem de to routere. Indstil den lokale og eksterne politik i henhold til din netværkstopologi. Disse værdier skal matche konfigurationen i Nebula. Ellers vil forhandlingen mislykkes.

Når du har gemt VPN-forbindelsen, bør forbindelsen mellem routerne være etableret inden for få sekunder.

Se mere information i denne artikel:

Nebula VPN - Konfigurer Site-to-Site VPN til en ikke-Nebula-Peer

Site-to-Site VPN: VPN Orchestrator og avancerede konfigurationer

Nebula VPN Orchestrator er et kraftfuldt værktøj, der gør det nemt at konfigurere komplekse VPN-topologier. NCC-platformen giver mulighed for abstrakt konfiguration uden konfiguration af individuelle VPN-forbindelser på hver gateway og problemfri ændring af topologien baseret på dine aktuelle krav med blot et par klik!

Nebula VPN-topologi forklaret

Nebula Orchestrator kan indeholde flere VPN-områder. Hvert område kan enten være Site-to-Site-topologi eller Hub-and-Spoke-topologi. I Site-to-Site-topologier opretter hver sikkerhedsgateway forbindelse til alle andre gateways i VPN-området. I Hub-and-Spoke-topologier vil den eneste gateway, der er udpeget som Hub, forbinde til andre gateways. Det er også muligt at have et eller flere Site-to-Site-områder og andre Hub-and-Spoke-områder.

Hvert område kan have op til fem Hubs, medmindre området indeholder en NSG - i så fald kan der kun være en enkelt Hub i et givent område. Hvis Hub'ens udgående interface er sat til "auto", vil alle WAN-forbindelser ringe VPN-forbindelserne op til Spoke-gateways samtidig.

For at kommunikere mellem områder kan du aktivere områdekommunikation for gatewayen. Site-to-Site-områder skal have en udpeget Area Leader, for at det kan fungere. Area Leaders eller Hub-gateways vil ringe VPN-tunneller op til andre områder og tillade kommunikation mellem AC-gateways.

Konfiguration

VPN Orchestrator-konfigurationen kan findes i følgende menu:

Organization-wide > VPN Orchestrator

Den øverste del af skærmen viser et kort med en aktuel visualisering af VPN-netværket - inklusive fejl på grund af tab af forbindelse. Dette inkluderer også ikke-nebula peer-forbindelser - disse kan skelnes med en stiplet linje.

I Smart VPN-menuen kan du vælge det ønskede område, du vil konfigurere, eller oprette et nyt og vælge den ønskede topologi.

Baseret på dit valg skal du muligvis udpege Hubs og Spokes i den samme menu. Men under alle omstændigheder vil du kunne vælge, hvilke gateways der skal oprette forbindelse til VPN, hvilke undernet på disse gateways der skal deltage i VPN-forbindelserne, og konfigurere enhedens status for områdekommunikation.

Organization-wide -> Organization-wide manage -> VPN Orchastrator