Nebula [VPN] - Wie konfiguriere ich IKEv2 IPsec VPN

Erstellt - Aktualisiert
Serhii Boiarynov
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Dieser Artikel hilft Ihnen zu verstehen, was Sie mit dem IKEv2 VPN in Nebula tun können. Er erklärt, wie man IKEv2 einrichtet, Nebula Cloud-Benutzer für den VPN-Zugang anlegt und den SecuExtender-Client konfiguriert.

IKEv2-Einschränkungen

Nebula unterstützt derzeit offiziell nicht die Verwendung von:

  • IKEv2 mit Pre-Shared Key

Konfigurieren von IKEv2 in Nebula

  • Aktivieren Sie den "IPsec-VPN-Server". 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Aktivieren Sie den "IPsec VPN-Server".
  • Geben Sie das Client-VPN-Subnetz ein (dies ist das Subnetz, das die VPN-Clients erhalten und sich NICHT mit einem anderen Subnetz in Ihrer Nebula-Organisation überschneiden darf, auch nicht mit entfernten VPN-Subnetzen (sollte als xx.xx.xx.xx/xx "z.B. 192.168.50.0/24" geschrieben werden)
  • Wählen Sie die IKEv2-Version
  • Geben Sie bei Bedarf die Namensserver (DNS-Server) für die VPN-Clients an. Wenn Sie interne DHCP/DNS-Server verwenden, geben Sie den internen DNS-Server an und verwenden Sie Google DNS (8.8.8.8) als zweiten Nameservereintrag. Auf diese Weise können Sie mögliche DNS- und Kommunikationsprobleme mit VPN-Clients vermeiden.
  • Nebula Cloud-Authentifizierung - wir verwenden sie in unserem Beispiel. Sie habenjedochmehrere Optionen für die Authentifizierung. Sie können die Nebula-Cloud-Authentifizierung, Ihren eigenen Active Directory- oder RADIUS-Server oder sogar die Zwei-Faktor-Authentifizierung über die Google Authenticator-App verwenden. Dies kann eingerichtet werden, indem die Funktion "Zwei-Faktor-Authentifizierung mit Captive Portal" aktiviert wird. Wenn sich ein Nutzer mit dem VPN verbindet, wird er aufgefordert, sich mit Google Authenticator anzumelden. Sie können sich auch für die Zwei-Faktor-Authentifizierung über eine E-Mail anmelden, die ihre Anmeldedaten enthält.
  • SecuExtender IKEv2 VPN-Konfigurationsbereitstellung - Wählen Sie die E-Mail(s) aus, die Sie verwenden möchten, um die VPN-Konfigurationsdatei für das SecuExtender IKEv2 VPN zu senden (Sie können hier E-Mails hinzufügen und entfernen, was erst nach dem Drücken von "Speichern" wirksam wird).
  • Klicken Sie auf "Speichern".

  • Klicken Sie dazu auf "Standard" und konfigurieren Sie die Einstellungen für Phase 1 und Phase 2 wie folgt (vergessen Sie nicht, die Einstellungen durch Klicken auf die Schaltfläche "Speichern" zu speichern):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Vergessen Sie nach dem Ändern der Richtlinien nicht, die Änderungen durch Klicken auf die Schaltfläche "Speichern" zu speichern.

Hinweis: MacOS kann eine höhere Verschlüsselung und Authentifizierung erfordern, wobei AES256 und SHA256 unserer Erfahrung nach gut funktionieren.

Erstellen von Nebula Cloud-Benutzern

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klicken Sie auf "Hinzufügen" eines neuen VPN-Benutzers
  • Geben Sie die "E-Mail" ein, die für den Versand der Anmeldedaten und auch für die Anmeldung (falls ausgewählt) verwendet werden kann.
  • Geben Sie den "Benutzernamen" und das "Passwort" ein
  • VPN-Zugang - sollte aktiviert sein, damit der VPN-Benutzer auf das VPN zugreifen und sich erfolgreich mit den Benutzerdaten authentifizieren kann
  • Autorisiert - wählen Sie aus, auf welche Seiten Sie den Zugriff erlauben wollen
  • Login by - Wählen Sie, ob sich der Benutzer mit seinem Benutzernamen, seiner E-Mail-Adresse oder mit einem von beiden am VPN / 802.1x anmelden kann.
  • Zwei-Faktoren-Authentifizierung. -Aktivieren Sie das Kontrollkästchen, wenn die Zwei-Faktor-Authentifizierung für diesen Benutzer NICHT eingerichtet werden soll.
  • E-Mail an den Benutzer - wählen Sie aus, ob Sie die Anmeldedaten per E-Mail an den Benutzer senden möchten
  • Hinweis: Jedes Mal, wenn Sie nach Änderungen auf "Speichern" (oder "Benutzer erstellen") klicken, erhält der Benutzer eine E-Mail. Wenn Sie also die Einstellungen für diesen Benutzer ändern, sollten Sie das Kontrollkästchen deaktivieren, bis Sie mit der Konfiguration des Benutzers fertig sind.

Weitere Einstellungen, die interessant sind:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) ist eine dynamische Passwortverwaltung für WiFi (nicht VPN), die Ihre VPN-Benutzer und Ihr Netzwerk sicherer machen kann. Es erstellt ein einzigartiges Passwort für jeden Benutzer, so dass ein Benutzer leichter isoliert werden kann, wenn er gehackt wird.
  • 802.1X - Für die Netzwerkauthentifizierung (nicht VPN) kann dies die Benutzer dazu bringen, sich über das Netzwerk mit 802.1x unter Verwendung der Nebula Cloud-Authentifizierung zu authentifizieren.
  • VLAN-Zuweisung - Die VLAN-Zuweisung ist eine Funktion des Professional Packs, mit der dem Benutzer ein statisches VLAN zugewiesen wird, wenn er das Netzwerk betritt.

Konfigurieren des SecuExtender-Clients

  • Senden Sie die .tgb-Datei (VPN-Konfiguration) per E-Mail
Site-wide -Configure Firewall -> Remote access VPN
  • Senden Sie die VPN-Konfiguration an Ihre E-Mail, indem Sie Ihre E-Mail (oder die E-Mails der Benutzer) hinzufügen und dann auf "Neu hinzufügen" klicken, falls sie nicht vorhanden ist. Klicken Sie dann auf "E-Mail senden" und überprüfen Sie Ihre E-Mail (und den Spam-Ordner)

  • Installieren Sie die .tgb-Datei in SecuExtender

mceclip4.png

  • Wenn das Pop-up nicht angezeigt wird, öffnen Sie bitte den SecuExtender auf dem Desktop, so dass Sie den SecuExtender IPsec VPN-Client sehen (das Fenster, das im Bild unten gezeigt wird), und öffnen Sie dann die .tgb-Datei aus der E-Mail erneut


  • Überprüfung der Verbindung

Nachdem Sie die Konfiguration in den VPN-Client importiert haben, doppelklicken Sie bitte auf "RemoteAccessVPN", geben "Login" und "Passwort" ein und klicken auf "OK".

  • Wenn Sie Probleme haben, überprüfen Sie bitte die Phase 1 und Phase 2 Einstellungen im SecuExtender und stellen Sie sicher, dass Sie die gleiche Verschlüsselung und Authentifizierung auf den Nebula IKEv2 VPN Einstellungen haben

  • Deaktivieren von Split-Tunneling

Wenn Sie Probleme damit haben, dass der gesamte Verkehr durch den VPN-Tunnel läuft (sowohl Internet- als auch VPN-Verkehr), lesen Sie bitte diesen Artikel:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Überprüfen der VPN-Verbindung

Sobald die VPN-Verbindung hergestellt ist, können Sie die Verbindung überprüfen, indem Sie ein Eingabeaufforderungsfenster (oder PowerShell) öffnen und die folgenden Befehle eingeben.

  • ipconfig

Mit diesem Befehl wird die IP-Adresse für die VPN-Schnittstelle bereitgestellt.

mceclip4.png

  • ping [remote_address]

Mit diesem Befehl können Sie einen Ping-Test zu einem Gerät durchführen, das sich im LAN-Netzwerk des NebulaCC-Gateways befindet.

mceclip5.png

  • Auf dem NCC sollten Sie nun Protokolle sehen können, die zeigen, dass das VPN ordnungsgemäß funktioniert. Im untenstehenden Screenshot sehen Sie, dass die Main Mode-Anfragen den USG erreicht haben, Phase 1 erfolgreich aufgebaut werden konnte und das XAuth im Nebula Control Center einwandfrei funktioniert.

mceclip0.png

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich
Teilen