Nebula [VPN] - Überblick über das virtuelle private Netzwerk (VPN)

Virtual Private Network, kurz VPN, ist eine der am häufigsten genutzten Funktionen unserer Sicherheits-Gateways, und mit Nebula können Sie VPN auf Ihrer USG FLEX in wenigen Minuten konfigurieren!

Zusammenfassung

Dieser Artikel behandelt alle gängigen VPN-Szenarien, sei es Remote Access VPN oder Site-to-Site VPN (einschließlich VPN zu Nicht-Nebula-Peers). Um auf die Konfigurationsoptionen zuzugreifen, loggen Sie sich bitte mit Ihren Zugangsdaten in das Nebula Control Center ein ( https://nebula.zyxel.com/ ) und navigieren Sie zu folgendem Menü, abhängig von der Art des VPNs, das Sie erstellen möchten:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Inhaltsübersicht

1. Fernzugriff VPN: L2TP über IPSec
2. Fernzugriffs-VPN: IPSec-Client
3. Standort-zu-Standort-VPN: Nebula-Peers
4. Site-to-Site VPN: Nicht-Nebula-Peers
5. Site-to-Site VPN: VPN Orchestrator und erweiterte Konfigurationen

Fernzugriffs-VPN: L2TP über IPSec

Um L2TP over IPSec VPN zu konfigurieren, navigieren Sie bitte zum Menü Fernzugriff VPN und aktivieren Sie die Option L2TP over IPSec VPN. Die einzigen Pflichtfelder, die Sie ausfüllen müssen, damit Ihr VPN funktioniert, sind das Geheimnis (Preshared Key) und das Client-VPN-Subnetz. Sie müssen nur darauf achten, ein Subnetz zu verwenden, das noch nicht anderweitig genutzt wird. Sie können beispielsweise die DNS-Server ändern oder die Authentifizierung auf einen lokalen Server einstellen, aber das ist völlig optional. Die Schaltfläche "Standard" neben der Richtlinie öffnet ein Menü, in dem Sie IPSec-Vorschläge festlegen können. Die Standardwerte sind so ausgelegt, dass sie mit den meisten Betriebssystemen kompatibel sind.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Nachdem Sie Ihre Konfiguration gespeichert haben, können Sie die Funktion des VPN-Bereitstellungsskripts nutzen - geben Sie eine Liste von Empfängern ein und klicken Sie auf die Schaltfläche "Send Mail". Das Konfigurationsskript mit Anweisungen zur Verwendung wird dann an die angegebenen Adressen gesendet.

Client-Konfiguration - Bereitstellungsskript-Modus

Nebula Pro bietet eine bequeme Möglichkeit, Windows- oder macOS-Clients mit einem VPN-Provisioning-Skript zu konfigurieren. Dieses kann direkt an die Benutzer gesendet werden:

Sobald die Mail verschickt wurde, erhalten die Nutzer eine Mail von info@nebula.zyxel.com, die die Provisionierungsskripte enthält:

Wie der Name schon sagt, ist die .batfile-Datei für Windows gedacht, während die .mobileconfig-Datei für macOS gedacht ist. Aufgrund von Sicherheitseinschränkungen muss die .batfile-Datei vor der Ausführung in .bat umbenannt werden. Durch einen Doppelklick auf das Skript wird eine VPN-Verbindung auf Ihrem System hergestellt. Bei der ersten Verbindung muss der Benutzer seine Anmeldedaten angeben. Diese werden nach der ersten erfolgreichen Verbindung gespeichert.

Client-Konfiguration - Manueller Modus

Es ist jedoch nicht schwer, das VPN manuell zu konfigurieren. Unter Windows navigieren Sie bitte zu Einstellungen > Netzwerk & Internet > VPN und klicken auf VPN-Verbindung hinzufügen.

Füllen Sie das Formular entsprechend den von Nebula bereitgestellten Anmeldeinformationen aus (Sie können entweder die IP-Adresse oder den von Nebula automatisch generierten DDNS verwenden), und schon sind Sie fertig!

Weitere Informationen finden Sie in diesem Artikel:

Nebula CC - L2TP für Ihre Nebula Firewall konfigurieren

Fernzugriff VPN: IPSec-Client

Ähnlich wie die L2TP-over-IPSec-Konfiguration erfolgt auch die IPSec-VPN-Konfiguration im Menü Remote Access VPN und beginnt mit dem Kontrollkästchen IPSec-VPN-Server. Die einzigen obligatorischen Felder, damit Ihr VPN funktioniert, sind das Ausfüllen eines Geheimnisses (Preshared Key) und des Client-VPN-Subnetzes. Das einzige, was Sie beachten sollten, ist die Verwendung eines Subnetzes, das noch nirgendwo anders verwendet wird. Möglicherweise möchten Sie die DNS-Server ändern oder die Authentifizierung auf einen lokalen Server einstellen, aber das ist optional. Die Schaltfläche "Standard" neben der Richtlinie öffnet ein Menü, in dem Sie IPSec-Vorschläge festlegen können. Die Standardwerte sind so ausgelegt, dass sie eine hohe Sicherheit für Ihre IPSec-Verbindungen bieten. Sie können auch die Zwei-Faktor-Authentifizierung für Ihre Clients aktivieren, um die Sicherheit durch Google authenticator noch weiter zu erhöhen.

Standortweit -> Konfigurieren -> Firewall -> Fernzugriff VPN

Client-Konfiguration

Die Konfiguration des Clients ist sehr einfach. Zunächst erstellen wir den IPSec-Gateway und geben die Details auf der Registerkarte Authentifizierung ein, wie im folgenden Beispiel, das die Standardwerte für die Kryptographie berücksichtigt:

Auf der Registerkarte Protokoll ist es wichtig, das Feld "Moduskonfiguration" auszuwählen:

Jetzt können wir eine IPSec-Verbindung herstellen. Geben Sie die Adresse des Zielnetzes und die ESP/PFS-Parameter ein, und schon sind Sie bereit für die Verbindung. Sie können auch mehrere Netze erstellen und gleichzeitig auf sie zugreifen:

Das war's! Jetzt sind Sie bereit für die Fernverbindung. Denken Sie daran, dass der IPSec-Client die Konfiguration jederzeit exportieren kann, sobald er fertig ist, um sie einfach auf mehreren Geräten einzusetzen.

Weitere Informationen finden Sie in diesem Artikel:

Nebula [VPN] - Wie man IKEv2 IPsec VPN konfiguriert

Standort-zu-Standort-VPN: Nebula-Peers

Die Konfiguration eines Site-to-Site VPN war noch nie so einfach. Das Site-to-Site-VPN-Menü beginnt mit der Konfiguration der WAN-Schnittstelle. Sie können eine einzelne WAN-Schnittstelle als ausgehende Schnittstelle wählen oder die Option auf Auto belassen, um Redundanz zu gewährleisten. In diesem Fall werden Sie gefragt, welche Schnittstelle bevorzugt werden soll.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Die Konfiguration wird dann in Ihren lokalen Netzwerken fortgesetzt, wo lokale Schnittstellen und Remote-VPN-Verbindungen für die Teilnahme an der Site-to-Site-VPN-Verbindung zur Verfügung stehen.

Im nächsten Abschnitt können Sie die erweiterten Einstellungen konfigurieren. Wählen Sie beispielsweise den gewünschten VPN-Bereich für Ihr Netzwerk aus - bei kleineren Netzwerken genügt ein einziger Standard-VPN-Bereich. Größere oder einfach aufwendigere VPN-Strukturen benötigen möglicherweise mehrere VPN-Bereiche. Weitere Informationen zum VPN-Bereich und zum Nebula VPN Orchestrator finden Sie im letzten Kapitel.

Die Option NAT-Traversal ermöglicht es Ihnen, Ihre WAN-IP-Adresse für Ihr VPN anzupassen. Dies ist in Situationen nützlich, in denen mehrere IPs zu Ihrem WAN-Port geroutet werden und Sie eine bestimmte Adresse für das VPN verwenden möchten.

Weitere Informationen finden Sie in diesem Artikel:

Nebula VPN - Konfigurieren von Site-to-Site VPN in Nebula zwischen zwei Nebula Gateways

Site-to-Site VPN: Nicht-Nebula-Peers

Das Hinzufügen eines Nicht-Nebula-Peers erfordert natürlich eine Konfiguration auf dem Nebula Control Center und dem Standalone-Gerät.

Auf der Nebula-Seite müssen Sie nur einige Informationen über die Verbindung eingeben, insbesondere den Namen, der das Gerät identifiziert, seine öffentliche IP-Adresse und ein entferntes privates Subnetz, das Sie mit dem Preshared Key verbinden wollen. Optional können Sie die IPSec-Richtlinie nach Ihren Wünschen bearbeiten und festlegen, welche Sites auf diesen Router zugreifen sollen. Bitte beachten Sie, dass es sich bei der Eigenschaft "privates Subnetz" nicht um eine Netzwerkadresse, sondern um eine tatsächliche Geräteadresse handeln sollte, die für die Verbindungsprüfung im CIDR-Format verwendet wird - zum Beispiel der entfernte VPN-Server selbst.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Wichtig!
Sonderzeichen wie -, +, ^, *, [, ], \, ", ? sind nicht erlaubt.
Dies wird sich in Zukunft ändern.

In diesem Fall müssen wir auf der Seite des entfernten Routers, ATP200, zunächst ein VPN-Gateway erstellen. Mit der folgenden Konfiguration können Sie dieses Gateway für beliebig viele Gegenstellen wiederverwenden. Mit dem Standard-IPSec-Vorschlag müssen Sie nur den Verhandlungsmodus auf "Aggressiv" ändern und einen Pre-Shared Key verwenden.

Nach der Konfiguration des VPN-Gateways kann die VPN-Verbindung schließlich die Verbindung zwischen den beiden Routern herstellen. Bitte stellen Sie die lokale und entfernte Richtlinie entsprechend Ihrer Netzwerktopologie ein. Diese Werte müssen mit der Konfiguration in Nebula übereinstimmen. Andernfalls wird die Aushandlung fehlschlagen.

Nach dem Speichern der VPN-Verbindung sollte die Verbindung zwischen den Routern innerhalb weniger Sekunden aufgebaut sein.

Weitere Informationen finden Sie in diesem Artikel:

Nebula VPN - Site-to-Site VPN zu einem Nicht-Nebula-Peer konfigurieren

Site-to-Site VPN: VPN Orchestrator und erweiterte Konfigurationen

Der Nebula VPN Orchestrator ist ein leistungsfähiges Werkzeug, mit dem Sie komplexe VPN-Topologien einfach konfigurieren können. Die NCC-Plattform ermöglicht eine abstrakte Konfiguration, ohne dass einzelne VPN-Verbindungen auf jedem Gateway konfiguriert werden müssen, und eine nahtlose Änderung der Topologie basierend auf Ihren aktuellen Anforderungen mit nur wenigen Klicks!

Nebula VPN Topologie erklärt

Nebula Orchestrator kann mehrere VPN-Bereiche enthalten. Jeder Bereich kann entweder eine Site-to-Site-Topologie oder eine Hub-and-Spoke-Topologie sein. In Site-to-Site-Topologien stellt jedes Sicherheits-Gateway eine Verbindung zu allen anderen Gateways innerhalb des VPN-Bereichs her. In Hub-and-Spoke-Topologien stellt nur das als Hub bezeichnete Gateway eine Verbindung zu anderen Gateways her. Es ist auch möglich, einen oder mehrere Site-to-Site-Bereiche und andere Hub-and-Spoke-Bereiche zu haben.

Jeder Bereich kann bis zu fünf Hubs haben, es sei denn, der Bereich enthält einen NSG - in diesem Fall kann nur ein einziger Hub in einem bestimmten Bereich sein. Wenn die ausgehende Schnittstelle des Hubs auf "auto" eingestellt ist, wählen alle WAN-Verbindungen gleichzeitig die VPN-Verbindungen zu den Spoke-Gateways.

Um zwischen Bereichen zu kommunizieren, können Sie die Bereichskommunikation für das Gateway aktivieren. Site-to-Site-Bereiche müssen einen bestimmten Area Leader haben, damit dies funktioniert. Die Area Leaders oder Hub-Gateways wählen VPN-Tunnel zu anderen Bereichen und ermöglichen eine Kommunikation zwischen den AC-Gateways.

Konfiguration

Die Konfiguration des VPN Orchestrator ist im folgenden Menü zu finden:

Organization-wide > VPN Orchestrator

Der obere Teil des Bildschirms zeigt eine Karte mit einer aktuellen Visualisierung des VPN-Netzwerks - inklusive Störungen durch Verbindungsverluste. Dazu gehören auch Nicht-Nebula-Peer-Verbindungen - diese sind durch eine gestrichelte Linie gekennzeichnet.

Im Menü Smart VPN können Sie den gewünschten Bereich auswählen, den Sie konfigurieren möchten, oder einen neuen Bereich anlegen und die gewünschte Topologie auswählen.

Je nach Auswahl müssen Sie im gleichen Menü eventuell Hubs und Spokes festlegen. In jedem Fall können Sie auswählen, welche Gateways sich mit dem VPN verbinden sollen, welche Subnetze auf diesen Gateways an den VPN-Verbindungen teilnehmen sollen und den Status der Bereichskommunikation des Geräts konfigurieren.

Organization-wide -> Organization-wide manage -> VPN Orchastrator