Virtual Private Network, kurz VPN, ist eine der am häufigsten verwendeten Funktionen auf unseren Sicherheits-Gateways, und mit Nebula können Sie VPN auf Ihrem USG FLEX in wenigen Minuten konfigurieren!
Zusammenfassung
Dieser Artikel behandelt alle gängigen VPN-Szenarien, sei es Remote Access VPN oder Site-to-Site VPN (einschließlich VPN zu Nicht-Nebula-Peers). Um auf die Konfigurationsoptionen zuzugreifen, melden Sie sich bitte mit Ihren Zugangsdaten im Nebula Control Center unter https://nebula.zyxel.com/ an und navigieren Sie je nach gewünschtem VPN-Typ zu folgendem Menü:
USG FLEX > Konfigurieren > Site-to-Site VPN
USG FLEX > Konfigurieren > Remote Access VPN
Inhaltsverzeichnis
- Remote Access VPN: L2TP über IPSec
- Remote Access VPN: IPSec-Client
- Site-to-Site VPN: Nebula-Peers
- Site-to-Site VPN: Nicht-Nebula-Peers
- Site-to-Site VPN: VPN Orchestrator und erweiterte Konfigurationen
Remote Access VPN: L2TP über IPSec
Um L2TP über IPSec VPN zu konfigurieren, navigieren Sie bitte zum Menü Remote Access VPN und aktivieren die Option L2TP über IPSec VPN. Die einzigen Pflichtfelder, um Ihr VPN zum Laufen zu bringen, sind das Ausfüllen Ihres Geheimnisses (Preshared Key) und des Client-VPN-Subnetzes. Sie sollten ein Subnetz wählen, das noch nirgendwo anders verwendet wird. Sie können optional die DNS-Server ändern oder die Authentifizierung auf einen lokalen Server einstellen, zum Beispiel. Die Schaltfläche „Standard“ neben Richtlinie öffnet ein Menü, das Ihnen erlaubt, IPSec-Vorschläge einzustellen. Die Standardwerte sind so ausgelegt, dass sie mit den meisten Betriebssystemen kompatibel sind.
Bereich-weit -> Konfigurieren -> Firewall -> Remote Access VPNNachdem Sie Ihre Konfiguration gespeichert haben, können Sie die Funktion des VPN-Bereitstellungsskripts nutzen – füllen Sie eine Liste von Empfängern aus und klicken Sie auf die Schaltfläche „E-Mail senden“. Das Konfigurationsskript mit Anweisungen zur Verwendung wird an die angegebenen Adressen gesendet.
Client-Konfiguration – Bereitstellungsskript-Modus
Nebula Pro bietet eine bequeme Möglichkeit, Windows- oder macOS-Clients mit einem VPN-Bereitstellungsskript zu konfigurieren. Dieses kann direkt an Benutzer gesendet werden:
Sobald die Mail versendet wurde, erhalten die Nutzer eine E-Mail von info@nebula.zyxel.com, die die Bereitstellungsskripte enthält:
Wie der Name schon sagt, ist die .batfile-Datei für Windows vorgesehen, während die .mobileconfig-Datei für macOS gedacht ist. Aufgrund von Sicherheitsbeschränkungen muss die .batfile-Datei vor der Ausführung in .bat umbenannt werden. Ein Doppelklick auf das Skript erstellt eine VPN-Verbindung auf Ihrem System. Beim ersten Verbindungsaufbau muss der Benutzer seine Zugangsdaten eingeben. Diese werden nach der ersten erfolgreichen Verbindung gespeichert.
Client-Konfiguration – manueller Modus
Es ist jedoch keine schwierige Aufgabe, das VPN manuell zu konfigurieren. Unter Windows navigieren Sie bitte zu Einstellungen > Netzwerk & Internet > VPN und klicken auf VPN-Verbindung hinzufügen.
Füllen Sie das Formular entsprechend den von Nebula bereitgestellten Zugangsdaten aus (Sie können entweder die IP-Adresse oder den von Nebula automatisch generierten DDNS verwenden), und schon sind Sie startklar!
Weitere Informationen finden Sie in diesem Artikel:
Nebula CC – L2TP für Ihre Nebula Firewall konfigurieren
Remote Access VPN: IPSec-Client
Ähnlich wie bei der L2TP über IPSec-Konfiguration erfolgt auch die IPSec VPN-Konfiguration im Menü Remote Access VPN und beginnt mit dem Kontrollkästchen IPSec VPN-Server. Die einzigen Pflichtfelder, um Ihr VPN zum Laufen zu bringen, sind das Ausfüllen eines Geheimnisses (Preshared Key) und des Client-VPN-Subnetzes. Sie sollten ein Subnetz wählen, das noch nirgendwo anders verwendet wird. Optional können Sie die DNS-Server ändern oder die Authentifizierung auf einen lokalen Server einstellen. Die Schaltfläche „Standard“ neben Richtlinie öffnet ein Menü, das Ihnen erlaubt, IPSec-Vorschläge einzustellen. Die Standardwerte sind so ausgelegt, dass sie eine hohe Sicherheit für Ihre IPSec-Verbindungen bieten. Sie können auch die Zwei-Faktor-Authentifizierung für Ihre Clients aktivieren, um die Sicherheit mit Google Authenticator weiter zu erhöhen.
Bereich-weit -> Konfigurieren -> Firewall -> Remote Access VPN
Client-Konfiguration
Die Konfiguration des Clients ist sehr einfach. Zuerst erstellen wir das IPSec-Gateway und füllen die Details auf der Registerkarte Authentifizierung aus, wie im folgenden Beispiel, das die Standard-Kryptografiewerte berücksichtigt:
Auf der Registerkarte Protokoll ist es wichtig, das Kästchen „Mode Config“ auszuwählen:
Jetzt sind wir bereit, eine IPSec-Verbindung zu erstellen. Bitte füllen Sie die Zielnetzwerkadresse, ESP/PFS-Parameter aus und Sie sind bereit zum Verbinden. Sie können auch mehrere Netzwerke erstellen und gleichzeitig darauf zugreifen:
Das war’s! Nun sind Sie bereit für die Fernverbindung. Denken Sie daran, dass der IPSec-Client die Konfiguration jederzeit exportieren kann, um sie einfach auf mehreren Geräten bereitzustellen.
Weitere Informationen finden Sie in diesem Artikel:
Nebula [VPN] – So konfigurieren Sie IKEv2 IPsec VPN
Site-to-Site VPN: Nebula-Peers
Die Konfiguration eines Site-to-Site VPN war noch nie einfacher. Das Menü Site-to-Site VPN beginnt mit der WAN-Schnittstellen-Konfiguration. Sie können eine einzelne WAN-Schnittstelle als ausgehend wählen oder die Option auf Auto belassen, um Redundanz zu gewährleisten. In diesem Fall werden Sie gefragt, welche Schnittstelle bevorzugt werden soll.
Bereich-weit -> Konfigurieren -> Firewall -> Site-to-Site VPNDie Konfiguration geht dann zu Ihren lokalen Netzwerken weiter, wo lokale Schnittstellen und entfernte VPN-Verbindungen für die Teilnahme an der Site-to-Site VPN-Verbindung verfügbar sind.
Im nächsten Abschnitt können Sie die erweiterten Einstellungen konfigurieren. Zum Beispiel können Sie das gewünschte VPN-Gebiet für Ihr Netzwerk auswählen – kleinere Netzwerke kommen mit nur einem Standard-VPN-Gebiet gut zurecht. Größere oder einfach komplexere VPN-Strukturen benötigen möglicherweise mehrere VPN-Gebiete. Weitere Informationen zum VPN-Gebiet und Nebula VPN Orchestrator finden Sie im letzten Kapitel.
Die NAT-Traversal-Option ermöglicht es Ihnen, Ihre WAN-IP-Adresse für Ihr VPN anzupassen. Dies ist nützlich in Situationen, in denen mehrere IPs auf Ihren WAN-Port geroutet werden und Sie für das VPN eine bestimmte Adresse verwenden möchten.
Site-to-Site VPN: Nicht-Nebula-Peers
Das Hinzufügen eines Nicht-Nebula-Peers erfordert natürlich eine Konfiguration sowohl im Nebula Control Center als auch auf dem eigenständigen Gerät.
Auf der Nebula-Seite müssen nur einige Informationen zur Verbindung ausgefüllt werden, insbesondere der Name, der das Gerät identifiziert, seine öffentliche IP-Adresse und ein entferntes privates Subnetz, mit dem Sie sich verbinden möchten, sowie der Preshared Key. Optional können Sie die IPSec-Richtlinie bearbeiten, um sie an Ihre Bedürfnisse anzupassen, und festlegen, welche Standorte auf diesen Router zugreifen dürfen. Bitte beachten Sie, dass die Eigenschaft privates Subnetz keine Netzwerkadresse sein sollte, sondern eine tatsächliche Geräteadresse, die für Verbindungsprüfungszwecke im CIDR-Format verwendet wird – zum Beispiel der entfernte VPN-Server selbst.
Bereich-weit -> Konfigurieren -> Firewall -> Site-to-Site VPNWichtig:
Sonderzeichen wie -, +, ^, *, [, ], \, ", ? sind nicht erlaubt.
Dies wird sich in Zukunft ändern.
In diesem Fall müssen wir auf der Seite des entfernten Routers, ATP200, zuerst ein VPN-Gateway erstellen. Die folgende Konfiguration ermöglicht es Ihnen, dieses Gateway für beliebig viele Peers wiederzuverwenden. Bei der Standard-IPSec-Vorschlag ist nur die Änderung des Aushandlungsmodus auf „Aggressiv“ und der Preshared Key notwendig.
Nach der Konfiguration des VPN-Gateways ermöglicht die VPN-Verbindung schließlich die Herstellung der Verbindung zwischen den beiden Routern. Bitte legen Sie die lokale und entfernte Richtlinie entsprechend Ihrer Netzwerktopologie fest. Diese Werte müssen mit der Konfiguration in Nebula übereinstimmen. Andernfalls schlägt die Aushandlung fehl.
Nach dem Speichern der VPN-Verbindung sollte die Verbindung zwischen den Routern innerhalb weniger Sekunden hergestellt sein.
Weitere Informationen finden Sie in diesem Artikel:
Nebula VPN – Site-to-Site VPN zu einem Nicht-Nebula-Peer konfigurieren
Site-to-Site VPN: VPN Orchestrator und erweiterte Konfigurationen
Der Nebula VPN Orchestrator ist ein leistungsstarkes Werkzeug, mit dem Sie komplexe VPN-Topologien ganz einfach konfigurieren können. Die NCC-Plattform ermöglicht eine abstrakte Konfiguration, ohne einzelne VPN-Verbindungen auf jedem Gateway einzurichten, und passt die Topologie mit nur wenigen Klicks nahtlos an Ihre aktuellen Anforderungen an!
Nebula VPN-Topologie erklärt
Nebula Orchestrator kann mehrere VPN-Gebiete enthalten. Jedes Gebiet kann entweder eine Site-to-Site-Topologie oder eine Hub-and-Spoke-Topologie sein. In Site-to-Site-Topologien verbindet sich jedes Sicherheits-Gateway mit allen anderen Gateways innerhalb des VPN-Gebiets. In Hub-and-Spoke-Topologien verbindet sich nur das als Hub bezeichnete Gateway mit den anderen Gateways. Es ist auch möglich, ein oder mehrere Site-to-Site-Gebiete und andere Hub-and-Spoke-Gebiete zu haben.
Jedes Gebiet kann bis zu fünf Hubs haben, es sei denn, das Gebiet enthält ein NSG – in diesem Fall darf nur ein einzelner Hub in einem Gebiet vorhanden sein. Wenn der Hub seine ausgehende Schnittstelle auf „Auto“ eingestellt hat, stellen alle WAN-Verbindungen gleichzeitig Verbindungen zu den Spoke-Gateways her.
Um die Kommunikation zwischen Gebieten zu ermöglichen, können Sie für das Gateway die Bereichskommunikation aktivieren. Site-to-Site-Gebiete benötigen dafür einen bestimmten Bereichsleiter. Die Bereichsleiter oder Hub-Gateways stellen VPN-Tunnel zu anderen Gebieten her und ermöglichen die Kommunikation zwischen den AC-Gateways.
Konfiguration
Die Konfiguration des VPN Orchestrators finden Sie im folgenden Menü:
Organisation-weit > VPN OrchestratorDer obere Bereich des Bildschirms zeigt eine Karte mit einer aktuellen Visualisierung des VPN-Netzwerks – einschließlich Fehlern aufgrund von Verbindungsverlusten. Dies umfasst auch Nicht-Nebula-Peer-Verbindungen – diese sind durch eine gestrichelte Linie gekennzeichnet.
Im Smart VPN-Menü können Sie das gewünschte Gebiet auswählen, das Sie konfigurieren möchten, oder ein neues erstellen und die gewünschte Topologie auswählen.
Je nach Auswahl müssen Sie möglicherweise Hubs und Spokes im selben Menü bestimmen. In jedem Fall können Sie auswählen, welche Gateways sich mit dem VPN verbinden, welche Subnetze dieser Gateways an den VPN-Verbindungen teilnehmen und den Bereichskommunikationsstatus des Geräts konfigurieren.
Organisation-weit -> Organisation-weit verwalten -> VPN Orchestrator
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.