Aviso importante: |
El artículo proporciona una guía detallada sobre la configuración de IKEv2 VPN en Nebula, incluyendo la creación de Nebula usuarios de la nube para el acceso VPN y configurar el cliente SecuExtender. Describe las limitaciones de IKEv2, como la falta de soporte oficial para claves precompartidas, y proporciona instrucciones paso a paso para habilitar el servidor VPN IPsec, configurar subredes VPN cliente y configurar opciones de autenticación como Nebula Cloud Authentication, Active Directory y autenticación de dos factores a través de Google Authenticator. El artículo también cubre la creación de usuarios VPN, el envío de archivos de configuración y la verificación de conexiones VPN, ofreciendo consejos para la resolución de problemas y configuraciones adicionales para mejorar la seguridad.
Este artículo le ayudará a entender lo que puede hacer con la VPN IKEv2 en Nebula. Explica cómo configurar IKEv2, crear usuarios de Nebula Cloud para acceder a la VPN y configurar el cliente SecuExtender.
Limitaciones de IKEv2
Nebula actualmente no soporta oficialmente el uso de:
- IKEv2 con clave precompartida
Configuración de IKEv2 en Nebula
- Habilitar el "servidor VPN IPsec".
Go to Site-wide -> Configure -> Firewall -> Remote access VPN- Habilitar el "IPsec VPN server" (Servidor VPN IPsec)
- Introduzca la subred VPN del cliente (ésta es la subred que recibirán los clientes VPN y NO PUEDE solaparse con ninguna otra subred de su organización Nebula, ni con subredes VPN remotas (debe escribirse como xx.xx.xx.xx/xx "ej. 192.168.50.0/24")
- Seleccione la versión IKEv2
- Si es necesario, proporcione los servidores de nombres (servidores DNS) para los clientes VPN. Si utiliza servidores DHCP/DNS internos, especifique el servidor DNS interno y utilice Google DNS (8.8.8.8) como segunda entrada de servidor de nombres. Esta configuración ayuda a evitar posibles problemas de DNS y de comunicación con los clientes VPN.
- Nebula Autenticación en la nube: la utilizamos en nuestro ejemplo. Perousted tiene opciones para la autenticación. Puedes optar por Nebula Cloud Authentication, tu propio Active Directory o servidor RADIUS, o incluso utilizar la autenticación de dos factores a través de la aplicación Google Authenticator. Esto puede configurarse activando la función "autenticación de dos factores con portal cautivo". Cuando un usuario se conecte a la VPN, se le pedirá que inicie sesión con Google Authenticator. También pueden registrarse para la autenticación de dos factores a través de un correo electrónico que incluya sus datos de acceso.
- Disposición de la configuración de la VPN SecuExtender IKEv2- Seleccione el/los correo(s) electrónico(s) que desea utilizar para enviar el archivo de configuración de la VPN SecuExtender IKEv2 (aquí puede añadir y eliminar correos electrónicos, lo que no surtirá efecto hasta que pulse "Guardar").
- Pulse "Guardar".
- El siguiente paso es cambiar la "Política", para ello Haga clic en "Predeterminado" y configure los ajustes de Fase 1 y Fase 2 como se indica a continuación (no olvide guardar los ajustes pulsando el botón "Guardar"):
Phase 1
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: None, Lifetime (seconds): 28800
- Después de cambiar las Políticas, recuerde guardar los cambios haciendo clic en el botón "Guardar".
Nota: MacOS puede requerir un mayor cifrado y autenticación donde AES256 y SHA256 funcionan muy bien en nuestra experiencia.
Creación de usuarios en la nube Nebula
Organization-wide -> Organization-wide manage -> Cloud authentication- Haga clic en "Añadir" un nuevo usuario VPN
- Rellene el "Correo electrónico" que se puede utilizar para enviar las credenciales y también para iniciar sesión (si está seleccionado).
- Rellene el "Nombre de usuario" y la "Contraseña
- Acceso VPN - debe estar habilitado para que el usuario VPN pueda acceder a la VPN y autenticarse correctamente con las credenciales de usuario
- Autorizado - seleccione a qué sitios desea permitir el acceso
- Iniciar sesión por - elija si el usuario puede iniciar sesión en la VPN / 802.1x con el nombre de usuario, la dirección de correo electrónico, o utilizando cualquiera de ellos
- Aut. de dos factores -marque la casilla si NO desea que se establezca la autenticación de dos factores para este usuario.
- Enviar por correo electrónico al usuario: seleccione si desea enviar las credenciales por correo electrónico al usuario.
- Nota: cada vez que pulse "Guardar" (o "Crear usuario") después de realizar cambios, el usuario recibirá un correo electrónico. Así que si cambias la configuración de ese usuario, es posible que desees desmarcar la casilla hasta que hayas terminado de configurar el usuario.
Ajustes adicionales que es interesante conocer:
- Dynamic Personal Pre-shared Key (Professional Pack Feature) es la gestión dinámica de contraseñas para WiFi (no VPN), que puede hacer que tus usuarios VPN y tu red sean más seguros. Crea una contraseña única para cada usuario de modo que un usuario puede ser aislado más fácilmente si está siendo hackeado.
- 802.1X - Para la autenticación de red (no VPN), esto puede hacer que los usuarios se autentiquen usando la red con 802.1x usando la autenticación en la nube Nebula.
- Asignación de VLAN: la asignación de VLAN es una función del Paquete Profesional que configura una VLAN estática para el usuario cuando entra en la red.
Configuración del cliente SecuExtender
- Envíe el archivo .tgb (configuración VPN) por correo electrónico
Site-wide -Configure Firewall -> Remote access VPN
- Envíe la configuración VPN a su correo electrónico añadiendo su correo electrónico (o los correos electrónicos de los usuarios) y luego pulse "Añadir nuevo" si no está presente. A continuación, haga clic en "Enviar correo electrónico" y compruebe su correo electrónico (y la carpeta de correo no deseado)
- Instale el archivo .tgb en SecuExtender
- Si no consigue que aparezca la ventana emergente, abra SecuExtender en el escritorio para ver el cliente VPN IPsec de SecuExtender (la ventana que se muestra en la siguiente imagen) y, a continuación, abra de nuevo el archivo .tgb del correo electrónico.
- Comprobación de la conexión
Una vez que haya importado la configuración al cliente VPN, haga doble clic en "RemoteAccessVPN", introduzca "Login" y "Password" y haga clic en "OK".
- Si tiene algún problema, vuelva a comprobar los ajustes de fase 1 y fase 2 en SecuExtender y asegúrese de que tiene el mismo cifrado y autenticación en los ajustes de VPN Nebula IKEv2.
- Desactivación del túnel dividido
Si tiene problemas con todo el tráfico que atraviesa el túnel VPN (tanto el tráfico de Internet como el de la VPN), consulte este artículo:
https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender
- Verificación de la conexión VPN
Una vez establecida la conexión VPN, puede verificar la conexión abriendo una ventana de símbolo del sistema (o PowerShell) y ejecutando los siguientes comandos.
- ipconfig
Este comando proporcionará la dirección IP de la interfaz VPN.
- ping [dirección_remota]
Este comando le permitirá ejecutar una prueba de ping a un dispositivo situado en la red LAN de las pasarelas NebulaCC.
- En el NCC, ahora debería ser capaz de ver los registros que muestran que la VPN está funcionando correctamente. En la siguiente captura de pantalla, puede ver que las solicitudes del modo principal han llegado al USG, la fase 1 se ha podido establecer correctamente y el XAuth en el centro de control Nebula funciona correctamente.