Esta guía ayudará en la configuración del Cliente VPN IPSec Zyxel (versión 3.8.204.61.32) para la conectividad VPN con la función VPN de acceso remoto (C2S) IPSec Nebula CC mediante Nebula Seguridad Gateway (NSG).

Tabla de contenido

1. Descripción general
2. Dispositivos soportados
3. Configuración del centro de control de nebulosa
4. Configuración del cliente VPN (Cliente VPN IPSEC SecuExtender)

Descripción general

Una VPN ( red privada virtual) proporciona una comunicación segura entre sitios sin el gasto de líneas alquiladas. Las VPN se utilizan para transportar de forma segura el tráfico a través de Internet de una red insegura que utiliza comunicaciones TCP/IP. Una VPN de acceso remoto (cliente a sitio) permite a los empleados que viajan o teletrabajadores acceder de forma segura a los recursos de la red de la empresa. Hay varios tipos de protocolos/tecnologías VPN que se pueden usar para establecer un enlace seguro a la red de la empresa, L2TP, PPTP, SSL, OpenVPN, etc. Esta guía hará referencia al protocolo IPSec para establecer un túnel VPN seguro entre hosts externos ( usuarios conectados a internet fuera de la estructura de red de la empresa) y la puerta de enlace NebulaCC. Se requiere software IPSec de terceros para establecer la conexión VPN, ya que los sistemas operativos actuales carecen de un cliente IPSec incorporado. Este tutorial ayudará a configurar la configuración de VPN en el cliente VPN IPSec (versión 3.8.204.61.32).

Dispositivos soportados

Serie NSG (50/100/200/300)
Serie USG FLEX (100/100W/200/500/700)

Configuración de Nebulosa CC VPN

Nota: En el centro de control Nebula, existe el requisito de que debe haber una base de datos de usuario en segundo plano con la que el cliente IPSec se está autenticando. Para que esto funcione, tendremos que configurar en el cliente "X-Auth" y "Config Mode".

Haga clic en la nueva interfaz de usuario de CC Nebula y vaya a:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Especifique el servidor de Client VPN como un cliente IPSec. Si su NSG/USG FLEX está ubicado detrás de la puerta de enlace NAT, deberá escribir NAT transversal.

Cree una cuenta de cliente VPN para la autenticación. El tipo es Nebula Cloud Autenticación. Asegúrese de crear un usuario en el submenú respectivo

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Configuración del cliente Zyxel VPN

La última versión del cliente Zyxel IPSec VPN se puede descargar desde aquí Una vez instalado el cliente, inicie el programa y abra el Panel de configuración . Haga clic en la carpeta "IKE V1" debajo Configuración de VPN , una vez seleccionada la carpeta, presione las teclas "Ctrl + N" en el teclado para agregar una regla "Ikev1Gateway". Realice los siguientes cambios en la regla:

1. Remoto Gateway
   
   • Interfaz: seleccione la interfaz que utilizará la computadora para establecer la conexión VPN. Establezca esto en Alguna si el cliente VPN podrá usar cualquier conexión disponible en la computadora.
   • Remote Gateway: escriba el FQDN/DDNS/IP de la puerta de enlace NebulaCC a la que se conectará.
2. Autenticación
   
   • Seleccione la opción "Clave precompartida".
   • Escriba la clave precompartida utilizada en la configuración de IPSec NebulaCC y "Confirme" la clave.
3. autenticación X
   
   • Habilitar: esta casilla debe estar marcada.
   • Ventana emergente X-Auth: esta casilla solo debe marcarse si desea que se le solicite el nombre de usuario y la contraseña al conectarse
     • Iniciar sesión: proporcione el nombre de usuario de la cuenta VPN NebulaCC. Solo si "X-Auth Popup" no está marcado.
     • Contraseña: proporcione la contraseña de la cuenta VPN NebulaCC. Solo si "X-Auth Popup" no está marcado.
4. Criptografía (Configuración de ejemplo)
   • Cifrado: seleccione AES256 en el menú desplegable.
   • Autenticación: seleccione SHA-256 del menú desplegable.
   • Grupo clave – Seleccionar DH14 (1024) del menú desplegable.

Desde el "Ikev1Gateway" haga clic en el Protocolo pestaña y haga el siguiente cambio:

Habilitar el Configuración de modo opción.
Mientras "Ikev1Gateway" está resaltado, presione las teclas "Ctrl + N" en el teclado nuevamente para agregar la parte "Ikev1Tunnel" de la conexión. Realice los siguientes cambios:

1. Dirección
   
   • Dirección del cliente VPN: deje esta opción como está. (0.0.0.0 por defecto)
   • Tipo de dirección: seleccione Dirección de subred del menú desplegable.
   • Dirección de LAN remota: escriba el esquema de IP de LAN local NebulaCC.
   • Máscara de subred: escriba la máscara de subred de LAN local NebulaCC.
2. ESP
   
   • Cifrado: seleccione AES256 del menú desplegable.
   • Autenticación: seleccione SHA-256 del menú desplegable.
   • Seleccionar modo Túnel del menú desplegable.
3. SLP
   
   • Deje esta opción sin marcar.
4. Toda la vida
   
   • El tiempo de vida es la cantidad de tiempo, en segundos, antes de que el cliente vuelva a negociar los algoritmos.

Una vez realizados todos los ajustes, haga clic en el botón Configuración opción en la barra de herramientas y seleccione Guardar Esto guardará todos los cambios realizados en el cliente.

Para establecer la conexión VPN a la puerta de enlace NebulaCC, haga clic derecho en la opción "Ikev1Tunnel" y seleccione túnel abierto o presione (Ctrl + O) en su teclado.

Verificación

Una vez que se establece la conexión VPN, puede verificar la conexión abriendo una ventana del símbolo del sistema (o PowerShell) y emitiendo los siguientes comandos.

• ipconfig
  Este comando proporcionará la dirección IP para la interfaz VPN.
  
• hacer ping [dirección_remota]
  Este comando le permitirá ejecutar una prueba de ping a un dispositivo ubicado en la red LAN de las puertas de enlace NebulaCC.
  

En el NCC, ahora debería poder ver los registros que muestran que la VPN funciona correctamente. En la siguiente captura de pantalla, puede ver que las solicitudes del Modo principal han llegado al USG, la Fase 1 se pudo establecer con éxito y el XAuth en el Centro de control Nebula funciona bien.