La Red Privada Virtual, o VPN en abreviatura, es una de las funciones más comúnmente utilizadas en nuestras puertas de enlace de seguridad, y con Nebula, ¡puedes configurar la VPN en tu USG FLEX en pocos minutos!
Sinopsis
Este artículo cubrirá todos los escenarios comunes de VPN, ya sea VPN de acceso remoto o VPN sitio a sitio (incluyendo VPN con pares no Nebula). Para acceder a las opciones de configuración, por favor, inicia sesión en el Centro de Control Nebula usando tus credenciales en https://nebula.zyxel.com/ y navega al siguiente menú dependiendo del tipo de VPN que desees crear:
USG FLEX > Configurar > VPN sitio a sitio
USG FLEX > Configurar > VPN de acceso remoto
Tabla de Contenidos
- VPN de acceso remoto: L2TP sobre IPSec
- VPN de acceso remoto: cliente IPSec
- VPN sitio a sitio: pares Nebula
- VPN sitio a sitio: pares no Nebula
- VPN sitio a sitio: VPN Orchestrator y configuraciones avanzadas
VPN de acceso remoto: L2TP sobre IPSec
Para configurar la VPN L2TP sobre IPSec, por favor navega al menú de VPN de acceso remoto y habilita la opción VPN L2TP sobre IPSec. Los únicos campos obligatorios para que tu VPN funcione son llenar tu secreto (Clave Precompartida) y la subred VPN del cliente. Solo necesitas considerar usar una subred que aún no esté siendo usada en ningún otro lugar. Puedes querer cambiar los servidores DNS o configurar la autenticación a un servidor local, por ejemplo, pero esto es completamente opcional. El botón "Por defecto" junto a Política abre un menú que te permite configurar las propuestas IPSec. Los valores por defecto están diseñados para ser compatibles con la mayoría de los sistemas operativos.
Sitio completo -> Configurar -> Firewall -> VPN de acceso remotoDespués de guardar tu configuración, puedes aprovechar la función de script de provisión VPN: llena una lista de destinatarios y haz clic en el botón "Enviar correo". El script de configuración con instrucciones sobre cómo usarlo será enviado a las direcciones proporcionadas.
Configuración del cliente - modo script de provisión
Nebula Pro ofrece una forma conveniente de configurar clientes Windows o macOS usando un script de provisión VPN. Esto puede enviarse directamente a los usuarios:
Una vez enviado el correo, los usuarios recibirán un correo de info@nebula.zyxel.com que contiene los scripts de provisión:
Como su nombre indica, el archivo .batfile está destinado para Windows, mientras que el archivo .mobileconfig está destinado para macOS. Debido a restricciones de seguridad, el archivo .batfile debe renombrarse a .bat antes de su ejecución. Simplemente haciendo doble clic en el script se creará una conexión VPN en tu sistema. Durante la primera conexión, el usuario debe proporcionar sus credenciales. Estas se guardarán después de la primera conexión exitosa.
Configuración del cliente - modo manual
Sin embargo, no es una tarea difícil configurar la VPN manualmente. En Windows, navega a Configuración > Red e Internet > VPN y haz clic en Agregar conexión VPN.
Llena el formulario según las credenciales proporcionadas por Nebula (puedes usar la dirección IP o DDNS generado automáticamente por Nebula), ¡y listo!
Consulta más información en este artículo:
Nebula CC - Configura L2TP para tu Firewall Nebula
VPN de acceso remoto: cliente IPSec
De manera similar a la configuración de L2TP sobre IPSec, la configuración de la VPN IPSec también se realiza en el menú de VPN de acceso remoto y comienza con la casilla del servidor VPN IPSec. Los únicos campos obligatorios para que tu VPN funcione son llenar un secreto (Clave Precompartida) y la subred VPN del cliente. Lo único a considerar es usar una subred que aún no esté siendo usada en ningún otro lugar. Puedes querer cambiar los servidores DNS o configurar la autenticación a un servidor local, por ejemplo, pero esto es opcional. El botón "Por defecto" junto a Política abre un menú que te permite configurar las propuestas IPSec. Los valores por defecto están diseñados para proporcionar alta seguridad a tus conexiones IPSec. También puedes habilitar la autenticación de dos factores para tus clientes para aumentar aún más la seguridad mediante Google Authenticator.
Sitio completo -> Configurar -> Firewall -> VPN de acceso remoto
Configuración del cliente
Configurar el cliente es muy simple. Primero, queremos crear la puerta de enlace IPSec y llenar los detalles en la pestaña de Autenticación, como en el siguiente ejemplo, que considera los valores criptográficos por defecto:
En la pestaña Protocolo, es importante seleccionar la casilla "Configurar modo":
Ahora estamos listos para crear una conexión IPSec. Por favor llena la dirección de la red objetivo, los parámetros ESP/PFS y estarás listo para conectarte. También puedes crear múltiples redes y acceder a ellas simultáneamente:
¡Eso es todo! Ahora estás listo para conectarte de forma remota. Recuerda que el cliente IPSec siempre puede exportar la configuración una vez terminada para desplegarla fácilmente en múltiples dispositivos.
Consulta más información en este artículo:
Nebula [VPN] - Cómo configurar IKEv2 IPsec VPN
VPN sitio a sitio: pares Nebula
Configurar una VPN sitio a sitio nunca ha sido tan fácil. El menú de VPN sitio a sitio comienza con la configuración de la interfaz WAN. Puedes elegir una única interfaz WAN como salida o dejar la opción en automático para proporcionar redundancia. En ese caso, se te preguntará cuál interfaz debería ser preferida.
Sitio completo -> Configurar -> Firewall -> VPN sitio a sitioLa configuración continúa con tus redes locales, donde las interfaces locales y las conexiones VPN remotas están disponibles para participar en la conexión VPN sitio a sitio.
En la siguiente sección, puedes configurar los ajustes avanzados. Por ejemplo, puedes seleccionar el Área VPN deseada para tu red: las redes más pequeñas estarán bien con solo un Área VPN por defecto. Las estructuras VPN más grandes o simplemente más elaboradas pueden necesitar usar más Áreas VPN. Más información respecto al Área VPN y al VPN Orchestrator de Nebula puede encontrarse en el último capítulo.
La opción de NAT traversal te permite personalizar tu dirección IP WAN para tu VPN. Esto es útil en situaciones donde múltiples IPs se enrutan a tu puerto WAN y quieres usar una dirección específica para la VPN.
VPN sitio a sitio: pares no Nebula
Agregar un par no Nebula naturalmente requiere una configuración tanto en el Centro de Control Nebula como en el dispositivo independiente.
En el lado de Nebula, solo se requiere llenar cierta información sobre la conexión, notablemente el nombre que identificará el dispositivo, su dirección IP pública y una subred privada remota a la que se pretende conectar junto con la clave precompartida. Opcionalmente, puedes editar la política IPSec para ajustarla a tus necesidades y establecer qué sitios tendrán acceso a este router. Ten en cuenta que la propiedad de subred privada no debe ser una dirección de red sino una dirección real de dispositivo usada para propósitos de verificación de conexión en formato CIDR, por ejemplo, el propio servidor VPN remoto.
Sitio completo -> Configurar -> Firewall -> VPN sitio a sitioImportante:
Caracteres especiales como -, +, ^, *, [, ], \, ", ? no están permitidos.
Esto cambiará en el futuro.
En este caso, en el lado del router remoto, ATP200, necesitaremos crear primero una puerta de enlace VPN. La siguiente configuración te permitirá reutilizar esta puerta de enlace para tantos pares como desees. Con la propuesta IPSec por defecto, solo cambia el modo de negociación a "Agresivo" y la clave precompartida es necesaria.
Después de configurar la puerta de enlace VPN, la conexión VPN finalmente nos permitirá establecer la conexión entre los dos routers. Por favor, configura la política local y remota según la topología de tu red. Estos valores deben coincidir con la configuración en Nebula. De lo contrario, la negociación fallará.
Después de guardar la conexión VPN, la conexión entre los routers debería establecerse en pocos segundos.
Consulta más información en este artículo:
Nebula VPN - Configurar VPN sitio a sitio a un par no Nebula
VPN sitio a sitio: VPN Orchestrator y configuraciones avanzadas
El VPN Orchestrator de Nebula es una herramienta potente que te permite configurar topologías VPN complejas con facilidad. La plataforma NCC permite una configuración abstracta sin configurar conexiones VPN individuales en cada puerta de enlace y cambiar la topología sin problemas según tus requerimientos actuales con solo unos clics.
Nebula Explicación de la topología VPN
Nebula Orchestrator puede contener múltiples Áreas VPN. Cada área puede ser una topología sitio a sitio o una topología Hub-and-Spoke. En topologías sitio a sitio, cada puerta de enlace de seguridad se conecta con todas las demás puertas de enlace dentro del área VPN. En topologías Hub-and-Spoke, solo la puerta de enlace designada como Hub se conectará con otras puertas de enlace. También es posible tener una o más áreas sitio a sitio y otras áreas Hub-and-Spoke.
Cada área puede tener hasta cinco Hubs a menos que el área contenga un NSG; en ese caso, solo puede haber un único Hub en un área dada. Si el Hub tiene su interfaz de salida configurada en "auto", todas las conexiones WAN marcarán las conexiones VPN a las puertas de enlace Spoke simultáneamente.
Para comunicar entre áreas, puedes habilitar la Comunicación de Área para la puerta de enlace. Las áreas sitio a sitio necesitan tener un Líder de Área designado para que esto funcione. Los Líderes de Área o puertas de enlace Hub marcarán túneles VPN a otras áreas y permitirán la comunicación entre las puertas de enlace AC.
Configuración
La configuración del VPN Orchestrator puede encontrarse en el siguiente menú:
A nivel de organización > VPN OrchestratorLa parte superior de la pantalla muestra un mapa con una visualización actual de la red VPN, incluyendo fallos debidos a pérdida de conexión. Esto también incluye conexiones a pares no nebula, que pueden distinguirse con una línea discontinua.
En el menú Smart VPN, puedes seleccionar el área deseada que quieras configurar o crear una nueva y seleccionar la topología deseada.
Según tu selección, puede que necesites designar Hubs y Spokes en el mismo menú. Pero en cualquier caso, podrás seleccionar qué puertas de enlace se conectarán a la VPN, qué subredes en estas puertas de enlace participarán en las conexiones VPN y configurar el estado de Comunicación de Área del dispositivo.
A nivel de organización > Gestión a nivel de organización > VPN Orchestrator
Comentarios
0 comentariosInicie sesión para dejar un comentario.