Aviso importante: |
¡Red Privada Virtual, o VPN en corto, es una de las características más utilizadas en nuestras puertas de enlace de seguridad, y con Nebula, puede configurar VPN en su USG FLEX en pocos minutos!
Sinopsis
Este artículo cubrirá todos los escenarios comunes de VPN, ya sea VPN de acceso remoto o VPN Site-to-Site (incluyendo VPN a peers que no son Nebula). Para acceder a las opciones de configuración, por favor, inicie sesión en Nebula Control Center utilizando sus credenciales en https://nebula.zyxel.com/ y navegue hasta el siguiente menú dependiendo del tipo de VPN que desee crear:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Tabla de Contenidos
- VPN de acceso remoto: L2TP sobre IPSec
- VPN de acceso remoto: cliente IPSec
- VPN de sitio a sitio: pares Nebula
- VPN de sitio a sitio: pares no Nebula
- VPN de sitio a sitio: VPN Orchestrator y configuraciones avanzadas
VPN de acceso remoto: L2TP sobre IPSec
Para configurar la VPN L2TP sobre IPSec, vaya al menú VPN de acceso remoto y active la opción VPN L2TP sobre IPSec. Los únicos campos obligatorios para que su VPN funcione son rellenar su secreto (clave precompartida) y la subred VPN del cliente. Sólo tiene que considerar el uso de una subred que aún no se utiliza en ningún otro lugar. Puede que quieras cambiar los servidores DNS o establecer la autenticación en un servidor local, por ejemplo, pero esto es completamente opcional. El botón "Predeterminado" junto a Política abre un menú que te permite configurar las propuestas IPSec. Los valores por defecto están diseñados para ser compatibles con la mayoría de los sistemas operativos.
Site-wide -> Configure -> Firewall -> Remote Access VPN
Después de guardar la configuración, puede aprovechar la función de script de provisión de VPN: rellene una lista de destinatarios y haga clic en el botón "Enviar correo". El script de configuración con instrucciones sobre cómo utilizarlo se enviará a las direcciones proporcionadas.
Configuración del cliente - Modo de script de provisión
Nebula Pro ofrece una manera conveniente de configurar clientes Windows o macOS usando un script de aprovisionamiento VPN. Este se puede enviar directamente a los usuarios:
Una vez enviado, los usuarios recibirán un correo de info@nebula.zyxel.com que contiene los scripts de aprovisionamiento:
Como su nombre indica, el archivo .batfile está destinado a Windows, mientras que el archivo .mobileconfig está destinado a macOS. Debido a restricciones de seguridad, el archivo .batfile debe renombrarse a .bat antes de su ejecución. Basta con hacer doble clic en el script para crear una conexión VPN en el sistema. Durante la primera conexión, el usuario debe proporcionar sus credenciales. Estas se guardarán después de la primera conexión con éxito.
Configuración del cliente - Modo manual
Sin embargo, no es difícil configurar la VPN manualmente. En Windows, vaya a Configuración > Red e Internet > VPN y haga clic en Añadir conexión VPN.
Rellene el formulario de acuerdo con las credenciales proporcionadas por Nebula (Puede utilizar la dirección IP o DDNS generada automáticamente por Nebula), y ¡listo!
Ver más información en este artículo:
Nebula CC - Configure L2TP para su Nebula Firewall
Acceso Remoto VPN: Cliente IPSec
De forma similar a la configuración de L2TP sobre IPSec, la configuración de VPN IPSec también tiene lugar en el menú VPN de Acceso Remoto y comienza con la casilla de verificación Servidor VPN IPSec. Los únicos campos obligatorios para que la VPN funcione son rellenar un secreto (clave precompartida) y la subred VPN del cliente. Lo único que hay que tener en cuenta es utilizar una subred que no se utilice en ningún otro sitio. Es posible que desee cambiar los servidores DNS o establecer la autenticación en un servidor local, por ejemplo, pero esto es opcional. El botón "Predeterminado" junto a Política abre un menú que te permite configurar las propuestas de IPSec. Los valores por defecto están diseñados para proporcionar alta seguridad a tus conexiones IPSec. También puede habilitar la autenticación de dos factores para sus clientes para mejorar aún más la seguridad mediante el autenticador de Google.
En todo el sitio -> Configurar -> Cortafuegos -> Acceso remoto VPN
Configuración del cliente
La configuración del cliente es muy sencilla. En primer lugar, queremos crear el IPSec Gateway y rellenar los detalles en la pestaña Autenticación, como en el siguiente ejemplo, que considera los valores de criptografía por defecto:
En la pestaña Protocolo, es importante seleccionar la casilla "Modo Config":
Ahora estamos listos para crear una conexión IPSec. Rellene la dirección de la red de destino, los parámetros ESP/PFS y ya está listo para conectarse. También puede crear varias redes y acceder a ellas simultáneamente:
¡Ya está! Ahora está listo para conectarse remotamente. Recuerda que el cliente IPSec siempre puede exportar la configuración una vez finalizada para desplegarla en múltiples dispositivos fácilmente.
Ver más información en este artículo:
Nebula [VPN] - Como configurar IKEv2 IPsec VPN
VPN de sitio a sitio: Nebula peers
Configurar una VPN Site-to-Site nunca ha sido tan fácil. El menú VPN Site-to-Site comienza con la configuración de la interfaz WAN. Puede elegir una única interfaz WAN como saliente o dejar la opción como auto para proporcionar redundancia. En ese caso, se le preguntará qué interfaz debe preferirse.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
A continuación, la configuración continúa en sus redes locales, donde las interfaces locales y las conexiones VPN remotas están disponibles para participar en la conexión VPN de sitio a sitio.
En la siguiente sección, puede configurar los ajustes avanzados. Por ejemplo, puede seleccionar el Área VPN deseada para su red - las redes más pequeñas estarán bien con sólo un Área VPN Predeterminada. Las estructuras VPN más grandes o simplemente más elaboradas pueden necesitar utilizar más Áreas VPN. Puede encontrar más información sobre el Área VPN y Nebula VPN Orchestrator en el último capítulo.
La opción NAT traversal le permite personalizar su dirección IP WAN para su VPN. Esto es útil en situaciones donde múltiples IPs son enrutadas a su puerto WAN y usted quiere usar una dirección específica para VPN.
Ver más información en este artículo:
Nebula VPN - Configurar VPN Site-to-Site en Nebula entre dos Gateways Nebula
VPN Site-to-Site: peers no Nebula
Añadir un peer no-Nebula requiere naturalmente una configuración en el Nebula Control Center y en el dispositivo autónomo.
En el lado de Nebula, sólo es necesario rellenar algunos datos sobre la conexión, en particular el nombre que identificará al dispositivo, su dirección IP pública y una subred privada remota que pretende conectar con la clave precompartida. Opcionalmente, puede editar la política IPSec para adaptarla a sus necesidades y establecer qué sitios accederán a este router. Tenga en cuenta que la propiedad de subred privada no debe ser una dirección de red, sino una dirección de dispositivo real utilizada para comprobar la conexión en formato CIDR, por ejemplo, el propio servidor VPN remoto.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Importante:
Los caracteres especiales como -, +, ^, *, [, ], \, ", ? no están permitidos.
Esto cambiará en el futuro.
En este caso, en el lado del router remoto, ATP200, necesitaremos crear primero una puerta de enlace VPN. La siguiente configuración le permitirá reutilizar esta pasarela para tantos peers como desee. Con la propuesta IPSec por defecto, sólo es necesario cambiar el modo de negociación a "Agresivo" y la clave precompartida.
Tras la configuración de la pasarela VPN, la conexión VPN nos permitirá finalmente establecer la conexión entre los dos routers. Por favor, configure la política local y remota de acuerdo con la topología de su red. Estos valores deben coincidir con la configuración en Nebula. De lo contrario, la negociación fallará.
Después de guardar la conexión VPN, la conexión entre los routers debería establecerse en pocos segundos.
Ver más información en este artículo:
Nebula VPN - Configurar VPN Site-to-Site a un No-Nebula-Peer
VPN Site-to-Site: VPN Orchestrator y configuraciones avanzadas
Nebula VPN Orchestrator es una potente herramienta que permite configurar topologías VPN complejas con facilidad. La plataforma NCC permite una configuración abstracta sin necesidad de configurar conexiones VPN individuales en cada puerta de enlace y cambiar sin problemas la topología en función de sus necesidades actuales con sólo unos clics.
Explicación de la topología VPN Nebula
Nebula Orchestrator puede contener múltiples áreas VPN. Cada área puede ser de topología Site-to-Site o Hub-and-Spoke. En topologías Site-to-Site, cada puerta de enlace de seguridad se conecta a todas las demás puertas de enlace dentro del área VPN. En las topologías Hub-and-Spoke, la única pasarela designada como Hub se conectará a las demás pasarelas. También es posible tener una o más áreas Site-to-Site y otras Hub-and-Spoke.
Cada área puede tener hasta cinco Hubs a menos que el área contenga una NSG - en ese caso, sólo un único Hub estará en un área dada. Si el Hub tiene su interfaz de salida configurada en "auto", todas las conexiones WAN marcarán las conexiones VPN a las pasarelas Spoke simultáneamente.
Para comunicarse entre áreas, puede habilitar la Comunicación de Área para la pasarela. Las áreas Site-to-Site necesitan tener un Area Leader designado para que esto funcione. Los Líderes de Área o las pasarelas Hub marcarán túneles VPN a otras áreas y permitirán una comunicación entre las pasarelas AC.
Configuración
La configuración de VPN Orchestrator se encuentra en el siguiente menú:
Organization-wide > VPN Orchestrator
La parte superior de la pantalla muestra un mapa con una visualización actual de la red VPN - incluyendo fallos por pérdida de conexión. Esto también incluye las conexiones peer que no son de Nébula - éstas se pueden distinguir con una línea discontinua.
En el menú Smart VPN, puede seleccionar el área que desee configurar o crear una nueva y seleccionar la topología deseada.
En función de su selección, puede que necesite designar Hubs y Spokes en el mismo menú. Pero en cualquier caso, podrá seleccionar qué pasarelas se conectarán a la VPN, qué subredes de estas pasarelas participarán en las conexiones VPN y configurar el estado de Comunicación de Área del dispositivo.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Comentarios
0 comentariosInicie sesión para dejar un comentario.