Zyxel Nebula Remote Access VPN - IKEv2 IPsec Remote Access VPN:n konfigurointiohjeet

Luotu - Päivitetty
Serhii Boiarynov
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Artikkelissa on yksityiskohtainen opas IKEv2 VPN:n määrittämisestä Nebula:ssa, mukaan lukien Nebula Cloud -käyttäjien luominen VPN-yhteyttä varten ja SecuExtender-asiakkaan määrittäminen. Siinä hahmotellaan IKEv2:n rajoituksia, kuten ennalta jaettujen avainten virallisen tuen puuttumista, ja annetaan vaiheittaiset ohjeet IPsec VPN -palvelimen käyttöönotosta, VPN-asiakkaiden aliverkkojen konfiguroinnista ja todennusvaihtoehtojen, kuten Nebula Cloud Authenticationin, Active Directory -palvelimen ja Google Authenticatorin kautta tapahtuvan kaksitekijätodennuksen, määrittämisestä. Artikkelissa käsitellään myös VPN-käyttäjien luomista, määritystiedostojen lähettämistä ja VPN-yhteyksien tarkistamista sekä tarjotaan vianmääritysvinkkejä ja lisäasetuksia turvallisuuden parantamiseksi.

Tämä artikkeli auttaa sinua ymmärtämään, mitä voit tehdä Nebula:n IKEv2 VPN:n avulla. Siinä kerrotaan, miten IKEv2 otetaan käyttöön, luodaan Nebula Cloud -käyttäjiä VPN-yhteyttä varten ja määritetään SecuExtender-asiakasohjelma.

IKEv2:n rajoitukset

Nebula ei tällä hetkellä tue virallisesti käyttöä:

  • IKEv2:ta ennalta jaetulla avaimella

IKEv2:n määrittäminen Nebula:ssa

  • Ota käyttöön "IPsec VPN-palvelin". 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Ota "IPsec VPN -palvelin" käyttöön
  • Syötä asiakkaan VPN-aliverkko (tämä on se aliverkko, jonka VPN-asiakkaat saavat, eikä se VOI OLLA päällekkäinen minkään muun Nebula-organisaatiosi aliverkon tai etä-VPN-aliverkkojen kanssa (kirjoitetaan muodossa xx.xx.xx.xx.xx/xx "esim. 192.168.50.0/24").
  • Valitse IKEv2-versio
  • Anna tarvittaessa VPN-asiakkaiden nimipalvelimet (DNS-palvelimet). Jos käytät sisäisiä DHCP/DNS-palvelimia, määritä sisäinen DNS-palvelin ja käytä Google DNS:ää (8.8.8.8.8) toisena nimipalvelimena. Tämä asetus auttaa estämään mahdolliset DNS- ja viestintäongelmat VPN-asiakkaiden kanssa.
  • Nebula Cloud Authentication- käytämme esimerkissämme. Mutta sinulla on vaihtoehtoja todennukseen. Voit käyttää Nebula Cloud Authentication -palvelinta, omaa Active Directory- tai RADIUS-palvelinta tai jopa kaksitekijätodennusta Google Authenticator -sovelluksen kautta. Tämä voidaan ottaa käyttöön ottamalla käyttöön "kahden tekijän todennus Captive Portalilla" -ominaisuus. Kun käyttäjä muodostaa yhteyden VPN:ään, häntä ohjataan kirjautumaan sisään Google Authenticatorilla. Hän voi myös rekisteröityä kaksitekijätodennukseen sähköpostitse, joka sisältää hänen kirjautumistietonsa.
  • SecuExtender IKEv2 VPN:n konfigurointimääräys - Valitse sähköpostiosoite(t), jota haluat käyttää SecuExtender IKEv2 VPN:n VPN-konfigurointitiedoston lähettämiseen (voit lisätä ja poistaa sähköpostiosoitteita tässä, mikä ei tule voimaan ennen kuin painat "tallenna").
  • Napsauta "Tallenna"

  • Seuraava vaihe on muuttaa "Policy", tehdäksesi tämän klikkaa "Default" ja määritä Phase 1 ja Phase 2 asetukset kuten alla (älä unohda tallentaa asetukset klikkaamalla "Save" painiketta):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Kun olet muuttanut käytäntöjä, muista tallentaa muutokset napsauttamalla "Save"-painiketta.

Huomautus: MacOS voi vaatia korkeampaa salausta ja todennusta, jossa AES256 ja SHA256 toimivat kokemuksemme mukaan hyvin.

Nebula-pilvikäyttäjien luominen

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Napsauta "Lisää" uusi VPN-käyttäjä
  • Täytä "Sähköposti", jota voidaan käyttää valtakirjojen lähettämiseen ja myös kirjautumiseen (jos valittu).
  • Täytä "Käyttäjätunnus" ja "Salasana".
  • VPN Access (VPN-yhteys ) - on oltava käytössä, jotta VPN-käyttäjä voi käyttää VPN:ää ja tunnistautua onnistuneesti käyttäjän tunnistetiedoilla.
  • Valtuutettu - valitse sivustot, joille haluat sallia pääsyn.
  • Login by - valitse, voiko käyttäjä kirjautua VPN:ään / 802.1x:ään käyttäjätunnuksella, sähköpostiosoitteella tai käyttämällä kumpaakin näistä.
  • Kahden tekijän tunnistautuminen. -merkitse valintaruutu, jos et halua, että tälle käyttäjälle asetetaan Two-Factor Authentication (kaksitekijätodennus) - valintaruutu onvalittuna
  • Sähköposti käyttäjälle - valitse, jos haluat lähettää tunnistetiedot käyttäjälle sähköpostitse.
  • Huomautus: aina kun painat "save" (tai "create user) muutosten jälkeen, käyttäjä saa sähköpostiviestin. Jos siis muutat kyseisen käyttäjän asetuksia, kannattaa ehkä poistaa valintaruutu, kunnes olet määrittänyt käyttäjän asetukset valmiiksi.

Muita asetuksia, jotka on mielenkiintoista tietää:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) on dynaaminen salasananhallinta WiFille (ei VPN:lle), mikä voi tehdä VPN-käyttäjistäsi ja verkostostasi turvallisempia. Se luo jokaiselle käyttäjälle yksilöllisen salasanan, jotta käyttäjä voidaan eristää helpommin, jos se hakkeroidaan.
  • 802.1X - Verkon todennusta varten (ei VPN), tämä voi saada käyttäjät todennettua verkon avulla 802.1x:llä käyttäen Nebula Cloud -todennusta.
  • VLAN-määritys - VLAN-määritys on Professional Pack -ominaisuus, joka määrittää käyttäjälle staattisen VLAN:n, kun tämä tulee verkkoon.

SecuExtender-asiakkaan määrittäminen

  • Lähetä .tgb-tiedosto (VPN-konfiguraatio) sähköpostitse.
Site-wide -Configure Firewall -> Remote access VPN
  • Lähetä VPN-konfiguraatio sähköpostiin lisäämällä oma sähköpostiosoitteesi (tai käyttäjien sähköpostiosoitteet) ja painamalla "Lisää uusi", jos se ei ole läsnä. Napsauta sitten "Lähetä sähköposti" ja tarkista sähköpostisi (ja roskapostikansiosi).

  • Asenna .tgb-tiedosto SecuExtenderiin.

mceclip4.png

  • Jos et saa ponnahdusikkunaa näkyviin, avaa SecuExtender työpöydällä niin, että näet SecuExtender IPsec VPN -asiakkaan (alla olevassa kuvassa näkyvä ikkuna), ja avaa sitten .tgb-tiedosto sähköpostista uudelleen.


  • Yhteyden tarkistus

Kun olet tuonut konfiguraation VPN-asiakkaaseen, kaksoisnapsauta "RemoteAccessVPN" ja syötä sitten "Login" ja "Password" ja napsauta "OK".

  • Jos kohtaat ongelmia, tarkista SecuExtenderin vaihe 1- ja vaihe 2 -asetukset kahdesti ja varmista, että sinulla on sama salaus ja todennus Nebula IKEv2 VPN -asetuksissa.

  • Split-tunneloinnin poistaminen käytöstä

Jos sinulla on ongelmia, kun kaikki liikenne kulkee VPN-tunnelin läpi (sekä internet- että VPN-liikenne), tutustu tähän artikkeliin:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • VPN-yhteyden tarkistaminen

Kun VPN-yhteys on muodostettu, voit tarkistaa yhteyden avaamalla komentoriviikkunan (tai PowerShellin) ja antamalla seuraavat komennot.

  • ipconfig

Tämä komento antaa VPN-liitännän IP-osoitteen.

mceclip4.png

  • ping [remote_address]

Tämän komennon avulla voit suorittaa ping-testin NebulaCC-yhdyskäytävän LAN-verkossa sijaitsevaan laitteeseen.

mceclip5.png

  • NCC:ssä pitäisi nyt näkyä lokitiedot, jotka osoittavat, että VPN toimii oikein. Alla olevasta kuvakaappauksesta näet, että päätilan pyynnöt ovat saavuttaneet USG:n, vaihe 1 voitiin luoda onnistuneesti ja XAuth Nebula Control Centerissä toimii hyvin.

mceclip0.png

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa