Tämä opas auttaa määrittämään Zyxel IPSec VPN Client -asiakkaan (versio 3.8.204.61.32) VPN-yhteyttä varten Nebula CC IPSec Remote Access VPN (C2S) -ominaisuuden kanssa käyttämällä Nebula Security PRDm_7 (uX Security PRDm_7).

Sisällysluettelo

1. Yleiskatsaus
2. Tuetut laitteet
3. Nebula Control Centerin asetukset
4. VPN-asiakkaan asetukset (SecuExtender IPSEC VPN Client)

Yleiskatsaus

VPN ( V irtual Private N network) tarjoaa turvallisen tiedonsiirron kohteiden välillä ilman kiinteiden yhteyksien kustannuksia. VPN-verkkoja käytetään liikenteen turvalliseen siirtämiseen TCP/IP-viestintää käyttävän epävarman verkon Internetissä. Etäkäyttö VPN (client-to-site) mahdollistaa matkustavien tai etätyöntekijöiden suojatun pääsyn yrityksen verkkoresursseihin. On olemassa useita erilaisia VPN-protokollia/tekniikoita, joita voidaan käyttää luomaan suojattu linkki yrityksen verkkoon, L2TP, PPTP, SSL, OpenVPN jne. Tässä oppaassa viitataan IPSec-protokollaan suojatun VPN-tunnelin luomiseksi ulkoisten isäntien välille ( käyttäjät, jotka ovat yhteydessä Internetiin yrityksen verkkorakenteen ulkopuolella) ja NebulaCC-yhdyskäytävä. VPN-yhteyden muodostamiseen tarvitaan kolmannen osapuolen IPSec-ohjelmisto, koska nykyisistä käyttöjärjestelmistä puuttuu sisäänrakennettu IPSec-asiakas. Tämä esittely auttaa määrittämään VPN-asetukset IPSec VPN -asiakkaassa (versio 3.8.204.61.32).

Tuetut laitteet

NSG-sarja (50/100/200/300)
USG FLEX -sarja (100/100W/200/500/700)

Nebula CC VPN -asennus

Huomautus: Nebula Control Centerissä on vaatimus, että taustalla on oltava käyttäjätietokanta, jonka IPSec-asiakas todentaa kohti. Jotta tämä toimisi, meidän on asetettava asiakkaalle "X-Auth" ja "Config Mode".

Napsauta uutta Nebula CC -käyttöliittymää ja siirry osoitteeseen:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Määritä Client VPN -palvelin IPSec-asiakkaaksi. Jos NSG/USG FLEX sijaitsee NAT-yhdyskäytävän takana, sinun on kirjoitettava NAT traversal.

Luo VPN-asiakastili todennusta varten. Tyyppi on Nebula Cloud Todennus. Muista luoda käyttäjä vastaavassa alivalikossa

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN -asiakasasetukset

Zyxel IPSec VPN -asiakkaan uusin versio voidaan ladata osoitteesta täällä . Kun asiakas on asennettu, käynnistä ohjelma ja avaa Asetuspaneeli . Napsauta alla olevaa "IKE V1" -kansiota VPN-määritykset , kun kansio on valittu, paina näppäimistön "Ctrl + N" -näppäimiä lisätäksesi "Ikev1Gateway" -säännön. Tee seuraavat muutokset sääntöön:

1. Kaukosäädin Gateway
   
   • Liitäntä – Valitse liitäntä, jota tietokone käyttää VPN-yhteyden muodostamiseen. Aseta tämä Minkä tahansa jos VPN-asiakasohjelma saa käyttää mitä tahansa tietokoneessa olevaa yhteyttä.
   • Etä-Gateway – Kirjoita NebulaCC-yhdyskäytävän FQDN/DDNS/IP, johon muodostat yhteyden.
2. Todennus
   
   • Valitse "Esijaettu avain" -vaihtoehto.
   • Kirjoita NebulaCC IPSec-kokoonpanossa käytetty esijaettu avain ja "Vahvista" avain.
3. X-Auth
   
   • Ota käyttöön – Tämä ruutu tulee valita.
   • X-Auth Popup – Tämä ruutu tulee valita vain, jos haluat, että sinulta kysytään käyttäjätunnusta ja salasanaa yhteyden yhteydessä
     • Kirjautuminen – Anna NebulaCC VPN-tilin käyttäjänimi. Vain jos "X-Auth Popup" ei ole valittuna.
     • Salasana – Anna NebulaCC VPN-tilin salasana. Vain jos "X-Auth Popup" ei ole valittuna.
4. Kryptografia (esimerkkiasennus)
   • Salaus – Valitse AES256 avattavasta valikosta.
   • Todennus – Valitse SHA-256 avattavasta valikosta.
   • Avainryhmä – Valitse DH14 (1024) avattavasta valikosta.

Napsauta "Ikev1Gateway" -kohdassa pöytäkirja -välilehti ja tee seuraava muutos:

Ota käyttöön Mode Config vaihtoehto.
Kun "Ikev1Gateway" on korostettuna, paina näppäimistön "Ctrl + N" -näppäimiä uudelleen lisätäksesi yhteyden "Ikev1Tunnel" -osan. Tee seuraavat muutokset:

1. Osoite
   
   • VPN-asiakasosoite – Jätä tämä vaihtoehto ennalleen. (0.0.0.0 oletuksena)
   • Osoitetyyppi – Valitse Aliverkon osoite avattavasta valikosta.
   • Etä-LAN-osoite – Kirjoita NebulaCC paikallisen lähiverkon IP-osoite.
   • Aliverkon peite – Kirjoita NebulaCC paikallisen LAN-aliverkon peite.
2. ESP
   
   • Salaus – Valitse AES256 avattavasta valikosta.
   • Todennus – Valitse SHA-256 avattavasta valikosta.
   • Tila – Valitse Tunneli avattavasta valikosta.
3. PFS
   
   • Jätä tämä vaihtoehto valitsematta.
4. Elinikä
   
   • Elinikä on sekunteina ilmoitettu aika, jonka jälkeen asiakas neuvottelee algoritmit uudelleen.

Kun kaikki asetukset on tehty, napsauta Kokoonpano vaihtoehto työkalupalkista ja valitse Tallenna . Tämä tallentaa kaikki asiakkaaseen tehdyt muutokset.

Voit muodostaa VPN-yhteyden NebulaCC-yhdyskäytävään napsauttamalla hiiren kakkospainikkeella "Ikev1Tunnel" -vaihtoehtoa ja valitsemalla Avaa tunneli tai paina (Ctrl + O) näppäimistöstäsi.

Todentaminen

Kun VPN-yhteys on muodostettu, voit tarkistaa yhteyden avaamalla komentokehoteikkunan (tai PowerShellin) ja antamalla seuraavat komennot.

• ipconfig
  Tämä komento antaa IP-osoitteen VPN-rajapinnalle.
  
• ping [etäosoite]
  Tämän komennon avulla voit suorittaa ping-testin NebulaCC-yhdyskäytävien LAN-verkossa sijaitsevalle laitteelle.
  

NCC:ssä sinun pitäisi nyt nähdä lokit, jotka osoittavat, että VPN toimii oikein. Alla olevassa kuvakaappauksessa näet, että päätilan pyynnöt ovat saavuttaneet USG:n, vaihe 1 onnistui luomaan ja XAuth Nebula Control Centerissä toimii hyvin.