Virtuaalinen yksityisverkko eli VPN on yksi yleisimmin käytetyistä ominaisuuksista suojaussilloillamme, ja Nebula-alustan avulla voit konfiguroida VPN:n USG FLEX -laitteeseesi muutamassa minuutissa!
Yhteenveto
Tässä artikkelissa käsitellään kaikki yleiset VPN-tilanteet, olipa kyse sitten etäkäyttö-VPN:stä tai toimipisteiden välisestä VPN:stä (mukaan lukien VPN ei-Nebula-verkkopisteisiin). Pääset konfigurointivaihtoehtoihin kirjautumalla sisään Nebula Control Centeriin tunnuksillasi osoitteessa https://nebula.zyxel.com/ ja siirtymällä seuraavaan valikkoon VPN-tyypin mukaan:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Sisällysluettelo
- Etäkäyttö-VPN: L2TP over IPSec
- Etäkäyttö-VPN: IPSec-asiakas
- Toimipisteiden välinen VPN: Nebula-verkkopisteet
- Toimipisteiden välinen VPN: ei-Nebula-verkkopisteet
- Toimipisteiden välinen VPN: VPN Orchestrator ja edistyneet asetukset
Etäkäyttö-VPN: L2TP over IPSec
L2TP over IPSec VPN:n konfiguroimiseksi siirry kohtaan Etäkäyttö-VPN ja ota käyttöön L2TP over IPSec VPN -valinta. Ainoat pakolliset kentät VPN:n toimimiseksi ovat salaisuuden (Preshared Key) ja asiakas-VPN-aliverkon täyttäminen. Huomioi, että aliverkon tulee olla sellainen, jota ei ole käytetty muualla. Voit halutessasi muuttaa DNS-palvelimia tai asettaa todennuksen paikalliselle palvelimelle, mutta nämä ovat täysin valinnaisia. "Default"-painike Politiikan vieressä avaa valikon, josta voit asettaa IPSec-ehdotuksia. Oletusarvot on suunniteltu yhteensopiviksi useimpien käyttöjärjestelmien kanssa.
Site-wide -> Configure -> Firewall -> Remote Access VPNTallennettuasi asetukset voit hyödyntää VPN-provisiointiskriptin ominaisuutta – täytä vastaanottajaluettelo ja napsauta "Send Mail" -painiketta. Konfigurointiskripti ja ohjeet sen käyttöön lähetetään annettuihin osoitteisiin.
Asiakasasetukset – provisiointiskriptitila
Nebula Pro tarjoaa kätevän tavan konfiguroida Windows- tai macOS-asiakkaita VPN-provisiointiskriptin avulla. Skripti voidaan lähettää suoraan käyttäjille:
Lähetyksen jälkeen käyttäjät saavat sähköpostin osoitteesta info@nebula.zyxel.com, joka sisältää provisiointiskriptit:
Kuten nimistä voi päätellä, .bat-tiedosto on tarkoitettu Windowsille ja .mobileconfig-tiedosto macOS:lle. Turvallisuussyistä .bat-tiedosto täytyy nimetä uudelleen .bat-päätteellä ennen suorittamista. Skriptiä kaksoisklikkaamalla luodaan VPN-yhteys järjestelmääsi. Ensimmäisellä yhteyskerralla käyttäjän tulee antaa tunnuksensa, jotka tallennetaan onnistuneen yhteyden jälkeen.
Asiakasasetukset – manuaalitila
VPN:n manuaalinen konfigurointi ei ole vaikeaa. Windowsissa siirry kohtaan Asetukset > Verkko ja Internet > VPN ja napsauta Lisää VPN-yhteys.
Täytä lomake Nebula antamien tunnusten mukaan (voit käyttää IP-osoitetta tai Nebula automaattisesti generoimaa DDNS-osoitetta), ja olet valmis!
Lisätietoja löydät tästä artikkelista:
Nebula CC – L2TP:n konfigurointi Nebula-palomuurillesi
Etäkäyttö-VPN: IPSec-asiakas
IPSec-VPN:n konfigurointi tapahtuu samalla tavalla kuin L2TP over IPSec, eli Etäkäyttö-VPN-valikossa ja aloitetaan valitsemalla IPSec VPN -palvelin. Pakolliset kentät VPN:n toimimiseksi ovat salaisuuden (Preshared Key) ja asiakas-VPN-aliverkon täyttäminen. Huomioi, että aliverkon tulee olla sellainen, jota ei ole käytetty muualla. Voit halutessasi muuttaa DNS-palvelimia tai asettaa todennuksen paikalliselle palvelimelle, mutta nämä ovat valinnaisia. "Default"-painike Politiikan vieressä avaa valikon, josta voit asettaa IPSec-ehdotuksia. Oletusarvot on suunniteltu tarjoamaan korkean turvallisuuden IPSec-yhteyksillesi. Voit myös ottaa käyttöön kaksivaiheisen todennuksen asiakkaille Google Authenticatorin avulla turvallisuuden parantamiseksi.
Site-wide -> Configure -> Firewall -> Remote access VPN
Asiakasasetukset
Asiakkaan konfigurointi on hyvin yksinkertaista. Ensin luodaan IPSec-portti ja täytetään tiedot Todennus-välilehdellä, esimerkiksi seuraavassa esimerkissä oletusarvoisilla salausasetuksilla:
Protokollavälilehdellä on tärkeää valita "Mode Config" -ruutu:
Nyt olet valmis luomaan IPSec-yhteyden. Täytä kohdeverkon osoite, ESP/PFS-parametrit, ja olet valmis yhdistämään. Voit myös luoda useita verkkoja ja käyttää niitä samanaikaisesti:
Siinä kaikki! Nyt voit yhdistää etäyhteydellä. Muista, että IPSec-asiakas voi aina viedä konfiguraation valmiina, jotta sen voi helposti ottaa käyttöön useilla laitteilla.
Lisätietoja löydät tästä artikkelista:
Nebula [VPN] – Kuinka konfiguroida IKEv2 IPsec VPN
Toimipisteiden välinen VPN: Nebula-verkkopisteet
Toimipisteiden välisen VPN:n konfigurointi ei ole koskaan ollut helpompaa. Toimipisteiden välinen VPN -valikko alkaa WAN-liitännän asetuksista. Voit valita yhden WAN-liitännän lähteväksi tai jättää asetuksen automaattiseksi redundanssin takaamiseksi. Tässä tapauksessa sinulta kysytään, mikä liitäntä on ensisijainen.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfigurointi jatkuu paikallisilla verkoillasi, joissa paikalliset liitännät ja etä-VPN-yhteydet voivat osallistua toimipisteiden väliseen VPN-yhteyteen.
Seuraavassa osiossa voit konfiguroida edistyneet asetukset. Voit esimerkiksi valita halutun VPN-alueen verkollesi – pienemmät verkot pärjäävät yhdellä Oletus-VPN-alueella. Suuremmat tai monimutkaisemmat VPN-rakenteet saattavat tarvita useampia VPN-alueita. Lisätietoja VPN-alueista ja Nebula VPN Orchestratorista löytyy viimeisestä luvusta.
NAT traversal -vaihtoehto antaa sinun mukauttaa WAN-IP-osoitettasi VPN:ää varten. Tämä on hyödyllistä tilanteissa, joissa WAN-porttiin on reititetty useita IP-osoitteita ja haluat käyttää tiettyä osoitetta VPN:ssä.
Toimipisteiden välinen VPN: ei-Nebula-verkkopisteet
Ei-Nebula-verkkopisteen lisääminen vaatii luonnollisesti konfiguroinnin sekä Nebula Control Centerissä että itsenäisessä laitteessa.
Nebula-puolella riittää täyttää yhteystiedot, kuten laitteen tunnistava nimi, julkinen IP-osoite ja etäyhteyden yksityinen aliverkko sekä preshared key. Valinnaisesti voit muokata IPSec-politiikkaa tarpeidesi mukaan ja määrittää, mitkä sivustot pääsevät tähän reitittimeen. Huomaa, että yksityisen aliverkon ominaisuuden ei tulisi olla verkko-osoite vaan todellinen laiteosoite, jota käytetään yhteyden tarkistukseen CIDR-muodossa – esimerkiksi etä-VPN-palvelin itse.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNTärkeää:
Erikoismerkit kuten -, +, ^, *, [, ], \, ", ? eivät ole sallittuja.
Tämä muuttuu tulevaisuudessa.
Tässä tapauksessa etäreitittimen, ATP200:n, puolella täytyy ensin luoda VPN-portti. Seuraava konfiguraatio mahdollistaa tämän portin uudelleenkäytön niin monelle verkkopisteelle kuin haluat. Oletusarvoisella IPSec-ehdotuksella tarvitsee vain vaihtaa neuvottelutila "Aggressive"-tilaan ja asettaa preshared key.
VPN-portin konfiguroinnin jälkeen VPN-yhteys mahdollistaa yhteyden muodostamisen kahden reitittimen välillä. Aseta paikallinen ja etäpolitiikka verkkoarkkitehtuurisi mukaan. Näiden arvojen tulee vastata Nebula-asetuksia, muuten neuvottelu epäonnistuu.
VPN-yhteyden tallentamisen jälkeen yhteyden pitäisi muodostua muutaman sekunnin sisällä.
Lisätietoja löydät tästä artikkelista:
Nebula VPN – Toimipisteiden välisen VPN:n konfigurointi ei-Nebula-verkkopisteeseen
Toimipisteiden välinen VPN: VPN Orchestrator ja edistyneet asetukset
Nebula VPN Orchestrator on tehokas työkalu, joka mahdollistaa monimutkaisten VPN-topologioiden helpon konfiguroinnin. NCC-alusta sallii abstraktin konfiguroinnin ilman yksittäisten VPN-yhteyksien konfigurointia jokaisessa silloissa, ja topologian muuttamisen saumattomasti nykyisten vaatimusten mukaan vain muutamalla napsautuksella!
Nebula VPN-topologia selitettynä
Nebula Orchestrator voi sisältää useita VPN-alueita. Kukin alue voi olla joko toimipisteiden välinen topologia tai keskus-piste (Hub-and-Spoke) -topologia. Toimipisteiden välisissä topologioissa jokainen suojaussilta yhdistyy kaikkiin muihin siltoihin VPN-alueella. Keskus-piste -topologioissa vain yksi silta, joka on määritelty keskukseksi (Hub), yhdistyy muihin siltoihin. On myös mahdollista, että käytössä on yksi tai useampi toimipisteiden välinen alue ja muut keskuspistealueet.
Kukin alue voi sisältää enintään viisi keskusta, ellei alueella ole NSG:tä – tällöin alueella voi olla vain yksi keskus. Jos keskuksen lähtevä liitäntä on asetettu "auto"-tilaan, kaikki WAN-yhteydet soittavat VPN-yhteydet Spoke-silloille samanaikaisesti.
Alueiden väliseen kommunikointiin voit ottaa käyttöön Alueviestinnän (Area Communication) siltaa varten. Toimipisteiden välisillä alueilla on oltava nimetty Alueen johtaja (Area Leader) tämän toiminnon toimimiseksi. Alueen johtajat tai keskussillat soittavat VPN-tunneleita muihin alueisiin ja sallivat viestinnän AC-siltojen välillä.
Konfigurointi
VPN Orchestratorin konfigurointi löytyy seuraavasta valikosta:
Organization-wide > VPN OrchestratorNäytön yläosassa näkyy kartta, jossa on VPN-verkon nykyinen visualisointi – mukaan lukien yhteyden katkeamisista johtuvat virheet. Tämä sisältää myös ei-Nebula-verkkopisteiden yhteydet, jotka erotetaan katkoviivalla.
Smart VPN -valikossa voit valita haluamasi alueen konfiguroitavaksi tai luoda uuden ja valita halutun topologian.
Valintasi perusteella sinun täytyy mahdollisesti nimetä Keskukset ja Spoke-sillat samassa valikossa. Joka tapauksessa voit valita, mitkä sillat yhdistyvät VPN:ään, mitkä aliverkot näillä silloilla osallistuvat VPN-yhteyksiin ja konfiguroida laitteen alueviestinnän tilan.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.