Nebula [VPN] - Yleiskatsaus virtuaaliseen yksityisverkkoon (VPN)

Virtuaalinen yksityisverkko, tai lyhyesti VPN, on yksi yleisimmin käytetyistä ominaisuuksista tietoturvayhdyskäytävissämme, ja Nebulan avulla voit määrittää VPN:n USG FLEXissäsi muutamassa minuutissa!

Synopsis

Tässä artikkelissa käsitellään kaikkia yleisiä VPN-skenaarioita, olipa kyseessä sitten etäkäyttö-VPN tai Site-to-Site-VPN (mukaan lukien VPN muihin kuin Nebula-vertaisverkon käyttäjiin). Pääset määritysvaihtoehtoihin kirjautumalla Nebula Control Centeriin käyttämällä tunnuksiasi osoitteessa https://nebula.zyxel.com/ ja navigoimalla seuraavaan valikkoon sen mukaan, minkä tyyppisen VPN:n haluat luoda:

Sisällysluettelo

1. Etäkäyttö-VPN: L2TP IPSecin kautta
2. Etäkäyttö-VPN: IPSec-asiakas
3. Site-to-Site VPN: Nebula-vertaisverkot
4. Site-to-Site VPN: muut kuin Nebula-vertaisverkot
5. Site-to-Site VPN: VPN Orchestrator ja edistyneet määritykset

Etäkäyttö-VPN: L2TP IPSecin yli

Jos haluat määrittää L2TP over IPSec VPN:n, siirry Etäkäyttö-VPN-valikkoon ja ota L2TP over IPSec VPN -vaihtoehto käyttöön. Ainoat pakolliset kentät VPN:n saamiseksi toimimaan ovat salaisuuden (Preshared Key) ja Client VPN -aliverkon täyttäminen. Sinun tarvitsee vain harkita sellaisen aliverkon käyttöä, jota ei vielä käytetä missään muualla. Voit halutessasi vaihtaa DNS-palvelimet tai asettaa esimerkiksi todennuksen paikalliselle palvelimelle, mutta tämä on täysin vapaaehtoista. Käytäntöjen vieressä oleva "Oletus" -painike avaa valikon, jonka avulla voit asettaa IPSec-ehdotuksia. Oletusarvot on suunniteltu yhteensopiviksi useimpien käyttöjärjestelmien kanssa.

Kun olet tallentanut asetuksesi, voit hyödyntää VPN provision script -ominaisuutta - täytä vastaanottajaluettelo ja napsauta "Send Mail" -painiketta. Määritysskripti käyttöohjeineen lähetetään annettuihin osoitteisiin.

Asiakkaan konfigurointi - Toimitusskriptitila

Nebula Pro tarjoaa kätevän tavan konfiguroida Windows- tai macOS-asiakkaita VPN:n provisiointiskriptin avulla. Tämä voidaan lähettää suoraan käyttäjille:

Kun sähköpostiviesti on lähetetty, käyttäjät saavat osoitteesta info@nebula.zyxel.com sähköpostiviestin, joka sisältää provisiointiskriptit:

Nimensä mukaisesti .batfile-tiedosto on tarkoitettu Windowsille, kun taas .mobileconfig-tiedosto on tarkoitettu macOS:lle. Tietoturvarajoitusten vuoksi .batfile-tiedosto on nimettävä uudelleen .bat-tiedostoksi ennen suorittamista. Skriptin kaksoisnapsauttaminen luo VPN-yhteyden järjestelmääsi. Ensimmäisen yhteyden aikana käyttäjän on annettava tunnistetietonsa. Ne tallennetaan ensimmäisen onnistuneen yhteyden jälkeen.

Asiakkaan konfigurointi - Manuaalinen tila

VPN:n manuaalinen konfigurointi ei kuitenkaan ole vaikea tehtävä. Siirry Windowsissa kohtaan Asetukset > Verkko ja Internet > VPN ja napsauta Lisää VPN-yhteys.

Täytä lomake Nebulan antamien tunnistetietojen mukaisesti (Voit käyttää joko IP-osoitetta tai Nebulan automaattisesti luomaa DDNS:ää), ja olet valmis!

Katso lisätietoja tästä artikkelista:

Nebula CC - L2TP:n määrittäminen Nebula-palomuuria varten.

Etäkäyttö-VPN: IPSec-asiakas

Samaan tapaan kuin L2TP over IPSec -määritys, myös IPSec VPN -määritys tapahtuu Remote Access VPN -valikossa ja alkaa IPSec VPN -palvelimen valintaruudusta. Ainoat pakolliset kentät, jotta VPN toimisi, ovat salaisuuden (Preshared Key) ja Client VPN -aliverkon täyttäminen. Ainoa huomioitava asia on käyttää aliverkkoa, jota ei vielä käytetä missään muualla. Voit halutessasi vaihtaa esimerkiksi DNS-palvelimet tai asettaa todennuksen paikalliselle palvelimelle, mutta tämä on valinnaista. Käytäntöjen vieressä oleva "Oletus" -painike avaa valikon, jonka avulla voit asettaa IPSec-ehdotuksia. Oletusarvot on suunniteltu tarjoamaan IPSec-yhteyksillesi korkea suojaus. Voit myös ottaa käyttöön kaksitekijätodennuksen asiakkaillesi parantaaksesi turvallisuutta entisestään Google-todentajan avulla.

Koko sivuston laajuinen -> Määritä -> Palomuuri -> Etäkäyttö-VPN

Asiakkaan konfigurointi

Asiakkaan määrittäminen on hyvin yksinkertaista. Ensin luodaan IPSec-yhdyskäytävä ja täytetään todennusvälilehden tiedot, kuten seuraavassa esimerkissä, jossa otetaan huomioon oletussalausarvot:

Protocol-välilehdellä on tärkeää valita "Mode Config" -ruutu:

Nyt olemme valmiita luomaan IPSec-yhteyden. Täytä kohdeverkon osoite, ESP/PFS-parametrit ja olet valmis muodostamaan yhteyden. Voit myös luoda useita verkkoja ja käyttää niitä samanaikaisesti:

Siinä kaikki! Nyt olet valmis muodostamaan etäyhteyden. Muista, että IPSec-asiakasohjelma voi aina viedä kokoonpanon valmiiksi, kun se on valmis, jotta se voidaan ottaa käyttöön useissa laitteissa helposti.

Katso lisätietoja tästä artikkelista:

Nebula [VPN] - IKEv2 IPsec VPN:n konfigurointi.

Site-to-Site VPN: Nebula-vertaisverkot

Site-to-Site VPN:n konfigurointi ei ole koskaan ollut helpompaa. Site-to-Site VPN -valikko alkaa WAN-liitännän määrityksellä. Voit valita yhden WAN-liitännän lähteväksi tai jättää vaihtoehdon automaattiseksi, jotta saat aikaan redundanssin. Tällöin sinulta kysytään, kumpi liitäntä olisi ensisijainen.

Tämän jälkeen konfigurointi jatkuu paikallisverkkoihin, joissa paikalliset liitännät ja etä-VPN-yhteydet ovat käytettävissä osallistuakseen site-to-site-VPN-yhteyteen.

Seuraavassa osassa voit määrittää lisäasetukset. Voit esimerkiksi valita haluamasi VPN-alueen verkkoosi - pienemmät verkot pärjäävät yhdellä oletus-VPN-alueella. Suuremmat tai yksinkertaisesti monimutkaisemmat VPN-rakenteet saattavat tarvita useampia VPN-alueita. Lisätietoja VPN-alueesta ja Nebula VPN Orchestratorista on viimeisessä luvussa.

NAT traversal -vaihtoehdon avulla voit mukauttaa WAN-IP-osoitteen VPN:ääsi varten. Tämä on hyödyllistä tilanteissa, joissa WAN-porttiisi ohjataan useita IP-osoitteita ja haluat käyttää tiettyä osoitetta VPN:ää varten.

Katso lisätietoja tästä artikkelista:

Nebula VPN - Configure Site-to-Site VPN in Nebula between two Nebula Gateways (Sivustojen välisen VPN:n konfigurointi Nebulassa kahden Nebula-portin välillä)

Site-to-Site VPN: muut kuin Nebula-vertaisverkot

Muun kuin Nebulan vertaisverkon lisääminen edellyttää luonnollisesti konfigurointia Nebula Control Centerissä ja erillisessä laitteessa.

Nebulan puolella tarvitaan vain joitakin tietoja yhteydestä, erityisesti nimi, jolla laite tunnistetaan, sen julkinen IP-osoite ja etäinen yksityinen aliverkko, johon aiot liittää ennalta jaetun avaimen. Valinnaisesti voit muokata IPSec-käytäntöä tarpeisiisi sopivaksi ja määrittää, mitkä sivustot käyttävät tätä reititintä. Huomaa, että yksityinen aliverkko-ominaisuus ei saa olla verkko-osoite, vaan sen on oltava todellinen laitteen osoite, jota käytetään yhteyden tarkistamiseen CIDR-muodossa - esimerkiksi itse etä-VPN-palvelin.

Tärkeää:
Erikoismerkit kuten -, +, ^, *, [, ], \, ", ? eivät ole sallittuja.
Tämä tulee muuttumaan tulevaisuudessa.

Tässä tapauksessa etäreitittimen, ATP200:n, puolelle on ensin luotava VPN-yhdyskäytävä. Seuraavan konfiguraation avulla voit käyttää tätä yhdyskäytävää uudelleen niin monelle vertaisverkkopiirille kuin haluat. IPSec-ehdotuksen oletusasetuksilla vain neuvottelutilan muuttaminen "Aggressiiviseksi" ja ennalta jaettu avain on tarpeen.

VPN-yhdyskäytävän konfiguroinnin jälkeen VPN-yhteys mahdollistaa lopulta yhteyden muodostamisen kahden reitittimen välille. Aseta paikallinen ja etäkäytäntö verkkotopologiasi mukaan. Näiden arvojen on vastattava Nebulan konfiguraatiota. Muuten neuvottelu epäonnistuu.

Kun VPN-yhteys on tallennettu, reitittimien välisen yhteyden pitäisi muodostua muutaman sekunnin kuluessa.

Katso lisätietoja tästä artikkelista:

Nebula VPN - Sivuston välisen VPN:n konfigurointi muuhun kuin Nebula-kumppaniin.

Site-to-Site VPN: VPN Orchestrator ja edistyneet määritykset

Nebula VPN Orchestrator on tehokas työkalu, jonka avulla voit konfiguroida monimutkaisia VPN-topologioita helposti. NCC-alusta mahdollistaa abstraktin konfiguroinnin ilman yksittäisten VPN-yhteyksien konfigurointia jokaisella yhdyskäytävällä ja topologian saumattoman muuttamisen nykyisten vaatimusten mukaan vain muutamalla napsautuksella!

Nebulan VPN-topologian selitys

Nebula Orchestrator voi sisältää useita VPN-alueita. Kukin alue voi olla joko Site-to-Site-topologia tai Hub-and-Spoke-topologia. Site-to-Site-topologiassa jokainen tietoturvayhdyskäytävä muodostaa yhteyden kaikkiin muihin VPN-alueen yhdyskäytäviin. Hub-and-Spoke-topologiassa ainoa keskittimeksi nimetty yhdyskäytävä muodostaa yhteyden muihin yhdyskäytäviin. On myös mahdollista, että on yksi tai useampi Site-to-Site-alue ja muita Hub-and-Spoke-alueita.

Kullakin alueella voi olla enintään viisi keskittintä, ellei alue sisällä NSG:tä - siinä tapauksessa tietyllä alueella voi olla vain yksi keskittin. Jos keskittimen lähtevän liitännän asetuksena on "auto", kaikki WAN-yhteydet valitsevat VPN-yhteydet Spoke-yhdyskäytäviin samanaikaisesti.

Alueiden välistä viestintää varten voit ottaa yhdyskäytävälle käyttöön Area Communication -yhteyden. Site-to-Site-alueilla on oltava nimetty Area Leader, jotta tämä toimii. Aluejohtajat tai keskusyhdyskäytävät valitsevat VPN-tunnelit muille alueille ja mahdollistavat yhteyden AC-yhdyskäytävien välillä.

Konfigurointi

VPN Orchestrator -määritys löytyy seuraavasta valikosta:

Näytön yläosassa näkyy kartta, jossa on VPN-verkon tämänhetkinen visualisointi - mukaan lukien yhteyden katkeamisesta johtuvat viat. Tämä sisältää myös muut kuin Nebula-vertaisyhteydet - nämä voidaan erottaa katkoviivalla.

Smart VPN -valikossa voit valita haluamasi alueen, jonka haluat määrittää, tai luoda uuden alueen ja valita haluamasi topologian.

Valintasi perusteella sinun on ehkä määritettävä Hubit ja Spokes samassa valikossa. Joka tapauksessa voit kuitenkin valita, mitkä yhdyskäytävät muodostavat yhteyden VPN:ään, mitkä näiden yhdyskäytävien aliverkot osallistuvat VPN-yhteyksiin ja määrittää laitteen Area Communication -tilan.