Avis important : |
L'article fournit un guide détaillé sur la configuration du VPN IKEv2 dans Nebula, y compris la création d'utilisateurs Nebula Cloud pour l'accès VPN et la configuration du client SecuExtender. Il souligne les limites d'IKEv2, telles que l'absence de support officiel pour les clés pré-partagées, et fournit des instructions pas à pas pour activer le serveur VPN IPsec, configurer les sous-réseaux VPN des clients et mettre en place des options d'authentification telles que Nebula Cloud Authentication, Active Directory et l'authentification à deux facteurs par le biais de Google Authenticator. L'article traite également de la création d'utilisateurs VPN, de l'envoi de fichiers de configuration et de la vérification des connexions VPN, et propose des conseils de dépannage et des paramètres supplémentaires pour une sécurité accrue.
Cet article vous aidera à comprendre ce que vous pouvez faire avec le VPN IKEv2 dans Nebula. Il explique comment configurer IKEv2, créer des utilisateurs Nebula Cloud pour l'accès VPN et configurer le client SecuExtender.
Limites d'IKEv2
Nebula ne supporte pas officiellement l'utilisation de :
- IKEv2 avec clé pré-partagée
Configurer IKEv2 dans Nebula
- Activer le "serveur VPN IPsec"
Go to Site-wide -> Configure -> Firewall -> Remote access VPN- Activer le "serveur VPN IPsec".
- Entrez le sous-réseau VPN du client (il s'agit du sous-réseau que les clients VPN recevront et qui NE PEUT PAS chevaucher un autre sous-réseau de votre organisation Nebula, ni les sous-réseaux VPN distants (doit être écrit comme xx.xx.xx.xx/xx "ex. 192.168.50.0/24").
- Sélectionner la version IKEv2
- Si nécessaire, indiquez les serveurs de noms (serveurs DNS) pour les clients VPN. Si vous utilisez des serveurs DHCP/DNS internes, indiquez le serveur DNS interne et utilisez Google DNS (8.8.8.8) comme deuxième entrée de serveur de noms. Cette configuration permet d'éviter tout problème potentiel de DNS et de communication avec les clients VPN.
- Nebula Cloud Authentication - nous l'utilisons dans notre exemple. Maisvous avez des options pour l'authentification. Vous pouvez opter pour Nebula Cloud Authentication, votre propre Active Directory ou serveur RADIUS, ou même utiliser l'authentification à deux facteurs via l'application Google Authenticator. Cette dernière peut être configurée en activant la fonction "authentification à deux facteurs avec le portail captif". Lorsqu'un utilisateur se connecte au VPN, il est invité à se connecter à l'aide de Google Authenticator. Il peut également s'inscrire à l'authentification à deux facteurs par le biais d'un e-mail contenant ses données de connexion.
- SecuExtender IKEv2 VPN configuration provision - Sélectionnez le(s) email(s) que vous souhaitez utiliser pour envoyer le fichier de configuration VPN pour le VPN SecuExtender IKEv2 (vous pouvez ajouter et supprimer des emails ici, ce qui ne prend effet que lorsque vous cliquez sur "enregistrer").
- Cliquez sur "Enregistrer"
- L'étape suivante consiste à modifier la "Politique". Pour ce faire, cliquez sur "Défaut" et configurez les paramètres de la Phase 1 et de la Phase 2 comme suit (n'oubliez pas d'enregistrer les paramètres en cliquant sur le bouton "Enregistrer") :
Phase 1
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: None, Lifetime (seconds): 28800
- Après avoir modifié les politiques, n'oubliez pas d'enregistrer les changements en cliquant sur le bouton "Enregistrer".
Note : MacOS peut exiger un cryptage et une authentification plus élevés, alors que AES256 et SHA256 fonctionnent très bien d'après notre expérience.
Création des utilisateurs du cloud Nebula
Organization-wide -> Organization-wide manage -> Cloud authentication- Cliquez sur "Ajouter" un nouvel utilisateur VPN
- Remplir le champ "Email" qui peut être utilisé pour l'envoi des informations d'identification et aussi pour la connexion (si sélectionné).
- Remplissez le "Nom d'utilisateur" et le "Mot de passe".
- Accès VPN - doit être activé pour que l'utilisateur VPN puisse accéder au VPN et s'authentifier avec les informations d'identification de l'utilisateur.
- Autorisé - sélectionnez les sites auxquels vous souhaitez autoriser l'accès.
- Login by - choisir si l'utilisateur peut se connecter au VPN / 802.1x avec son nom d'utilisateur, son adresse e-mail, ou en utilisant l'un ou l'autre.
- Auth. à deux facteurs -cochez la case si vous ne voulez PAS que l'authentification à deux facteurs soit définie pour cet utilisateur.
- Envoyer par courriel à l'utilisateur - sélectionnez cette option si vous souhaitez envoyer les informations d'identification par courriel à l'utilisateur.
- Remarque : chaque fois que vous cliquez sur "enregistrer" (ou "créer un utilisateur") après des modifications, l'utilisateur recevra un courrier électronique. Par conséquent, si vous modifiez les paramètres de cet utilisateur, vous pouvez décocher la case jusqu'à ce que vous ayez terminé la configuration de l'utilisateur.
Autres paramètres qu'il est intéressant de connaître :
- Dynamic Personal Pre-shared Key (Fonctionnalité du Pack Professionnel) est une gestion dynamique des mots de passe pour le WiFi (pas pour le VPN), qui peut rendre vos utilisateurs et votre réseau VPN plus sûrs. Elle crée un mot de passe unique pour chaque utilisateur, ce qui permet d'isoler plus facilement un utilisateur en cas de piratage.
- 802.1X - Pour l'authentification réseau (pas VPN), cela permet aux utilisateurs de s'authentifier sur le réseau avec 802.1x en utilisant l'authentification Cloud Nebula.
- Attribution de VLAN - L'attribution de VLAN est une fonctionnalité du Professional Pack qui configure un VLAN statique à l'utilisateur lorsqu'il entre dans le réseau.
Configuration du client SecuExtender
- Envoyer le fichier .tgb (configuration VPN) par email
Site-wide -Configure Firewall -> Remote access VPN
- Envoyez la configuration VPN à votre email en ajoutant votre email (ou les emails des utilisateurs) et en cliquant sur "Add new" s'il n'est pas présent. Cliquez ensuite sur "Envoyer l'email" et vérifiez votre email (et votre dossier spam).
- Installez le fichier .tgb dans SecuExtender
- Si vous ne parvenez pas à afficher la fenêtre pop-up, ouvrez SecuExtender sur le bureau afin de voir le client VPN IPsec SecuExtender (la fenêtre montrée dans l'image ci-dessous), puis ouvrez à nouveau le fichier .tgb à partir de l'email.
- Vérification de la connexion
Après avoir importé la configuration dans le client VPN, double-cliquez sur "RemoteAccessVPN" puis entrez "Login" et "Password" et cliquez sur "OK"
- Si vous rencontrez des problèmes, vérifiez les paramètres de la phase 1 et de la phase 2 dans SecuExtender et assurez-vous que vous avez le même cryptage et la même authentification sur les paramètres Nebula IKEv2 VPN.
- Désactiver le tunneling fractionné
Si vous avez des problèmes avec l'ensemble du trafic passant par le tunnel VPN (à la fois le trafic Internet et le trafic VPN), veuillez consulter cet article :
https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender
- Vérification de la connexion VPN
Une fois la connexion VPN établie, vous pouvez la vérifier en ouvrant une fenêtre d'invite de commande (ou PowerShell) et en lançant les commandes suivantes.
- ipconfig
Cette commande fournit l'adresse IP de l'interface VPN.
- ping [adresse_distante]
Cette commande vous permettra d'effectuer un test ping vers un appareil situé sur le réseau LAN des passerelles NebulaCC.
- Sur le NCC, vous devriez maintenant être en mesure de voir les journaux qui montrent que le VPN fonctionne correctement. Dans la capture d'écran ci-dessous, vous pouvez voir que les requêtes du mode principal ont atteint l'USG, que la phase 1 a pu être établie avec succès et que le XAuth dans le centre de contrôle Nebula fonctionne correctement.