Ce guide vous aidera à configurer le client VPN Zyxel IPSec (version 3.8.204.61.32) pour la connectivité VPN avec la fonction Nebula CC IPSec Remote Access VPN (C2S) utilisant Nebula Security Gateway (NSG).

Table des matières

1. Aperçu
2. Périphériques compatibles
3. Configuration du centre de contrôle Nebula
4. Configuration du client VPN (client VPN SecuExtender IPSEC)

Aperçu

Un VPN ( V irtual P rivate Network) assure une communication sécurisée entre les sites sans le coût des lignes louées. Les VPN sont utilisés pour transporter en toute sécurité le trafic sur Internet d'un réseau non sécurisé qui utilise des communications TCP/IP. Un VPN d'accès à distance (client-to-site) permet aux salariés en déplacement ou en télétravail, un accès sécurisé aux ressources du réseau de l'entreprise. Il existe plusieurs types de protocoles/technologies VPN qui peuvent être utilisés pour établir un lien sécurisé avec le réseau de l'entreprise, L2TP, PPTP, SSL, OpenVPN, etc. Ce guide fera référence au protocole IPSec pour établir un tunnel VPN sécurisé entre des hôtes externes ( utilisateurs connectés à internet en dehors de la structure réseau de l'entreprise) et la passerelle NebulaCC. Un logiciel IPSec tiers est requis pour établir la connexion VPN car les systèmes d'exploitation actuels ne disposent pas d'un client IPSec intégré. Cette procédure pas à pas vous aidera à configurer la configuration VPN sur le client VPN IPSec (version 3.8.204.61.32).

Périphériques compatibles

Série NSG (50/100/200/300)
Série USG FLEX (100/100W/200/500/700)

Configuration du VPN Nebula CC

Remarque : Sur le centre de contrôle Nebula, il est nécessaire qu'il y ait une base de données d'utilisateurs en arrière-plan avec laquelle le client IPSec s'authentifie. Pour que cela fonctionne, nous devrons dans le client configurer "X-Auth" et "Config Mode".

Cliquez sur la nouvelle interface utilisateur Nebula CC et accédez à :

Security gateway (or USG FLEX) → Configure → Remote access VPN

Spécifiez le serveur Client VPN en tant que client IPSec. Si votre NSG/USG FLEX est situé derrière la passerelle NAT, vous devrez saisir la traversée NAT.

Créez un compte client VPN pour l'authentification. Le type est Nebula Cloud Authentification. Assurez-vous de créer un utilisateur dans le sous-menu correspondant

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Configuration du client VPN Zyxel

La dernière version du client VPN Zyxel IPSec peut être téléchargée sur ici . Une fois le client installé, lancez le programme et ouvrez le Panneau de configuration . Cliquez sur le dossier "IKE V1" sous Configuration VPN , une fois le dossier sélectionné, appuyez sur les touches "Ctrl + N" du clavier pour ajouter une règle "Ikev1Gateway". Apportez les modifications suivantes à la règle :

1. Gateway à distance
   
   • Interface – Sélectionnez l'interface que l'ordinateur utilisera pour établir la connexion VPN. Réglez ceci sur Quelconque si le client VPN sera autorisé à utiliser n'importe quelle connexion disponible sur l'ordinateur.
   • Remote Gateway – Tapez le FQDN/DDNS/IP de la passerelle NebulaCC à laquelle vous vous connecterez.
2. Authentification
   
   • Sélectionnez l'option "Clé pré-partagée".
   • Tapez la clé pré-partagée utilisée sur la configuration IPSec NebulaCC et "Confirmez" la clé.
3. X-Auth
   
   • Activer – Cette case doit être cochée.
   • X-Auth Popup - Cette case ne doit être cochée que si vous souhaitez être invité à entrer le nom d'utilisateur et le mot de passe lors de la connexion
     • Connexion – Indiquez le nom d'utilisateur du compte VPN NebulaCC. Uniquement si "X-Auth Popup" n'est pas coché.
     • Mot de passe – Fournissez le mot de passe du compte VPN NebulaCC. Uniquement si "X-Auth Popup" n'est pas coché.
4. Cryptographie (exemple de configuration)
   • Cryptage – Sélectionnez AES256 dans le menu déroulant.
   • Authentification – Sélectionnez SHA-256 du menu déroulant.
   • Groupe de clés – Sélectionner DH14 (1024) du menu déroulant.

Depuis "Ikev1Gateway", cliquez sur le Protocole tab et apportez la modification suivante :

Activez le Configuration des modes option.
Lorsque "Ikev1Gateway" est en surbrillance, appuyez à nouveau sur les touches "Ctrl + N" du clavier pour ajouter la partie "Ikev1Tunnel" de la connexion. Effectuez les modifications suivantes :

1. Adresse
   
   • Adresse du client VPN – Laissez cette option telle quelle. (0.0.0.0 par défaut)
   • Type d'adresse – Sélectionner Adresse de sous-réseau du menu déroulant.
   • Adresse LAN distante – Saisissez le schéma IP LAN local NebulaCC.
   • Masque de sous-réseau – Saisissez le masque de sous-réseau local NebulaCC.
2. ESP
   
   • Cryptage – Sélectionnez AES256 du menu déroulant.
   • Authentification – Sélectionnez SHA-256 du menu déroulant.
   • Mode – Sélectionner Tunnel du menu déroulant.
3. PSF
   
   • Laissez cette option décochée.
4. Durée de vie
   
   • La durée de vie est la durée, en secondes, avant que le client renégocie les algorithmes.

Une fois tous les réglages effectués, cliquez sur le Configuration dans la barre d'outils et sélectionnez Enregistrer . Cela enregistrera toutes les modifications apportées au client.

Pour établir la connexion VPN à la passerelle NebulaCC, faites un clic droit sur l'option "Ikev1Tunnel" et sélectionnez Tunnel ouvert ou appuyez sur (Ctrl + O) sur votre clavier.

Vérification

Une fois la connexion VPN établie, vous pouvez vérifier la connexion en ouvrant une fenêtre d'invite de commande (ou PowerShell) et en exécutant les commandes suivantes.

• ipconfig
  Cette commande fournira l'adresse IP de l'interface VPN.
  
• ping [adresse_distante]
  Cette commande vous permettra d'exécuter un test ping vers un appareil situé sur le réseau LAN des passerelles NebulaCC.
  

Sur le NCC, vous devriez maintenant pouvoir voir les journaux qui montrent que le VPN fonctionne correctement. Dans la capture d'écran ci-dessous, vous pouvez voir que les demandes du mode principal ont atteint l'USG, la phase 1 a pu être établie avec succès et le XAuth dans le centre de contrôle Nebula fonctionne correctement.