Nebula [VPN] - Aperçu du réseau privé virtuel (VPN)

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Chers clients, sachez que nous utilisons la traduction automatique pour vous fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Le réseau privé virtuel, ou VPN en abrégé, est l'une des fonctions les plus utilisées sur nos passerelles de sécurité, et avec Nebula, vous pouvez configurer le VPN sur votre USG FLEX en quelques minutes !

Synopsis

Cet article couvrira tous les scénarios VPN courants, qu'il s'agisse de VPN d'accès à distance ou de VPN de site à site (y compris le VPN vers des pairs non Nebula). Pour accéder aux options de configuration, veuillez vous connecter à Nebula Control Center en utilisant vos identifiants à https://nebula.zyxel.com/ et naviguer vers le menu suivant en fonction du type de VPN que vous souhaitez créer :

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Table des matières

  1. VPN d'accès à distance : L2TP sur IPSec
  2. VPN d'accès à distance : client IPSec
  3. VPN site à site : pairs Nebula
  4. VPN Site-à-Site : pairs non-Nebula
  5. VPN Site-à-Site : VPN Orchestrator et configurations avancées

VPN d'accès à distance : L2TP sur IPSec

Pour configurer le VPN L2TP over IPSec, veuillez naviguer vers le menu VPN d'accès à distance et activer l'option VPN L2TP over IPSec. Les seuls champs obligatoires pour que votre VPN fonctionne sont le secret (Preshared Key) et le sous-réseau VPN du client. Vous ne devez envisager d'utiliser qu'un sous-réseau qui n'est pas encore utilisé ailleurs. Vous pouvez modifier les serveurs DNS ou définir l'authentification sur un serveur local, par exemple, mais cela est totalement facultatif. Le bouton "Default" situé à côté de Policy ouvre un menu qui vous permet de définir les propositions IPSec. Les valeurs par défaut sont conçues pour être compatibles avec la plupart des systèmes d'exploitation.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Après avoir sauvegardé votre configuration, vous pouvez profiter de la fonction de script de provision VPN - remplissez une liste de destinataires et cliquez sur le bouton "Envoyer le courrier". Le script de configuration avec les instructions d'utilisation sera envoyé aux adresses fournies.

Configuration du client - Mode script de mise à disposition

Nebula Pro offre un moyen pratique de configurer les clients Windows ou macOS en utilisant un script de provisionnement VPN. Ce script peut être envoyé directement aux utilisateurs :

mceclip3.png

Une fois le mail envoyé, les utilisateurs recevront un mail de info@nebula.zyxel.com contenant les scripts de provisionnement :
mceclip4.png
Comme leur nom l'indique, le fichier .batfile est destiné à Windows, tandis que le fichier .mobileconfig est destiné à macOS. En raison de restrictions de sécurité, le fichier .batfile doit être renommé en .bat avant d'être exécuté. Il suffit de double-cliquer sur le script pour créer une connexion VPN sur votre système. Lors de la première connexion, l'utilisateur doit fournir ses informations d'identification. Celles-ci seront sauvegardées après la première connexion réussie.

Configuration du client - Mode manuel

Il n'est cependant pas difficile de configurer le VPN manuellement. Sous Windows, naviguez vers Paramètres > Réseau et Internet > VPN et cliquez sur Ajouter une connexion VPN.

Remplissez le formulaire en fonction des informations d'identification fournies par Nebula (vous pouvez utiliser l'adresse IP ou le DDNS généré automatiquement par Nebula), et le tour est joué !

mceclip6.png

Voir plus d'informations dans cet article :

Nebula CC - Configurer L2TP pour votre Firewall Nebula

VPN d'accès à distance : client IPSec

De manière similaire à la configuration du L2TP sur IPSec, la configuration du VPN IPSec se fait également dans le menu VPN d'accès à distance et commence par la case à cocher Serveur VPN IPSec. Les seuls champs obligatoires pour faire fonctionner votre VPN sont le secret (Preshared Key) et le sous-réseau VPN du client. La seule chose à prendre en compte est d'utiliser un sous-réseau qui n'est pas encore utilisé ailleurs. Vous pouvez modifier les serveurs DNS ou définir l'authentification sur un serveur local, par exemple, mais cela est facultatif. Le bouton "Défaut" situé à côté de "Politique" ouvre un menu qui vous permet de définir les propositions IPSec. Les valeurs par défaut sont conçues pour fournir une sécurité élevée à vos connexions IPSec. Vous pouvez également activer l'authentification à deux facteurs pour vos clients afin d'améliorer encore la sécurité grâce à Google authenticator.

Sitewide -> Configure -> Firewall -> Remote access VPN

Configuration du client

La configuration du client est très simple. Tout d'abord, nous voulons créer la passerelle IPSec et remplir les détails de l'onglet Authentification, comme dans l'exemple suivant, qui prend en compte les valeurs de cryptographie par défaut :

mceclip0.png

Dans l'onglet Protocole, il est important de sélectionner la case "Mode Config" :

mceclip1.png

Nous sommes maintenant prêts à créer une connexion IPSec. Veuillez remplir l'adresse du réseau cible, les paramètres ESP/PFS et vous êtes prêt à vous connecter. Vous pouvez également créer plusieurs réseaux et y accéder simultanément :

mceclip2.png

C'est tout ! Vous êtes maintenant prêt à vous connecter à distance. N'oubliez pas que le client IPSec peut toujours exporter la configuration une fois qu'elle est terminée afin de la déployer facilement sur plusieurs appareils.

Voir plus d'informations dans cet article :

Nebula [VPN] - Comment configurer le VPN IKEv2 IPsec

VPN site à site : les pairs de Nebula

La configuration d'un VPN Site-to-Site n'a jamais été aussi simple. Le menu VPN Site-to-Site commence par la configuration de l'interface WAN. Vous pouvez choisir une seule interface WAN comme interface sortante ou laisser l'option sur auto pour assurer la redondance. Dans ce cas, il vous sera demandé quelle interface doit être privilégiée.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

La configuration se poursuit ensuite sur vos réseaux locaux, où des interfaces locales et des connexions VPN distantes sont disponibles pour participer à la connexion VPN site à site.

mceclip4.png

Dans la section suivante, vous pouvez configurer les paramètres avancés. Par exemple, vous pouvez sélectionner la zone VPN souhaitée pour votre réseau - les petits réseaux se contenteront d'une seule zone VPN par défaut. Les réseaux plus importants ou simplement les structures VPN plus élaborées peuvent nécessiter l'utilisation de plusieurs zones VPN. Plus d'informations concernant les zones VPN et Nebula VPN Orchestrator peuvent être trouvées dans le dernier chapitre.

L'option de traversée NAT vous permet de personnaliser votre adresse IP WAN pour votre VPN. Ceci est utile dans les situations où plusieurs IP sont routées vers votre port WAN et que vous souhaitez utiliser une adresse spécifique pour le VPN.


Voir plus d'informations dans cet article :

Nebula VPN - Configurer un VPN Site-to-Site dans Nebula entre deux Nebula Gateways

VPN Site-to-Site : pairs non-Nebula

L'ajout d'un pair non-Nebula nécessite naturellement une configuration sur le Nebula Control Center et sur l'appareil autonome.

Du côté de Nebula, il suffit de remplir quelques informations sur la connexion, notamment le nom qui identifiera l'appareil, son adresse IP publique, et un sous-réseau privé distant que vous avez l'intention de connecter à la clé pré-partagée. En option, vous pouvez modifier la politique IPSec pour l'adapter à vos besoins et définir les sites qui accéderont à ce routeur. Veuillez noter que la propriété du sous-réseau privé ne doit pas être une adresse de réseau, mais une adresse de périphérique réelle utilisée pour vérifier la connexion au format CIDR - par exemple, le serveur VPN distant lui-même.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

mceclip0.png

Important :
Les caractères spéciaux tels que -, +, ^, *, [, ], \, ", ? ne sont pas autorisés.
Cela changera à l'avenir.

Dans ce cas, du côté du routeur distant, ATP200, nous devrons d'abord créer une passerelle VPN. La configuration suivante vous permettra de réutiliser cette passerelle pour autant de pairs que vous le souhaitez. Avec la proposition IPSec par défaut, il suffit de changer le mode de négociation en "Aggressive" et une clé pré-partagée est nécessaire.

mceclip8.png

Après la configuration de la passerelle VPN, la connexion VPN nous permettra enfin d'établir la connexion entre les deux routeurs. Veuillez définir la politique locale et distante en fonction de la topologie de votre réseau. Ces valeurs doivent correspondre à la configuration dans Nebula. Dans le cas contraire, la négociation échouera.

mceclip9.png

Après avoir sauvegardé la connexion VPN, la connexion entre les routeurs devrait être établie en quelques secondes.

mceclip10.png


Voir plus d'informations dans cet article :

Nebula VPN - Configurer un VPN Site-to-Site vers un pair non-Nebula

VPN Site-to-Site : VPN Orchestrator et configurations avancées

L'Orchestrateur VPN Nebula est un outil puissant qui vous permet de configurer facilement des topologies VPN complexes. La plateforme NCC permet une configuration abstraite sans avoir à configurer des connexions VPN individuelles sur chaque passerelle et de changer la topologie de manière transparente en fonction de vos besoins actuels en seulement quelques clics !

Topologie VPN Nebula expliquée

Nebula Orchestrator peut contenir plusieurs zones VPN. Chaque zone peut avoir une topologie Site-to-Site ou Hub-and-Spoke. Dans les topologies Site-to-Site, chaque passerelle de sécurité se connecte à toutes les autres passerelles de la zone VPN. Dans les topologies en étoile, la seule passerelle désignée comme concentrateur se connecte aux autres passerelles. Il est également possible d'avoir une ou plusieurs zones Site-to-Site et d'autres zones Hub-and-Spoke.

mceclip1.png

Chaque zone peut avoir jusqu'à cinq concentrateurs, sauf si la zone contient un NSG - dans ce cas, il n'y a qu'un seul concentrateur dans une zone donnée. Si l'interface sortante du Hub est réglée sur "auto", toutes les connexions WAN composeront simultanément les connexions VPN vers les passerelles Spoke.

mceclip2.png

Pour communiquer entre les zones, vous pouvez activer la communication de zone pour la passerelle. Les zones site à site doivent avoir un responsable de zone désigné pour que cela fonctionne. Les Area Leaders ou les passerelles Hub composeront des tunnels VPN vers d'autres zones et permettront une communication entre les passerelles AC.

Configuration de la passerelle

La configuration de l'Orchestrateur VPN se trouve dans le menu suivant :

Organization-wide > VPN Orchestrator

La partie supérieure de l'écran montre une carte avec une visualisation actuelle du réseau VPN - y compris les défauts dus à la perte de connexion. Ceci inclut également les connexions de pairs non-nebula - celles-ci peuvent être distinguées par une ligne en pointillés.

Dans le menu Smart VPN, vous pouvez sélectionner la zone que vous souhaitez configurer ou en créer une nouvelle et sélectionner la topologie souhaitée.

En fonction de votre sélection, vous devrez peut-être désigner des Hubs et des Spokes dans le même menu. Mais dans tous les cas, vous pourrez sélectionner les passerelles qui se connecteront au VPN, les sous-réseaux de ces passerelles qui participeront aux connexions VPN et configurer l'état de la communication de zone de l'appareil.

Organization-wide -> Organization-wide manage -> VPN Orchastrator

blobid1.png

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 1
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.