Zyxel Nebula Távoli hozzáférés VPN - IKEv2 IPsec távoli hozzáférésű VPN konfigurálása

Létrehozva - Frissítve
Serhii Boiarynov
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

A cikk részletes útmutatót nyújt az IKEv2 VPN beállításához a Nebula-ban, beleértve a Nebula Cloud felhasználók létrehozását a VPN-hozzáféréshez és a SecuExtender kliens konfigurálását. Ismerteti az IKEv2 korlátait, például az előre megosztott kulcsok hivatalos támogatásának hiányát, és lépésről lépésre útmutatást ad az IPsec VPN-kiszolgáló engedélyezéséhez, az ügyfél VPN-alhálózatok konfigurálásához és az olyan hitelesítési lehetőségek beállításához, mint a PRD_N_N_qxTWEYgi6m_0 Cloud Authentication, az Active Directory és a Google Authenticatoron keresztüli kétfaktoros hitelesítés. A cikk foglalkozik továbbá a VPN-felhasználók létrehozásával, a konfigurációs fájlok küldésével és a VPN-kapcsolatok ellenőrzésével, valamint hibaelhárítási tippeket és további beállításokat kínál a fokozott biztonság érdekében.

Ez a cikk segít megérteni, hogy mit tehet a Nebula IKEv2 VPN segítségével. Elmagyarázza az IKEv2 beállítását, a Nebula Cloud felhasználók létrehozását a VPN-hozzáféréshez, valamint a SecuExtender kliens konfigurálását.

IKEv2 korlátozások

A Nebula jelenleg hivatalosan nem támogatja a használatát:

  • IKEv2 előre megosztott kulccsal

IKEv2 konfigurálása a Nebula-ban

  • Az "IPsec VPN-kiszolgáló" engedélyezése 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Az "IPsec VPN-kiszolgáló" engedélyezése
  • Adja meg a kliens VPN alhálózatot (ez az az alhálózat, amelyet a VPN kliensek kapnak, és NEM fedheti át a Nebula szervezet bármely más alhálózatát, sem a távoli VPN alhálózatokat (a következő formában kell írni: xx.xx.xx.xx.xx/xx "pl. 192.168.50.0/24").
  • IKEv2 verzió kiválasztása
  • Szükség esetén adja meg a VPN-ügyfelek névkiszolgálóit (DNS-kiszolgálókat). Ha belső DHCP/DNS-kiszolgálókat használ, adja meg a belső DNS-kiszolgálót, és használja a Google DNS-t (8.8.8.8.8) a második névkiszolgáló bejegyzésként. Ez a beállítás segít megelőzni a VPN-ügyfelekkel kapcsolatos esetleges DNS- és kommunikációs problémákat.
  • Nebula Cloud Authentication- a mi példánkban használjuk. De vannak lehetőségei a hitelesítésre. Választhatja a Nebula Cloud Authentication, a saját Active Directory vagy RADIUS kiszolgálóját, vagy akár a Google Authenticator alkalmazáson keresztül kétfaktoros hitelesítést is használhat. Ezt a "kétfaktoros hitelesítés Captive Portalral" funkció bekapcsolásával állíthatja be. Amikor a felhasználó csatlakozik a VPN-hez, a Google Authenticator segítségével történő bejelentkezésre lesz utasítva. A kétfaktoros hitelesítésre egy, a bejelentkezési adatokat tartalmazó e-mailben is regisztrálhatnak.
  • SecuExtender IKEv2 VPN konfigurációs rendelkezés - Válassza ki azt az e-mail cím(eke)t, amelyet a SecuExtender IKEv2 VPN VPN konfigurációs fájljának elküldésére kíván használni (itt adhat hozzá és távolíthat el e-maileket, ami csak a "mentés" gomb megnyomásával lép hatályba).
  • Kattintson a "Mentés" gombra

  • A következő lépés a "Policy" módosítása, ehhez kattintson az "Default" (Alapértelmezett) gombra, és konfigurálja az 1. és 2. fázis beállításait az alábbiak szerint (ne felejtse el elmenteni a beállításokat a "Save" (Mentés) gombra kattintva):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • A házirendek módosítása után ne felejtse el elmenteni a módosításokat a "Mentés" gombra kattintva.

Megjegyzés: A MacOS magasabb titkosítást és hitelesítést igényelhet, ahol az AES256 és SHA256 tapasztalataink szerint nagyszerűen működik.

Nebula felhőfelhasználók létrehozása

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Kattintson az új VPN felhasználó "Hozzáadása" gombra
  • Töltse ki az "Email" mezőt, amelyet a hitelesítő adatok elküldésére és a bejelentkezésre is használhat (ha kiválasztja).
  • Töltse ki a "Felhasználónevet" és a "Jelszót".
  • VPN hozzáférés - engedélyezni kell, hogy a VPN-felhasználó hozzáférhessen a VPN-hez és sikeresen hitelesítse magát a felhasználói hitelesítő adatokkal.
  • Engedélyezett - válassza ki, hogy mely oldalakhoz kíván hozzáférést engedélyezni.
  • Login by - válassza ki, hogy a felhasználó bejelentkezhet-e a VPN-be / 802.1x-be felhasználónévvel, e-mail címmel, vagy bármelyikük használatával.
  • Kétfaktoros auth. -jelölje be a négyzetet, ha NEM szeretné, hogy a felhasználó számára kétfaktoros hitelesítést állítson be.
  • Email a felhasználónak - jelölje be, ha a hitelesítő adatokat e-mailben szeretné elküldeni a felhasználónak.
  • Megjegyzés: minden alkalommal, amikor a módosítások után a "mentés" (vagy a "felhasználó létrehozása") gombra kattint, a felhasználó kap egy e-mailt. Tehát ha megváltoztatja a felhasználó beállításait, érdemes a jelölőnégyzetet kiiktatni, amíg nem fejezi be a felhasználó konfigurálását.

További beállítások, amelyekről érdemes tudni:

  • A dinamikus személyes előmegosztott kulcs (Professional Pack funkció) a WiFi (nem VPN) dinamikus jelszókezelése, amely biztonságosabbá teheti a VPN-felhasználókat és a hálózatot. Egyedi jelszót hoz létre minden egyes felhasználó számára, így könnyebben elszigetelhető egy felhasználó, ha feltörik.
  • 802.1X - Hálózati hitelesítéshez (nem VPN), ez a Nebula felhőalapú hitelesítéssel a felhasználók 802.1x szabvány szerinti hitelesítését teheti lehetővé a hálózat használatával.
  • VLAN hozzárendelés - A VLAN hozzárendelés egy Professional Pack funkció, amely statikus VLAN-t konfigurál a felhasználónak, amikor belép a hálózatba.

A SecuExtender kliens konfigurálása

  • A .tgb-fájl (VPN konfiguráció) elküldése e-mailben.
Site-wide -Configure Firewall -> Remote access VPN
  • Küldje el a VPN-konfigurációt az e-mail címére a saját e-mail címének (vagy a felhasználók e-mail címének) hozzáadásával, majd nyomja meg az "Új hozzáadása" gombot, ha nincs meg. Ezután kattintson az "E-mail küldése" gombra, és ellenőrizze az e-mailjét (és a spam mappát).

  • Telepítse a .tgb-fájlt a SecuExtenderbe.

mceclip4.png

  • Ha nem jelenik meg a felugró ablak, nyissa meg a SecuExtendert az asztalon, hogy a SecuExtender IPsec VPN kliens (az alábbi képen látható ablak) látható legyen, majd nyissa meg újra a .tgb-file-t az e-mailből.


  • Kapcsolat ellenőrzése

Miután importálta a konfigurációt a VPN kliensbe, kérjük, kattintson duplán a "RemoteAccessVPN"-re, majd adja meg a "Login" és a "Password" jelszavakat, és kattintson az "OK" gombra.

  • Ha problémák merülnek fel, kérjük, ellenőrizze kétszer a SecuExtender 1. és 2. fázisának beállításait, és győződjön meg arról, hogy a Nebula IKEv2 VPN beállítások titkosítása és hitelesítése megegyezik.

  • A megosztott alagútképzés letiltása

Ha problémái vannak azzal, hogy az összes forgalom átmegy a VPN-alagúton (mind az internetes, mind a VPN-forgalom), kérjük, olvassa el ezt a cikket:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • A VPN-kapcsolat ellenőrzése

Miután a VPN-kapcsolat létrejött, ellenőrizheti a kapcsolatot egy parancssoros ablak (vagy a PowerShell) megnyitásával és a következő parancsok kiadásával.

  • ipconfig

Ez a parancs megadja a VPN-interfész IP-címét.

mceclip4.png

  • ping [távoli_cím]

Ezzel a paranccsal ping tesztet futtathat a NebulaCC átjáró LAN hálózatán található eszközzel.

mceclip5.png

  • Az NCC-n most már látnia kell a naplófájlokat, amelyek azt mutatják, hogy a VPN megfelelően működik. Az alábbi képernyőképen látható, hogy a Main Mode kérések elérték az USG-t, az 1. fázis sikeresen létre tudott jönni, és az XAuth a Nebula Control Centerben jól működik.

mceclip0.png

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
Megosztás