Ez az útmutató segítséget nyújt a Zyxel IPSec VPN-kliens (3.8.204.61.32-es verzió) konfigurálásában VPN-kapcsolathoz a Nebula CC IPSec Remote Access VPN (C2S) funkcióval a Nebula Security PRdmt7 (3.8.204.61.32-es verzió) használatával.

Tartalomjegyzék

1. Áttekintés
2. Támogatott eszközök
3. Nebula Control Center beállítása
4. VPN-kliens beállítása (SecuExtender IPSEC VPN-kliens)

Áttekintés

A VPN ( V irtual Private N hálózat) biztonságos kommunikációt biztosít a telephelyek között bérelt vonalak költsége nélkül. A VPN-ek a forgalom biztonságos továbbítására szolgálnak egy nem biztonságos hálózaton, amely TCP/IP-kommunikációt használ. A távoli hozzáférésű VPN (kliens-helyszín) lehetővé teszi az utazó vagy távmunkás alkalmazottak számára a biztonságos hozzáférést a vállalati hálózati erőforrásokhoz. Többféle VPN protokoll/technológia használható biztonságos kapcsolat létrehozására a vállalati hálózattal, L2TP, PPTP, SSL, OpenVPN stb. Ez az útmutató hivatkozik az IPSec protokollra, amellyel biztonságos VPN alagút hozható létre a külső gazdagépek között ( a vállalati hálózati struktúrán kívül internethez csatlakozó felhasználók) és a NebulaCC átjáró. A VPN-kapcsolat létrehozásához harmadik féltől származó IPSec-szoftver szükséges, mivel a jelenlegi operációs rendszerekben nincs beépített IPSec-kliens. Ez a bemutató segít a VPN beállításának konfigurálásában az IPSec VPN kliensen (3.8.204.61.32 verzió).

Támogatott eszközök

NSG sorozat (50/100/200/300)
USG FLEX sorozat (100/100W/200/500/700)

Nebula CC VPN beállítása

Megjegyzés: A Nebula Vezérlőközpontban előírás, hogy a háttérben felhasználói adatbázisnak kell lennie az IPSec-kliens számára, amely felé hitelesít. Ahhoz, hogy ez működjön, a kliensben be kell állítani az "X-Auth" és a "Config Mode" parancsot.

Kattintson az új Nebula CC felhasználói felületre, és lépjen a következő helyre:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Adja meg a kliens VPN-kiszolgálót IPSec-ügyfélként. Ha az NSG/USG FLEX a NAT átjáró mögött található, akkor be kell írnia a NAT bejárást.

Hozzon létre egy VPN-kliens fiókot a hitelesítéshez. A típus Nebula Cloud Hitelesítés. Ügyeljen arra, hogy a megfelelő almenüben hozzon létre egy felhasználót

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

A Zyxel VPN-kliens beállítása

A Zyxel IPSec VPN kliens legújabb verziója letölthető innen itt . A kliens telepítése után indítsa el a programot, és nyissa meg a Konfigurációs panel . Kattintson az "IKE V1" mappára alatta VPN-konfiguráció , a mappa kiválasztása után nyomja meg a "Ctrl + N" billentyűket a billentyűzeten az "Ikev1Gateway" szabály hozzáadásához. Végezze el a következő módosításokat a szabályon:

1. Távoli Gateway
   
   • Interfész – Válassza ki azt az interfészt, amelyet a számítógép a VPN-kapcsolat létrehozásához használ. Ezt állítsa be Bármi ha a VPN-kliens használhatja a számítógépen elérhető bármely kapcsolatot.
   • Távoli Gateway – Írja be annak a NebulaCC átjárónak az FQDN/DDNS/IP-jét, amelyhez csatlakozni fog.
2. Hitelesítés
   
   • Válassza az "Előre megosztott kulcs" lehetőséget.
   • Írja be a NebulaCC IPSec-konfigurációban használt előre megosztott kulcsot, és „Megerősítse” a kulcsot.
3. X-Auth
   
   • Engedélyezés – Ezt a négyzetet be kell jelölni.
   • X-Auth Popup – Ezt a jelölőnégyzetet csak akkor kell bejelölni, ha azt szeretné, hogy csatlakozáskor a rendszer kérje a felhasználónevet és a jelszót
     • Bejelentkezés – Adja meg a NebulaCC VPN-fiók felhasználónevét. Csak akkor, ha az "X-Auth Popup" nincs bejelölve.
     • Jelszó – Adja meg a NebulaCC VPN-fiók jelszavát. Csak akkor, ha az "X-Auth Popup" nincs bejelölve.
4. Kriptográfia (példa beállítás)
   • Titkosítás – Válassza ki az AES256 -ot a legördülő menüből.
   • Hitelesítés – Válassza ki SHA-256 a legördülő menüből.
   • Kulcscsoport – Válassza ki DH14 (1024) a legördülő menüből.

Az "Ikev1Gateway"-ben kattintson a Jegyzőkönyv fület, és hajtsa végre a következő módosítást:

Engedélyezze a Mode Config választási lehetőség.
Miközben az "Ikev1Gateway" ki van emelve, nyomja meg ismét a "Ctrl + N" billentyűket a billentyűzeten, hogy hozzáadja a kapcsolat "Ikev1Tunnel" részét. Végezze el a következő módosításokat:

1. Cím
   
   • VPN-kliens címe – Hagyja ezt a lehetőséget úgy, ahogy van. (alapértelmezés szerint 0.0.0.0)
   • Cím típusa – Válassza ki Alhálózati cím a legördülő menüből.
   • Távoli LAN-cím – Írja be a NebulaCC helyi LAN IP-sémát.
   • Alhálózati maszk – Írja be a NebulaCC helyi LAN alhálózati maszkot.
2. ESP
   
   • Titkosítás – Válassza az AES256 -ot a legördülő menüből.
   • Hitelesítés – Válassza ki SHA-256 a legördülő menüből.
   • Mód – Válassza ki Alagút a legördülő menüből.
3. PFS
   
   • Hagyja ezt a lehetőséget bejelöletlenül.
4. Élettartam
   
   • Az élettartam az az idő másodpercekben, amíg az ügyfél újra megtárgyalja az algoritmusokat.

Ha az összes beállítást elvégezte, kattintson a gombra Konfiguráció opciót az eszköztáron, és válassza ki Mentés . Ezzel elmenti az ügyfélen végzett összes módosítást.

A NebulaCC átjáró VPN-kapcsolatának létrehozásához kattintson jobb gombbal az „Ikev1Tunnel” opcióra, és válassza ki Nyissa meg az alagutat vagy nyomja meg a (Ctrl + O) gombot a billentyűzeten.

Igazolás

Miután a VPN-kapcsolat létrejött, ellenőrizheti a kapcsolatot egy parancssori ablak (vagy PowerShell) megnyitásával és a következő parancsok kiadásával.

• ipconfig
  Ez a parancs megadja a VPN-interfész IP-címét.
  
• ping [távoli_cím]
  Ez a parancs lehetővé teszi egy ping teszt futtatását a NebulaCC LAN-hálózaton található eszközön.
  

Az NCC-n most látnia kell a naplókat, amelyek azt mutatják, hogy a VPN megfelelően működik. Az alábbi képernyőképen láthatja, hogy a Main Mode kérések elérték az USG-t, az 1. fázis sikeresen létrejött, és az XAuth a Nebula Vezérlőközpontban jól működik.