A virtuális magánhálózat, röviden VPN, az egyik leggyakrabban használt funkció a biztonsági átjáróinkon, és a Nebula segítségével percek alatt beállíthatja a VPN-t az USG FLEX készülékén!
Összefoglaló
Ez a cikk minden gyakori VPN forgatókönyvet lefed, legyen az távoli hozzáférésű VPN vagy helyszínek közötti VPN (beleértve a VPN-t nem Nebula társsal). A konfigurációs beállítások eléréséhez kérjük, jelentkezzen be a Nebula Control Centerbe a https://nebula.zyxel.com/ címen, majd navigáljon a következő menüponthoz a létrehozni kívánt VPN típusától függően:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Tartalomjegyzék
- Távoli hozzáférésű VPN: L2TP over IPSec
- Távoli hozzáférésű VPN: IPSec kliens
- Helyszínek közötti VPN: Nebula társtársak
- Helyszínek közötti VPN: nem Nebula társtársak
- Helyszínek közötti VPN: VPN Orchestrator és haladó konfigurációk
Távoli hozzáférésű VPN: L2TP over IPSec
Az L2TP over IPSec VPN konfigurálásához kérjük, navigáljon a Távoli hozzáférésű VPN menüponthoz, és engedélyezze az L2TP over IPSec VPN opciót. A VPN működéséhez csak a titkos kulcs (Preshared Key) és a kliens VPN alhálózat kitöltése kötelező. Fontos, hogy olyan alhálózatot válasszon, amely máshol még nincs használatban. Szükség esetén megváltoztathatja a DNS szervereket vagy beállíthat hitelesítést helyi szerverre, de ez teljesen opcionális. A Policy melletti „Alapértelmezett” gomb megnyit egy menüt, ahol beállíthatja az IPSec javaslatokat. Az alapértelmezett értékek a legtöbb operációs rendszerrel kompatibilisek.
Site-wide -> Configure -> Firewall -> Remote Access VPNA konfiguráció mentése után kihasználhatja a VPN provisioning script funkciót – töltse ki a címzettek listáját, majd kattintson a „Send Mail” gombra. A konfigurációs script és a használati útmutató a megadott címekre lesz elküldve.
Kliens konfiguráció – Provision script mód
A Nebula Pro kényelmes módot kínál Windows vagy macOS kliensek VPN provisioning script segítségével történő konfigurálására. Ezt közvetlenül a felhasználóknak küldheti el:
Miután az e-mail elküldésre került, a felhasználók kapnak egy levelet az info@nebula.zyxel.com címtől, amely tartalmazza a provisioning script fájlokat:
Ahogy a nevük is mutatja, a .batfile fájl Windows rendszerekhez készült, míg a .mobileconfig fájl macOS-hez. Biztonsági korlátozások miatt a .batfile fájlt futtatás előtt át kell nevezni .bat kiterjesztésűre. Egyszerűen duplán kattintva a script létrehozza a VPN kapcsolatot a rendszerén. Az első csatlakozáskor a felhasználónak meg kell adnia a hitelesítő adatait, amelyek az első sikeres csatlakozás után el lesznek mentve.
Kliens konfiguráció – Manuális mód
A VPN manuális konfigurálása sem bonyolult feladat. Windows rendszeren navigáljon a Beállítások > Hálózat és internet > VPN menüponthoz, majd kattintson az VPN kapcsolat hozzáadása gombra.
Töltse ki az űrlapot a Nebula által megadott hitelesítő adatok alapján (használhat IP címet vagy a Nebula által automatikusan generált DDNS nevet), és kész is van!
További információk ebben a cikkben:
Nebula CC – L2TP konfigurálása a Nebula tűzfalán
Távoli hozzáférésű VPN: IPSec kliens
Hasonlóan az L2TP over IPSec konfigurációhoz, az IPSec VPN beállítása is a Távoli hozzáférésű VPN menüben történik, és az IPSec VPN szerver jelölőnégyzettel kezdődik. A VPN működéséhez csak a titkos kulcs (Preshared Key) és a kliens VPN alhálózat kitöltése kötelező. Fontos, hogy olyan alhálózatot válasszon, amely máshol még nincs használatban. Opcionálisan megváltoztathatja a DNS szervereket vagy beállíthat helyi szerveres hitelesítést. A Policy melletti „Alapértelmezett” gomb megnyit egy menüt az IPSec javaslatok beállításához. Az alapértelmezett értékek magas biztonságot nyújtanak az IPSec kapcsolatokhoz. Tovább növelheti a biztonságot, ha engedélyezi a kétfaktoros hitelesítést Google Authenticatorral a kliensek számára.
Site-wide -> Configure -> Firewall -> Remote access VPN
Kliens konfiguráció
A kliens konfigurálása nagyon egyszerű. Először hozzuk létre az IPSec átjárót, és töltsük ki az adatokat az Authentication fülön, az alábbi példának megfelelően, amely az alapértelmezett kriptográfiai értékeket veszi figyelembe:
A Protocol fülön fontos, hogy bejelölje a „Mode Config” négyzetet:
Most készen állunk egy IPSec kapcsolat létrehozására. Töltse ki a célhálózat címét, az ESP/PFS paramétereket, és készen áll a csatlakozásra. Több hálózatot is létrehozhat, és egyszerre hozzáférhet ezekhez:
Ennyi! Most már készen áll a távoli csatlakozásra. Ne feledje, hogy az IPSec kliens a konfiguráció befejezése után exportálhatja azt, így könnyen telepíthető több eszközre.
További információk ebben a cikkben:
Nebula [VPN] – Hogyan konfiguráljuk az IKEv2 IPsec VPN-t
Helyszínek közötti VPN: Nebula társtársak
A helyszínek közötti VPN konfigurálása még soha nem volt ilyen egyszerű. A Helyszínek közötti VPN menü a WAN interfész konfigurációjával kezdődik. Kiválaszthat egyetlen WAN interfészt kimenőként, vagy az automatikus opciót, hogy redundanciát biztosítson. Ebben az esetben meg kell adnia, melyik interfész legyen előnyben részesítve.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNA konfiguráció ezután a helyi hálózatokra folytatódik, ahol a helyi interfészek és a távoli VPN kapcsolatok elérhetőek a helyszínek közötti VPN kapcsolatban való részvételhez.
A következő szakaszban konfigurálhatja a haladó beállításokat. Például kiválaszthatja a hálózata számára kívánt VPN területet – kisebb hálózatok számára elegendő egyetlen Alapértelmezett VPN terület. Nagyobb vagy összetettebb VPN struktúrák több VPN terület használatát igényelhetik. Több információ a VPN területről és a Nebula VPN Orchestrator-ról a utolsó fejezetben található.
A NAT traversal opció lehetővé teszi, hogy testreszabja a WAN IP címét a VPN-hez. Ez hasznos olyan helyzetekben, amikor több IP cím van irányítva a WAN portjára, és egy adott címet szeretne használni a VPN-hez.
Helyszínek közötti VPN: nem Nebula társtársak
Nem Nebula társtárs hozzáadása természetesen konfigurációt igényel a Nebula Control Centerben és az önálló eszközön is.
A Nebula oldalon csak néhány információt kell megadni a kapcsolatról, nevezetesen az eszköz azonosítására szolgáló nevet, a nyilvános IP címet, a távoli privát alhálózatot, amelyhez csatlakozni kíván, valamint a megosztott titkos kulcsot. Opcionálisan szerkesztheti az IPSec szabályzatot az igényeinek megfelelően, és beállíthatja, mely helyszínek férhetnek hozzá ehhez az útválasztóhoz. Kérjük, vegye figyelembe, hogy a privát alhálózat tulajdonságnak nem hálózati címnek kell lennie, hanem egy tényleges eszközcímnek kell lennie a kapcsolat ellenőrzésére CIDR formátumban – például a távoli VPN szerver címe.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNFontos:
Különleges karakterek, mint -, +, ^, *, [, ], \, ", ? nem megengedettek.
Ez a jövőben változni fog.
Ebben az esetben a távoli router, az ATP200 oldalán először VPN átjárót kell létrehozni. A következő konfiguráció lehetővé teszi, hogy ezt az átjárót annyi társhoz használja, amennyit csak szeretne. Az alapértelmezett IPSec javaslat mellett csak a tárgyalási módot kell „Aggressive”-re állítani, és megadni a megosztott titkos kulcsot.
A VPN átjáró konfigurálása után a VPN kapcsolat végül lehetővé teszi a két router közötti kapcsolat létrehozását. Állítsa be a helyi és távoli szabályzatot a hálózati topológiájának megfelelően. Ezeknek az értékeknek meg kell egyezniük a Nebula konfigurációval, különben a tárgyalás sikertelen lesz.
A VPN kapcsolat mentése után a routerek közötti kapcsolat néhány másodpercen belül létrejön.
További információk ebben a cikkben:
Nebula VPN – Helyszínek közötti VPN konfigurálása nem Nebula társsal
Helyszínek közötti VPN: VPN Orchestrator és haladó konfigurációk
A Nebula VPN Orchestrator egy erőteljes eszköz, amely lehetővé teszi bonyolult VPN topológiák egyszerű konfigurálását. Az NCC platform absztrakt konfigurációt tesz lehetővé anélkül, hogy minden átjárón külön-külön kellene VPN kapcsolatokat beállítani, és a topológia zökkenőmentesen módosítható a jelenlegi igényei szerint néhány kattintással!
Nebula VPN topológia magyarázata
A Nebula Orchestrator több VPN területet is tartalmazhat. Minden terület lehet helyszínek közötti topológia vagy Hub-and-Spoke topológia. A helyszínek közötti topológiákban minden biztonsági átjáró kapcsolódik az adott VPN területen belüli összes többi átjáróhoz. A Hub-and-Spoke topológiákban csak a Hub-ként kijelölt átjáró kapcsolódik a többi átjáróhoz. Lehetséges, hogy egy vagy több helyszínek közötti terület és más Hub-and-Spoke területek is legyenek.
Minden terület legfeljebb öt Hub-ot tartalmazhat, kivéve, ha a terület NSG-t tartalmaz – ebben az esetben csak egyetlen Hub lehet az adott területen. Ha a Hub kimenő interfésze „auto” állásban van, az összes WAN kapcsolat egyszerre hívja a VPN kapcsolatokat a Spoke átjárókhoz.
Az egyes területek közötti kommunikációhoz engedélyezheti a Területek közötti kommunikációt az adott átjárón. A helyszínek közötti területeknek kijelölt Területvezetővel kell rendelkezniük ehhez a működéshez. A Területvezetők vagy Hub átjárók VPN alagutakat hoznak létre más területekhez, és lehetővé teszik a kommunikációt az AC átjárók között.
Konfiguráció
A VPN Orchestrator konfigurációja a következő menüpontban található:
Organization-wide > VPN OrchestratorA képernyő felső része térképet mutat a VPN hálózat aktuális vizualizációjával – beleértve a kapcsolatvesztés miatti hibákat is. Ez magában foglalja a nem nebula társkapcsolatokat is – ezeket szaggatott vonal jelzi.
A Smart VPN menüben kiválaszthatja a konfigurálni kívánt területet, vagy létrehozhat újat, majd kiválaszthatja a kívánt topológiát.
A választás alapján szükség lehet Hub-ok és Spoke-ok kijelölésére ugyanebben a menüben. Minden esetben kiválaszthatja, mely átjárók kapcsolódnak a VPN-hez, mely alhálózatok vesznek részt a VPN kapcsolatokban, és konfigurálhatja az eszköz Területek közötti kommunikációs állapotát.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.