Nebula [VPN] - A virtuális magánhálózat (VPN) áttekintése

A virtuális magánhálózat, vagy röviden VPN az egyik leggyakrabban használt funkció a biztonsági átjáróinkon, és a Nebula segítségével néhány perc alatt konfigurálhatja a VPN-t az USG FLEX-en!

Összefoglaló

Ez a cikk az összes gyakori VPN-forgatókönyvvel foglalkozik, legyen szó távoli hozzáférésű VPN-ről vagy Site-to-Site VPN-ről (beleértve a nem Nebula-partnerek felé irányuló VPN-t is). A konfigurációs lehetőségek eléréséhez kérjük, jelentkezzen be a Nebula Control Centerbe a hitelesítő adatokkal a https://nebula.zyxel.com/ címen, és navigáljon a következő menübe, attól függően, hogy milyen típusú VPN-t szeretne létrehozni:

Tartalomjegyzék

1. Távoli hozzáférés VPN: L2TP az IPSec felett
2. Távoli hozzáférés VPN: IPSec-ügyfél
3. Site-to-Site VPN: Nebula társak
4. Site-to-Site VPN: nem Nebula-partnerek
5. Site-to-Site VPN: VPN Orchestrator és speciális konfigurációk

Távoli hozzáférés VPN: L2TP az IPSec-en keresztül

Az L2TP over IPSec VPN konfigurálásához navigáljon a Távoli hozzáférés VPN menübe, és engedélyezze az L2TP over IPSec VPN opciót. A VPN működéséhez az egyetlen kötelező mező a titok (Preshared Key) és a Client VPN alhálózat kitöltése. Csak olyan alhálózat használatára kell gondolnia, amelyet még sehol máshol nem használnak. Megváltoztathatja például a DNS-kiszolgálókat, vagy a hitelesítést helyi kiszolgálóra állíthatja, de ez teljesen opcionális. A Házirend mellett található "Alapértelmezett" gomb megnyitásával egy menü nyílik meg, amely lehetővé teszi az IPSec javaslatok beállítását. Az alapértelmezett értékek úgy lettek kialakítva, hogy kompatibilisek legyenek a legtöbb operációs rendszerrel.

A konfiguráció mentése után kihasználhatja a VPN provision script funkciót - töltse ki a címzettek listáját, és kattintson a "Send Mail" gombra. A konfigurációs szkript a használati utasításokkal együtt elküldésre kerül a megadott címekre.

Ügyfélkonfiguráció - Provision script mód

A Nebula Pro kényelmes módot kínál a Windows vagy macOS kliensek konfigurálására VPN-ellátási szkript segítségével. Ez közvetlenül elküldhető a felhasználóknak:

A levél elküldését követően a felhasználók a info@nebula.zyxel.com e-mail címen kapnak egy levelet, amely tartalmazza a províziós szkripteket:

Ahogy a nevük is mutatja, a .batfile fájl Windowsra, míg a .mobileconfig fájl macOS-re készült. Biztonsági korlátozások miatt a .batfile fájlt a futtatás előtt .bat-re kell átnevezni. A szkriptre való egyszerű dupla kattintás létrehoz egy VPN-kapcsolatot a rendszerén. Az első kapcsolat során a felhasználónak meg kell adnia a hitelesítő adatait. Ezek az első sikeres kapcsolat után el lesznek mentve.

Ügyfélkonfiguráció - Kézi mód

A VPN manuális konfigurálása azonban nem nehéz feladat. Windows alatt navigáljon a Beállítások > Hálózat és internet > VPN menüpontra, majd kattintson a VPN-kapcsolat hozzáadása gombra.

Töltse ki az űrlapot a Nebula által megadott hitelesítő adatoknak megfelelően (használhatja a Nebula által automatikusan generált IP-címet vagy DDNS-t), és már készen is van!

További információkat ebben a cikkben talál:

Nebula CC - L2TP konfigurálása a Nebula tűzfalhoz

Távoli hozzáférés VPN: IPSec kliens

Az L2TP over IPSec konfigurációhoz hasonlóan az IPSec VPN konfiguráció is a Remote Access VPN menüben történik, és az IPSec VPN szerver jelölőnégyzettel kezdődik. A VPN működéséhez az egyetlen kötelező mező a titok (Preshared Key) és a Client VPN alhálózat kitöltése. Az egyetlen dolog, amit figyelembe kell venni, hogy olyan alhálózatot használjon, amelyet még sehol máshol nem használnak. Lehet, hogy meg akarja változtatni a DNS-kiszolgálókat, vagy például a hitelesítést helyi kiszolgálóra kell állítani, de ez opcionális. A Policy (Házirend) melletti "Default" (Alapértelmezett) gomb megnyitásával egy menü nyílik meg, amely lehetővé teszi az IPSec javaslatok beállítását. Az alapértelmezett értékek úgy vannak kialakítva, hogy magas biztonságot nyújtsanak az IPSec-kapcsolatoknak. A biztonság további növelése érdekében a Google hitelesítőt is engedélyezheti a kétfaktoros hitelesítést az ügyfelek számára.

Site-wide -> Configure -> Firewall -> Remote access VPN

Ügyfél konfiguráció

Az ügyfél konfigurálása nagyon egyszerű. Először is létre kell hoznunk az IPSec átjárót, és ki kell töltenünk a Hitelesítés lapon található adatokat, mint például az alábbi példában, amely az alapértelmezett kriptográfiai értékeket veszi figyelembe:

A Protokoll lapon fontos, hogy bejelöljük a "Mode Config" mezőt:

Most már készen állunk az IPSec-kapcsolat létrehozására. Kérjük, töltse ki a célhálózati címet, az ESP/PFS paramétereket, és máris készen áll a csatlakozásra. Több hálózatot is létrehozhat, és egyszerre is hozzáférhet hozzájuk:

Ennyi! Most már készen áll a távoli csatlakozásra. Ne feledje, hogy az IPSec-ügyfél a konfiguráció elkészülte után bármikor exportálhatja a konfigurációt, hogy könnyedén telepíthesse azt több eszközre.

További információkat ebben a cikkben talál:

Nebula [VPN] - Az IKEv2 IPsec VPN beállítása

Site-to-Site VPN: Nebula partnerek

A Site-to-Site VPN konfigurálása még soha nem volt ilyen egyszerű. A Site-to-Site VPN menü a WAN-interfészek konfigurálásával kezdődik. Kiválaszthat egyetlen WAN-interfészt kimenőnek, vagy a redundancia biztosítása érdekében hagyhatja az automatikus opciót. Ebben az esetben a rendszer megkérdezi, hogy melyik interfészt részesítse előnyben.

A konfiguráció ezután a helyi hálózatokkal folytatódik, ahol helyi interfészek és távoli VPN-kapcsolatok állnak rendelkezésre a helyközi VPN-kapcsolatban való részvételhez.

A következő szakaszban a speciális beállításokat konfigurálhatja. Kiválaszthatja például a kívánt VPN-területet a hálózatához - a kisebb hálózatoknak elég lesz egy alapértelmezett VPN-terület is. Nagyobb vagy egyszerűen csak bonyolultabb VPN-struktúráknak több VPN-területet kell használniuk. A VPN Területre és a Nebula VPN Orchestratorra vonatkozó további információk az utolsó fejezetben találhatók.

A NAT traversal opció lehetővé teszi, hogy testre szabja a WAN IP-címét a VPN-hez. Ez olyan helyzetekben hasznos, amikor több IP-cím van átirányítva a WAN-portjára, és egy adott címet szeretne használni a VPN-hez.

További információkat ebben a cikkben talál:

Nebula VPN - Site-to-Site VPN beállítása a Nebulában két Nebula gateway között

Site-to-Site VPN: nem Nebula partnerek

Egy nem Nebula peer hozzáadása természetesen konfigurációt igényel a Nebula Control Centerben és az önálló eszközön.

A Nebula oldalán csak néhány információt kell kitölteni a kapcsolatról, nevezetesen az eszközt azonosító nevet, a nyilvános IP-címét és egy távoli privát alhálózatot, amelyet az előmegosztott kulcshoz kíván csatlakoztatni. Opcionálisan szerkesztheti az IPSec-házirendet az igényeinek megfelelően, és beállíthatja, hogy mely webhelyek férjenek hozzá ehhez az útválasztóhoz. Felhívjuk a figyelmet arra, hogy a privát alhálózat tulajdonsága nem lehet hálózati cím, hanem a kapcsolat ellenőrzéséhez használt tényleges eszközcímnek kell lennie CIDR formátumban - például magának a távoli VPN-kiszolgálónak.

Fontos:
Az olyan speciális karakterek, mint -, +, ^, *, [, ], \, ", ? nem engedélyezettek.
Ez a jövőben változni fog.

Ebben az esetben a távoli útválasztó, az ATP200 oldalán először létre kell hoznunk egy VPN átjárót. A következő konfiguráció lehetővé teszi, hogy ezt az átjárót tetszőleges számú partner számára újra felhasználja. Az alapértelmezett IPSec javaslattal csak a tárgyalási módot kell "Agresszív"-ra és az előre megosztott kulcsra módosítani.

A VPN átjáró konfigurálása után a VPN-kapcsolat végül lehetővé teszi számunkra a két útválasztó közötti kapcsolat létrehozását. Kérjük, hogy a helyi és távoli házirendet a hálózati topológiának megfelelően állítsa be. Ezeknek az értékeknek meg kell egyezniük a Nebula konfigurációjával. Ellenkező esetben a tárgyalás sikertelen lesz.

A VPN-kapcsolat mentése után az útválasztók közötti kapcsolatnak néhány másodpercen belül létre kell jönnie.

További információkat ebben a cikkben talál:

Nebula VPN - Helyközi VPN konfigurálása egy nem Nebula-partnerhez

Site-to-Site VPN: VPN Orchestrator és speciális konfigurációk

A Nebula VPN Orchestrator egy hatékony eszköz, amely lehetővé teszi az összetett VPN topológiák egyszerű konfigurálását. Az NCC platform lehetővé teszi az absztrakt konfigurációt anélkül, hogy az egyes átjárókon egyedi VPN-kapcsolatokat kellene konfigurálni, és a topológia zökkenőmentes módosítását az aktuális követelmények alapján, mindössze néhány kattintással!

A Nebula VPN topológia magyarázata

A Nebula Orchestrator több VPN-területet is tartalmazhat. Minden terület lehet Site-to-Site topológia vagy Hub-and-Spoke topológia. A Site-to-Site topológiákban minden biztonsági átjáró csatlakozik a VPN-területen belüli összes többi átjáróhoz. Hub-and-Spoke topológiában az egyetlen hubként kijelölt átjáró csatlakozik a többi átjáróhoz. Az is lehetséges, hogy egy vagy több Site-to-Site terület és más Hub-and-Spoke területek legyenek.

Minden területen legfeljebb öt hub lehet, kivéve, ha a terület tartalmaz egy NSG-t - ebben az esetben csak egyetlen hub lehet egy adott területen. Ha a hub kimenő interfésze "auto" értékre van állítva, akkor az összes WAN-kapcsolat egyszerre tárcsázza a Spoke-átjárókhoz a VPN-kapcsolatokat.

A területek közötti kommunikációhoz engedélyezheti a területkommunikációt az átjáró számára. A Site-to-Site területeknek rendelkezniük kell egy kijelölt területvezetővel ahhoz, hogy ez működjön. A területvezetők vagy a hub-átjárók tárcsázni fogják a VPN-alagutakat más területek felé, és lehetővé teszik a kommunikációt az AC-átjárók között.

Konfiguráció

A VPN Orchestrator konfigurációja a következő menüben található:

A képernyő felső részén egy térkép látható, amely a VPN-hálózat aktuális megjelenítését tartalmazza - beleértve a kapcsolatvesztésből adódó hibákat is. Ez tartalmazza a nem Nebula peer-kapcsolatokat is - ezeket szaggatott vonallal lehet megkülönböztetni.

A Smart VPN menüben kiválaszthatja a konfigurálni kívánt területet, vagy létrehozhat egy újat, és kiválaszthatja a kívánt topológiát.

A kiválasztás alapján ugyanebben a menüben szükség lehet a Hubok és a Spokes kijelölésére. De minden esetben kiválaszthatja, hogy mely átjárók csatlakozzanak a VPN-hez, mely alhálózatok fognak ezeken az átjárókon részt venni a VPN-kapcsolatokban, és konfigurálhatja az eszköz területkommunikációs állapotát.