Nebula [VPN] - Come configurare la VPN IPsec IKEv2

Creato - Aggiornato
Serhii Boiarynov
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Questo articolo vi aiuterà a capire cosa è possibile fare con la VPN IKEv2 in Nebula. Spiega come impostare IKEv2, creare utenti di Nebula Cloud per l'accesso VPN e configurare il client SecuExtender.

Limitazioni di IKEv2

Nebula attualmente non supporta ufficialmente l'uso di:

  • IKEv2 con chiave pre-condivisa

Configurazione di IKEv2 in Nebula

  • Abilitare il "server IPsec VPN 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Abilitare il "server VPN IPsec".
  • Inserire la sottorete VPN del client (questa è la sottorete che i client VPN riceveranno e NON può sovrapporsi a nessun'altra sottorete dell'organizzazione Nebula, né alle sottoreti VPN remote (dovrebbe essere scritta come xx.xx.xx.xx/xx "es. 192.168.50.0/24").
  • Selezionare la versione IKEv2
  • Se necessario, fornire i server dei nomi (server DNS) per i client VPN. Se si utilizzano server DHCP/DNS interni, specificare il server DNS interno e utilizzare Google DNS (8.8.8.8) come seconda voce del server dei nomi. Questa impostazione consente di evitare potenziali problemi di DNS e di comunicazione con i client VPN.
  • Nebula Autenticazione cloud: nel nostro esempio è stata utilizzata. Maavete delle opzioni per l'autenticazione. Potete optare per l'autenticazione cloud Nebula, per la vostra Active Directory o server RADIUS o anche per l'autenticazione a due fattori tramite l'app Google Authenticator. Questa può essere impostata attivando la funzione "Autenticazione a due fattori con Captive Portal". Quando un utente si connette alla VPN, verrà indirizzato ad accedere con l'Authenticator di Google. Può anche iscriversi all'autenticazione a due fattori tramite un'e-mail contenente i dati di accesso.
  • Provvedimento di configurazione di SecuExtender IKEv2 VPN - Selezionate le e-mail che desiderate utilizzare per inviare il file di configurazione della VPN SecuExtender IKEv2 VPN (potete aggiungere e rimuovere e-mail qui, ma ciò non ha effetto finché non premete "Salva").
  • Fare clic su "Salva".

  • Il passo successivo consiste nel modificare la "Policy"; a tal fine, fare clic su "Default" e configurare le impostazioni della Fase 1 e della Fase 2 come indicato di seguito (non dimenticare di salvare le impostazioni facendo clic sul pulsante "Save"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Dopo aver modificato i criteri, ricordarsi di salvare le modifiche facendo clic sul pulsante "Salva".

Nota: MacOS può richiedere una crittografia e un'autenticazione più elevate, mentre AES256 e SHA256 funzionano benissimo secondo la nostra esperienza.

Creazione di utenti cloud Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Fare clic su "Aggiungi" un nuovo utente VPN
  • Compilare "Email" che può essere utilizzata per l'invio delle credenziali e anche per il login (se selezionato).
  • Inserire "Nome utente" e "Password
  • Accesso VPN - deve essere abilitato affinché l'utente VPN possa accedere alla VPN e autenticarsi con le credenziali dell'utente.
  • Autorizzati - selezionare i siti a cui si desidera consentire l'accesso
  • Login by - scegliere se l'utente può accedere alla VPN / 802.1x con il nome utente, l'indirizzo e-mail o utilizzando uno dei due.
  • Autenticazione a due fattori -selezionare la casella se NON si desidera che l'Autenticazione a due fattori sia impostata per questo utente.
  • Invia via e-mail all'utente: selezionare se si desidera inviare le credenziali all'utente via e-mail.
  • Nota: ogni volta che si preme "salva" (o "crea utente") dopo le modifiche, l'utente riceverà un'e-mail. Quindi, se si modificano le impostazioni per quell'utente, si consiglia di deselezionare la casella finché non si è terminata la configurazione dell'utente.

Altre impostazioni interessanti da conoscere:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) è una gestione dinamica delle password per il WiFi (non per la VPN), che può rendere più sicuri gli utenti e la rete VPN. Crea una password unica per ogni utente, in modo da poterlo isolare più facilmente in caso di violazione.
  • 802.1X - Per l'autenticazione di rete (non VPN), consente agli utenti di autenticarsi in rete con 802.1x utilizzando l'autenticazione Cloud Nebula.
  • Assegnazione VLAN - L'assegnazione VLAN è una funzione del Professional Pack che configura una VLAN statica per l'utente quando entra nella rete.

Configurazione del client SecuExtender

  • Inviare il file .tgb (configurazione VPN) via e-mail
Site-wide -Configure Firewall -> Remote access VPN
  • Inviare la configurazione VPN alla propria e-mail aggiungendo la propria e-mail (o quella degli utenti) e premendo "Aggiungi nuovo" se non è presente. Quindi fare clic su "Invia e-mail" e controllare la propria e-mail (e la cartella spam).

  • Installare il file .tgb in SecuExtender

mceclip4.png

  • Se non riuscite a visualizzare il pop-up, aprite SecuExtender sul desktop in modo da visualizzare il client IPsec VPN di SecuExtender (la finestra mostrata nell'immagine sottostante), quindi aprite di nuovo il file .tgb dall'e-mail.


  • Controllo della connessione

Dopo aver importato la configurazione nel client VPN, fare doppio clic su "RemoteAccessVPN", quindi inserire "Login" e "Password" e fare clic su "OK".

  • In caso di problemi, ricontrollare le impostazioni della fase 1 e della fase 2 in SecuExtender e assicurarsi di avere la stessa crittografia e autenticazione nelle impostazioni di Nebula IKEv2 VPN.

  • Disabilitare il tunneling diviso

Se si verificano problemi con tutto il traffico che passa attraverso il tunnel VPN (sia il traffico Internet che quello VPN), consultare questo articolo:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verifica della connessione VPN

Una volta stabilita la connessione VPN, è possibile verificarla aprendo una finestra del prompt dei comandi (o PowerShell) ed eseguendo i seguenti comandi.

  • ipconfig

Questo comando fornisce l'indirizzo IP dell'interfaccia VPN.

mceclip4.png

  • ping [indirizzo_remoto]

Questo comando consente di eseguire un test ping su un dispositivo situato sulla rete LAN del gateway NebulaCC.

mceclip5.png

  • A questo punto, l'NCC dovrebbe essere in grado di visualizzare i log che mostrano il corretto funzionamento della VPN. Nell'immagine seguente, si può notare che le richieste della modalità principale hanno raggiunto l'USG, la fase 1 è stata stabilita con successo e l'XAuth nel centro di controllo Nebula funziona correttamente.

mceclip0.png

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 0
Condividi