Questa guida assisterà nella configurazione del client VPN Zyxel IPSec (versione 3.8.204.61.32) per la connettività VPN con la funzionalità Nebula CC IPSec Remote Access VPN (C2S) utilizzando Nebula Security Gateway (NSG).

Sommario

1. Panoramica
2. Dispositivi supportati
3. Configurazione del centro di controllo Nebula
4. Configurazione del client VPN (client VPN IPSEC SecuExtender)

Panoramica

Una VPN ( V irtual P rivate N etwork) fornisce comunicazioni sicure tra i siti senza la spesa di linee affittate. Le VPN vengono utilizzate per trasportare in modo sicuro il traffico su Internet di una rete non sicura che utilizza le comunicazioni TCP/IP. Una VPN ad accesso remoto (client-to-site) consente ai dipendenti in viaggio o telelavoratori di accedere in modo sicuro alle risorse di rete aziendali. Esistono diversi tipi di protocolli/tecnologie VPN che possono essere utilizzati per stabilire un collegamento sicuro alla rete aziendale, L2TP, PPTP, SSL, OpenVPN, ecc. Questa guida farà riferimento al protocollo IPSec per stabilire un tunnel VPN sicuro tra host esterni ( utenti connessi ad internet al di fuori della struttura di rete aziendale) e il gateway NebulaCC. Per stabilire la connessione VPN è necessario un software IPSec di terze parti poiché gli attuali sistemi operativi non dispongono di un client IPSec integrato. Questa procedura dettagliata consentirà di configurare l'impostazione VPN nel client VPN IPSec (versione 3.8.204.61.32).

Dispositivi supportati

Serie NSG (50/100/200/300)
Serie USG FLEX (100/100W/200/500/700)

Configurazione della VPN Nebula CC

Nota: su Nebula Control Center, è necessario che sia presente un database utente in background con il client IPSec che esegue l'autenticazione. Affinché ciò funzioni, dovremo impostare nel client "X-Auth" e "Config Mode".

Fai clic sulla nuova interfaccia utente CC Nebula e vai a:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Specificare il server Client VPN come client IPSec. Se il tuo NSG/USG FLEX si trova dietro il gateway NAT, dovrai digitare NAT traversal.

Crea un account client VPN per l'autenticazione. Il tipo è Nebula Cloud Autenticazione. Assicurati di creare un utente nel rispettivo sottomenu

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Installazione del client VPN Zyxel

L'ultima versione del client VPN Zyxel IPSec può essere scaricata da qui . Una volta installato il client, avvia il programma e apri il file Pannello di configurazione . Fare clic sulla cartella "IKE V1" sotto Configurazione VPN , una volta selezionata la cartella premi i tasti "Ctrl + N" sulla tastiera per aggiungere una regola "Ikev1Gateway". Apportare le seguenti modifiche alla regola:

1. Remoto Gateway
   
   • Interfaccia: seleziona l'interfaccia che il computer utilizzerà per stabilire la connessione VPN. Imposta questo su Qualsiasi se il client VPN sarà autorizzato a utilizzare qualsiasi connessione disponibile sul computer.
   • Remote Gateway: digita FQDN/DDNS/IP del gateway NebulaCC a cui ti collegherai.
2. Autenticazione
   
   • Selezionare l'opzione "Chiave già condivisa".
   • Digitare la chiave già condivisa utilizzata nella configurazione NebulaCC IPSec e "Confermare" la chiave.
3. X-Aut
   
   • Abilita: questa casella deve essere selezionata.
   • Popup X-Auth: questa casella deve essere selezionata solo se si desidera che vengano richiesti nome utente e password al momento della connessione
     • Accesso: fornire il nome utente dell'account VPN NebulaCC. Solo se "X-Auth Popup" è deselezionato.
     • Password: fornire la password dell'account VPN NebulaCC. Solo se "X-Auth Popup" è deselezionato.
4. Crittografia (configurazione di esempio)
   • Crittografia: selezionare AES256 dall'elenco a discesa.
   • Autenticazione: selezionare SHA-256 dal menu a discesa.
   • Gruppo tasti – Seleziona DH14 (1024) dal menu a discesa.

Da "Ikev1Gateway" fai clic sul file Protocollo scheda e apportare la seguente modifica:

Abilita il Modalità Config opzione.
Mentre "Ikev1Gateway" è evidenziato, premi nuovamente i tasti "Ctrl + N" sulla tastiera per aggiungere la parte "Ikev1Tunnel" della connessione. Apporta le seguenti modifiche:

1. Indirizzo
   
   • Indirizzo client VPN: lascia questa opzione così com'è. (0.0.0.0 per impostazione predefinita)
   • Tipo di indirizzo: selezionare Indirizzo di sottorete dal menu a discesa.
   • Indirizzo LAN remoto: digitare lo schema IP LAN locale NebulaCC.
   • Subnet Mask: digitare la subnet mask della LAN locale NebulaCC.
2. ESP
   
   • Crittografia: selezionare AES256 dal menu a discesa.
   • Autenticazione: selezionare SHA-256 dal menu a discesa.
   • Modalità – Seleziona Tunnel dal menu a discesa.
3. PFS
   
   • Lascia questa opzione deselezionata.
4. Tutta la vita
   
   • La durata è la quantità di tempo, in secondi, prima che il client rinegozi gli algoritmi.

Una volta effettuate tutte le impostazioni, fare clic su Configurazione opzione sulla barra degli strumenti e selezionare Salva . Ciò salverà tutte le modifiche apportate al client.

Per stabilire la connessione VPN al gateway NebulaCC, fare clic con il pulsante destro del mouse sull'opzione "Ikev1Tunnel" e selezionare Tunnel aperto o premi (Ctrl + O) sulla tastiera.

Verifica

Una volta stabilita la connessione VPN è possibile verificare la connessione aprendo una finestra del prompt dei comandi (o PowerShell) e immettendo i seguenti comandi.

• ipconfig
  Questo comando fornirà l'indirizzo IP per l'interfaccia VPN.
  
• ping [indirizzo_remoto]
  Questo comando consentirà di eseguire un test ping su un dispositivo situato sulla rete LAN dei gateway NebulaCC.
  

Sull'NCC, ora dovresti essere in grado di vedere i registri che mostrano che la VPN funziona correttamente. Nello screenshot qui sotto puoi vedere che le richieste della modalità principale hanno raggiunto l'USG, la Fase 1 è stata stabilita con successo e XAuth nel Centro di controllo Nebula funziona correttamente.