La Virtual Private Network, o VPN in breve, è una delle funzionalità più comunemente utilizzate sui nostri gateway di sicurezza e con Nebula, puoi configurare la VPN sul tuo USG FLEX in pochi minuti!
Sommario
Questo articolo coprirà tutti gli scenari comuni di VPN, sia VPN di accesso remoto sia Site-to-Site VPN (inclusa la VPN verso peer non-Nebula). Per accedere alle opzioni di configurazione, effettua il login nel Nebula Control Center usando le tue credenziali su https://nebula.zyxel.com/ e naviga nel menu seguente a seconda del tipo di VPN che vuoi creare:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Indice
- VPN di accesso remoto: L2TP su IPSec
- VPN di accesso remoto: client IPSec
- Site-to-Site VPN: peer Nebula
- Site-to-Site VPN: peer non-Nebula
- Site-to-Site VPN: VPN Orchestrator e configurazioni avanzate
VPN di accesso remoto: L2TP su IPSec
Per configurare la VPN L2TP su IPSec, naviga nel menu VPN di accesso remoto e abilita l'opzione L2TP su IPSec VPN. Gli unici campi obbligatori per far funzionare la tua VPN sono compilare il tuo segreto (Preshared Key) e la subnet VPN client. Devi solo assicurarti di usare una subnet che non sia già utilizzata altrove. Potresti voler cambiare i server DNS o impostare l'autenticazione su un server locale, per esempio, ma questo è completamente opzionale. Il pulsante "Default" accanto a Policy apre un menu che ti permette di impostare le proposte IPSec. I valori predefiniti sono progettati per essere compatibili con la maggior parte dei sistemi operativi.
Site-wide -> Configure -> Firewall -> Remote Access VPNDopo aver salvato la configurazione, puoi usufruire della funzione script di provisioning VPN - inserisci una lista di destinatari e clicca il pulsante "Send Mail". Lo script di configurazione con le istruzioni su come usarlo sarà inviato agli indirizzi forniti.
Configurazione client - modalità script di provisioning
Nebula Pro offre un modo comodo per configurare i client Windows o macOS usando uno script di provisioning VPN. Questo può essere inviato direttamente agli utenti:
Una volta inviato l'email, gli utenti riceveranno una mail da info@nebula.zyxel.com che contiene gli script di provisioning:
Come suggerisce il nome, il file .batfile è destinato a Windows, mentre il file .mobileconfig è destinato a macOS. A causa di restrizioni di sicurezza, il file .batfile deve essere rinominato in .bat prima dell'esecuzione. Basta un doppio clic sullo script per creare una connessione VPN sul tuo sistema. Durante la prima connessione, l'utente deve fornire le proprie credenziali. Queste verranno salvate dopo la prima connessione riuscita.
Configurazione client - modalità manuale
Configurare la VPN manualmente non è comunque un compito difficile. Su Windows, naviga su Impostazioni > Rete e Internet > VPN e clicca su Aggiungi connessione VPN.
Compila il modulo secondo le credenziali fornite da Nebula (puoi usare sia l'indirizzo IP sia il DDNS generato automaticamente da Nebula) e il gioco è fatto!
Per maggiori informazioni consulta questo articolo:
Nebula CC - Configura L2TP per il tuo Firewall Nebula
VPN di accesso remoto: client IPSec
In modo simile alla configurazione L2TP su IPSec, anche la configurazione della VPN IPSec avviene nel menu VPN di accesso remoto e inizia con la casella di controllo del server VPN IPSec. Gli unici campi obbligatori per far funzionare la VPN sono compilare un segreto (Preshared Key) e la subnet VPN client. L'unica cosa da considerare è usare una subnet che non sia già utilizzata altrove. Potresti voler cambiare i server DNS o impostare l'autenticazione su un server locale, per esempio, ma questo è opzionale. Il pulsante "Default" accanto a Policy apre un menu che ti consente di impostare le proposte IPSec. I valori predefiniti sono progettati per fornire alta sicurezza alle tue connessioni IPSec. Puoi anche abilitare l'autenticazione a due fattori per i tuoi client per aumentare ulteriormente la sicurezza tramite Google authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Configurazione client
Configurare il client è molto semplice. Per prima cosa, vogliamo creare il Gateway IPSec e compilare i dettagli nella scheda Autenticazione, come nell'esempio seguente, che considera i valori di crittografia predefiniti:
Nella scheda Protocollo, è importante selezionare la casella "Mode Config":
Ora siamo pronti per creare una connessione IPSec. Compila l'indirizzo di rete di destinazione, i parametri ESP/PFS e sei pronto a connetterti. Puoi anche creare più reti e accedervi simultaneamente:
Questo è tutto! Ora sei pronto per connetterti da remoto. Ricorda che il client IPSec può sempre esportare la configurazione una volta completata per distribuirla facilmente su più dispositivi.
Per maggiori informazioni consulta questo articolo:
Nebula [VPN] - Come configurare IKEv2 IPsec VPN
Site-to-Site VPN: peer Nebula
Configurare una Site-to-Site VPN non è mai stato così semplice. Il menu Site-to-Site VPN inizia con la configurazione dell'interfaccia WAN. Puoi scegliere una singola interfaccia WAN come uscita oppure lasciare l'opzione su auto per fornire ridondanza. In tal caso, ti verrà chiesto quale interfaccia dovrebbe essere preferita.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNLa configurazione continua poi sulle tue reti locali, dove sono disponibili le interfacce locali e le connessioni VPN remote per partecipare alla connessione site-to-site VPN.
Nella sezione successiva, puoi configurare le impostazioni avanzate. Per esempio, puoi selezionare l'Area VPN desiderata per la tua rete - le reti più piccole andranno bene con una sola Area VPN predefinita. Reti più grandi o strutture VPN più elaborate potrebbero aver bisogno di usare più Aree VPN. Ulteriori informazioni riguardanti l'Area VPN e il VPN Orchestrator di Nebula si trovano nel capitolo finale.
L'opzione NAT traversal ti permette di personalizzare il tuo indirizzo IP WAN per la VPN. Questo è utile in situazioni in cui più IP sono instradati alla tua porta WAN e vuoi usare un indirizzo specifico per la VPN.
Site-to-Site VPN: peer non-Nebula
Aggiungere un peer non-Nebula richiede naturalmente una configurazione sia nel Control Center di Nebula sia sul dispositivo standalone.
Dal lato Nebula, è richiesto solo di compilare alcune informazioni sulla connessione, in particolare il nome che identificherà il dispositivo, il suo indirizzo IP pubblico e una subnet privata remota a cui intendi connetterti, oltre alla chiave precondivisa. Facoltativamente, puoi modificare la policy IPSec per adattarla alle tue esigenze e impostare quali siti potranno accedere a questo router. Nota che la proprietà subnet privata non dovrebbe essere un indirizzo di rete ma un vero indirizzo dispositivo usato per i controlli di connessione in formato CIDR - per esempio, il server VPN remoto stesso.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNImportante:
Caratteri speciali come -, +, ^, *, [, ], \, ", ? non sono permessi.
Questo cambierà in futuro.
In questo caso, dal lato del router remoto, ATP200, sarà necessario prima creare un gateway VPN. La configurazione seguente ti permetterà di riutilizzare questo gateway per quanti peer desideri. Con la proposta IPSec predefinita, è necessario solo cambiare la modalità di negoziazione in "Aggressive" e la chiave precondivisa.
Dopo la configurazione del Gateway VPN, la connessione VPN ci permetterà finalmente di stabilire la connessione tra i due router. Imposta la policy locale e remota in base alla tua topologia di rete. Questi valori devono corrispondere alla configurazione in Nebula. Altrimenti, la negoziazione fallirà.
Dopo aver salvato la connessione VPN, la connessione tra i router dovrebbe stabilirsi entro pochi secondi.
Per maggiori informazioni consulta questo articolo:
Nebula VPN - Configurare Site-to-Site VPN verso un peer non-Nebula
Site-to-Site VPN: VPN Orchestrator e configurazioni avanzate
Il VPN Orchestrator di Nebula è uno strumento potente che ti permette di configurare topologie VPN complesse con facilità. La piattaforma NCC consente una configurazione astratta senza dover configurare singole connessioni VPN su ogni gateway e di cambiare la topologia senza soluzione di continuità in base alle tue esigenze attuali con pochi clic!
Nebula VPN topologia spiegata
Nebula Orchestrator può contenere più Aree VPN. Ogni area può essere una topologia Site-to-Site o Hub-and-Spoke. Nelle topologie Site-to-Site, ogni gateway di sicurezza si connette a tutti gli altri gateway all'interno dell'area VPN. Nelle topologie Hub-and-Spoke, solo il gateway designato come Hub si connette agli altri gateway. È anche possibile avere una o più aree Site-to-Site e altre aree Hub-and-Spoke.
Ogni area può avere fino a cinque Hub a meno che l'area non contenga un NSG - in tal caso, solo un singolo Hub può essere presente in una data area. Se l'Hub ha la sua interfaccia in uscita impostata su "auto", tutte le connessioni WAN stabiliranno contemporaneamente le connessioni VPN verso i gateway Spoke.
Per comunicare tra aree, puoi abilitare la Comunicazione tra Aree per il gateway. Le aree Site-to-Site devono avere un Leader di Area designato affinché ciò funzioni. I Leader di Area o gateway Hub stabiliranno tunnel VPN verso altre aree e permetteranno la comunicazione tra i gateway AC.
Configurazione
La configurazione del VPN Orchestrator si trova nel seguente menu:
Organization-wide > VPN OrchestratorLa parte superiore dello schermo mostra una mappa con la visualizzazione corrente della rete VPN - inclusi i guasti dovuti a perdita di connessione. Questo include anche le connessioni verso peer non-nebula - queste possono essere distinte con una linea tratteggiata.
Nel menu Smart VPN, puoi selezionare l'area desiderata che vuoi configurare oppure crearne una nuova e selezionare la topologia desiderata.
In base alla tua selezione, potresti dover designare Hub e Spoke nello stesso menu. In ogni caso, potrai selezionare quali gateway si connetteranno alla VPN, quali subnet su questi gateway parteciperanno alle connessioni VPN e configurare lo stato di Comunicazione tra Aree del dispositivo.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Commenti
0 commentiAccedi per aggiungere un commento.