Nebula [VPN] - Panoramica della rete privata virtuale (VPN)

La Virtual Private Network, o VPN in breve, è una delle funzioni più utilizzate sui nostri gateway di sicurezza e con Nebula è possibile configurare la VPN sul proprio USG FLEX in pochi minuti!

Sinossi

Questo articolo coprirà tutti gli scenari VPN più comuni, che si tratti di VPN ad accesso remoto o VPN da sito a sito (comprese le VPN verso peer non Nebula). Per accedere alle opzioni di configurazione, accedere a Nebula Control Center utilizzando le proprie credenziali all'indirizzo https://nebula.zyxel.com/ e navigare nel seguente menu a seconda del tipo di VPN che si desidera creare:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Indice dei contenuti

1. Accesso remoto VPN: L2TP su IPSec
2. Accesso remoto VPN: client IPSec
3. VPN da sito a sito: peer Nebula
4. VPN da sito a sito: peer non Nebula
5. VPN da sito a sito: VPN Orchestrator e configurazioni avanzate

Accesso remoto VPN: L2TP su IPSec

Per configurare la VPN L2TP over IPSec, navigare nel menu Accesso remoto VPN e attivare l'opzione VPN L2TP over IPSec. Gli unici campi obbligatori per rendere la VPN funzionante sono la compilazione del segreto (Preshared Key) e la subnet VPN del client. È sufficiente prendere in considerazione l'utilizzo di una sottorete che non sia già utilizzata altrove. È possibile modificare i server DNS o impostare l'autenticazione su un server locale, ad esempio, ma questo è del tutto facoltativo. Il pulsante "Default" accanto a Policy apre un menu che consente di impostare le proposte IPSec. I valori predefiniti sono pensati per essere compatibili con la maggior parte dei sistemi operativi.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Dopo aver salvato la configurazione, è possibile sfruttare la funzione di script di fornitura VPN: compilare un elenco di destinatari e fare clic sul pulsante "Invia posta". Lo script di configurazione con le istruzioni per l'uso verrà inviato agli indirizzi forniti.

Configurazione del client - Modalità script di fornitura

Nebula Pro offre un modo comodo per configurare i client Windows o macOS utilizzando uno script di provisioning VPN. Questo può essere inviato direttamente agli utenti:

Una volta inviata la mail, gli utenti riceveranno una mail da info@nebula.zyxel.com contenente gli script di provisioning:

Come suggerisce il nome, il file .batfile è destinato a Windows, mentre il file .mobileconfig è destinato a macOS. A causa di restrizioni di sicurezza, il file .batfile deve essere rinominato in .bat prima di essere eseguito. Facendo semplicemente doppio clic sullo script, verrà creata una connessione VPN sul sistema. Durante la prima connessione, l'utente deve fornire le proprie credenziali. Queste verranno salvate dopo la prima connessione andata a buon fine.

Configurazione del client - Modalità manuale

La configurazione manuale della VPN non è un compito difficile. In Windows, andare su Impostazioni > Rete e Internet > VPN e fare clic su Aggiungi connessione VPN.

Compilare il modulo in base alle credenziali fornite da Nebula (è possibile utilizzare un indirizzo IP o un DDNS generato automaticamente da Nebula) e il gioco è fatto!

Maggiori informazioni in questo articolo:

Nebula CC - Configurare L2TP per il firewall Nebula

Accesso remoto VPN: client IPSec

In modo simile alla configurazione di L2TP su IPSec, anche la configurazione di IPSec VPN avviene nel menu Accesso remoto VPN e inizia con la casella di controllo Server IPSec VPN. Gli unici campi obbligatori per far funzionare la VPN sono la compilazione di un segreto (Preshared Key) e la subnet VPN del client. L'unica cosa da considerare è di utilizzare una sottorete che non sia già utilizzata da nessun altro. È possibile modificare i server DNS o impostare l'autenticazione su un server locale, ad esempio, ma questo è facoltativo. Il pulsante "Default" accanto a Policy apre un menu che consente di impostare le proposte IPSec. I valori predefiniti sono pensati per garantire un'elevata sicurezza delle connessioni IPSec. È inoltre possibile abilitare l'autenticazione a due fattori per i client, per migliorare ulteriormente la sicurezza di Google Authenticator.

A livello di sito -> Configura -> Firewall -> Accesso remoto VPN

Configurazione del client

La configurazione del client è molto semplice. Innanzitutto, si vuole creare il gateway IPSec e compilare i dettagli nella scheda Autenticazione, come nell'esempio seguente, che considera i valori di crittografia predefiniti:

Nella scheda Protocollo, è importante selezionare la casella "Mode Config":

Ora siamo pronti a creare una connessione IPSec. Inserite l'indirizzo della rete di destinazione, i parametri ESP/PFS e siete pronti per la connessione. È anche possibile creare più reti e accedervi contemporaneamente:

Tutto qui! Ora siete pronti a connettervi da remoto. Ricordate che il client IPSec può sempre esportare la configurazione una volta terminata per distribuirla facilmente su più dispositivi.

Per ulteriori informazioni, consultare questo articolo:

Nebula [VPN] - Come configurare la VPN IPsec IKEv2

VPN da sito a sito: Nebula peer

La configurazione di una VPN sito-sito non è mai stata così semplice. Il menu VPN sito-sito inizia con la configurazione dell'interfaccia WAN. È possibile scegliere una sola interfaccia WAN in uscita o lasciare l'opzione come automatica per garantire la ridondanza. In questo caso, verrà chiesto quale interfaccia deve essere preferita.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

La configurazione prosegue poi con le reti locali, dove le interfacce locali e le connessioni VPN remote sono disponibili per partecipare alla connessione VPN da sito a sito.

Nella sezione successiva, è possibile configurare le impostazioni avanzate. Ad esempio, è possibile selezionare l'area VPN desiderata per la propria rete: per le reti più piccole sarà sufficiente un'area VPN predefinita. Le strutture VPN più grandi o semplicemente più elaborate potrebbero richiedere l'uso di più aree VPN. Ulteriori informazioni sull'Area VPN e su Nebula VPN Orchestrator sono riportate nell'ultimo capitolo.

L'opzione NAT traversal consente di personalizzare l'indirizzo IP WAN per la VPN. Ciò è utile in situazioni in cui più IP sono instradati verso la porta WAN e si desidera utilizzare un indirizzo specifico per la VPN.

Per ulteriori informazioni, consultare questo articolo:

Nebula VPN - Configurare la VPN da sito a sito in Nebula tra due gateway Nebula

VPN sito-sito: peer non Nebula

L'aggiunta di un peer non Nebula richiede naturalmente una configurazione su Nebula Control Center e sul dispositivo autonomo.

Sul lato Nebula, è necessario inserire solo alcune informazioni sulla connessione, in particolare il nome che identificherà il dispositivo, il suo indirizzo IP pubblico e una sottorete privata remota che si intende collegare alla chiave preshared. Opzionalmente, è possibile modificare il criterio IPSec in base alle proprie esigenze e impostare i siti che accederanno al router. Si noti che la proprietà della subnet privata non deve essere un indirizzo di rete, ma un indirizzo effettivo del dispositivo utilizzato per la verifica della connessione in formato CIDR, ad esempio il server VPN remoto stesso.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

Importante:
I caratteri speciali come -, +, ^, *, [, ], \, ", ? non sono ammessi.
Questo cambierà in futuro.

In questo caso, dal lato del router remoto, ATP200, dovremo prima creare un gateway VPN. La configurazione seguente consente di riutilizzare questo gateway per tutti i peer desiderati. Con la proposta IPSec predefinita, è sufficiente cambiare la modalità di negoziazione in "Aggressiva" e la chiave pre-condivisa.

Dopo la configurazione del gateway VPN, la connessione VPN ci permetterà finalmente di stabilire la connessione tra i due router. Impostare i criteri locali e remoti in base alla topologia della rete. Questi valori devono corrispondere alla configurazione in Nebula. In caso contrario, la negoziazione fallirà.

Dopo aver salvato la connessione VPN, la connessione tra i router dovrebbe essere stabilita entro pochi secondi.

Per ulteriori informazioni, consultare questo articolo:

Nebula VPN - Configurazione di una VPN da sito a sito verso un utente non Nebula.

VPN site-to-site: VPN Orchestrator e configurazioni avanzate

Nebula VPN Orchestrator è un potente strumento che consente di configurare con facilità topologie VPN complesse. La piattaforma NCC consente una configurazione astratta senza configurare le singole connessioni VPN su ogni gateway e di modificare senza problemi la topologia in base alle esigenze attuali con pochi clic!

Spiegazione della topologia VPN Nebula

Nebula Orchestrator può contenere più aree VPN. Ogni area può avere una topologia Site-to-Site o una topologia Hub-and-Spoke. Nelle topologie Site-to-Site, ogni gateway di sicurezza si connette a tutti gli altri gateway dell'area VPN. Nelle topologie Hub-and-Spoke, l'unico gateway designato come Hub si connette agli altri gateway. È anche possibile avere una o più aree Site-to-Site e altre aree Hub-and-Spoke.

Ogni area può avere fino a cinque Hub, a meno che l'area non contenga un NSG: in questo caso, in una determinata area è presente un solo Hub. Se l'Hub ha l'interfaccia in uscita impostata su "auto", tutte le connessioni WAN comporranno simultaneamente le connessioni VPN ai gateway Spoke.

Per comunicare tra le aree, è possibile abilitare la comunicazione tra aree per il gateway. Per funzionare, le aree Site-to-Site devono avere un Leader di area designato. I leader di area o i gateway Hub comporranno i tunnel VPN verso le altre aree e consentiranno la comunicazione tra i gateway CA.

Configurazione

La configurazione di VPN Orchestrator si trova nel seguente menu:

Organization-wide > VPN Orchestrator

La parte superiore della schermata mostra una mappa con una visualizzazione attuale della rete VPN, compresi i guasti dovuti alla perdita di connessione. Sono incluse anche le connessioni peer non Nebula, che possono essere distinte con una linea tratteggiata.

Nel menu Smart VPN è possibile selezionare l'area che si desidera configurare o crearne una nuova e selezionare la topologia desiderata.

In base alla scelta effettuata, potrebbe essere necessario designare Hub e Spoke nello stesso menu. In ogni caso, sarà possibile selezionare quali gateway si connetteranno alla VPN, quali sottoreti di questi gateway parteciperanno alle connessioni VPN e configurare lo stato di comunicazione dell'area del dispositivo.

Organization-wide -> Organization-wide manage -> VPN Orchastrator