Belangrijke mededeling: |
Het artikel biedt een gedetailleerde handleiding voor het opzetten van IKEv2 VPN in Nebula, met inbegrip van het creëren van Nebula Cloud-gebruikers voor VPN-toegang en het configureren van de SecuExtender client. Het schetst de beperkingen van IKEv2, zoals het gebrek aan officiële ondersteuning voor vooraf gedeelde sleutels, en biedt stapsgewijze instructies voor het inschakelen van de IPsec VPN-server, het configureren van client VPN-subnetten, en het instellen van authenticatie opties zoals Nebula Cloud Authentication, Active Directory, en twee-factor authenticatie via Google Authenticator. Het artikel behandelt ook het aanmaken van VPN-gebruikers, het verzenden van configuratiebestanden en het verifiëren van VPN-verbindingen, en biedt tips voor het oplossen van problemen en aanvullende instellingen voor een betere beveiliging.
Dit artikel helpt u te begrijpen wat u kunt doen met de IKEv2 VPN in Nebula. Het legt uit hoe u IKEv2 instelt, Nebula Cloud-gebruikers voor VPN-toegang creëert en de SecuExtender-client configureert.
IKEv2 Beperkingen
Nebula ondersteunt momenteel geen officieel gebruik:
- IKEv2 met vooraf gedeelde sleutel
IKEv2 configureren in Nebula
- Schakel de "IPsec VPN-server" in
Go to Site-wide -> Configure -> Firewall -> Remote access VPN
- De "IPsec VPN-server" inschakelen
- Voer het Client VPN-subnet in (dit is het subnet dat de VPN-clients zullen ontvangen en KAN NIET overlappen met een ander subnet in uw Nebula organisatie, noch met externe VPN-subnetten (moet worden geschreven als xx.xx.xx.xx/xx "bijv. 192.168.50.0/24")
- Selecteer IKEv2-versie
- Geef indien nodig de naamservers (DNS-servers) voor VPN-clients op. Als u interne DHCP/DNS-servers gebruikt, geef dan de interne DNS-server op en gebruik Google DNS (8.8.8.8) als de tweede naamserververmelding. Deze instelling helpt mogelijke DNS- en communicatieproblemen met VPN-clients te voorkomen.
- Nebula Cloud Authenticatie- gebruiken we in ons voorbeeld. Maarje hebt opties voor authenticatie. U kunt gaan voor Nebula Cloud Authentication, uw eigen Active Directory of RADIUS-server, of zelfs twee-factor authenticatie gebruiken via de Google Authenticator App. Dit kan worden ingesteld door de functie "twee-factor authenticatie met Captive Portal" in te schakelen. Wanneer een gebruiker verbinding maakt met het VPN, zal hij worden doorverwezen om in te loggen met de Google Authenticator. Ze kunnen zich ook aanmelden voor twee-factor authenticatie via een e-mail die hun inloggegevens bevat.
- SecuExtender IKEv2 VPN configuratievoorziening - Selecteer de e-mail(s) die u wilt gebruiken om het VPN-configuratiebestand voor de SecuExtender IKEv2 VPN te verzenden (u kunt hier e-mails toevoegen en verwijderen die pas van kracht worden wanneer u op "Opslaan" drukt).
- Klik op "Opslaan".
- De volgende stap is het wijzigen van de "Policy", om dit te doen Klik op "Default" en configureer de Fase 1 en Fase 2 instellingen zoals hieronder (vergeet niet de instellingen op te slaan door op de "Save" knop te klikken):
Phase 1
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256,
Authentication: SHA256,
Diffie-Hellman group: None, Lifetime (seconds): 28800
- Vergeet niet na het wijzigen van de Policies de wijzigingen op te slaan door op de knop "Save" (Opslaan) te klikken.
Opmerking: MacOS kan een hogere encryptie en authenticatie vereisen, waarbij AES256 & SHA256 in onze ervaring prima werken.
Nebula Cloud-gebruikers aanmaken
Organization-wide -> Organization-wide manage -> Cloud authentication
- Klik op "Een nieuwe VPN-gebruikertoevoegen
- Vul de "Email" in die gebruikt kan worden voor het versturen van de credentials en ook voor het inloggen (indien geselecteerd).
- Vul de "Gebruikersnaam" en "Wachtwoord" in
- VPN Access - moet ingeschakeld zijn voor de VPN-gebruiker om toegang te krijgen tot het VPN en met succes te verifiëren met de gebruikersreferenties
- Geautoriseerd - selecteer tot welke sites u toegang wilt verlenen
- Inloggen met - kies of de gebruiker kan inloggen op het VPN / 802.1x met gebruikersnaam, e-mailadres, of met een van beiden
- Twee-factor-auth. -vink het vakje aan als u NIET wilt dat Two-Factor Authenticatie wordt ingesteld voor deze gebruiker
- E-mail naar gebruiker - selecteer of je de gebruikersgegevens naar de gebruiker wilt e-mailen
- Opmerking: elke keer als je op "opslaan" drukt (of "gebruiker aanmaken") na wijzigingen, krijgt de gebruiker een e-mail. Dus als je de instellingen voor die gebruiker wijzigt, kun je het vinkje beter weghalen totdat je klaar bent met het configureren van de gebruiker.
Extra instellingen die interessant zijn om te weten:
- Dynamic Personal Pre-shared Key (Professional Pack Feature) is dynamisch wachtwoordbeheer voor WiFi (niet VPN), wat je VPN-gebruikers en netwerk veiliger kan maken. Het creëert een uniek wachtwoord voor elke gebruiker, zodat een gebruiker gemakkelijker kan worden geïsoleerd als het wordt gehackt.
- 802.1X - Voor netwerkauthenticatie (niet VPN), dit kan de gebruikers authenticeren met behulp van het netwerk met 802.1x met behulp van Nebula Cloud authenticatie.
- VLAN-toewijzing - VLAN-toewijzing is een Professional Pack functie die een statisch VLAN configureert voor de gebruiker wanneer deze het netwerk binnenkomt.
De SecuExtender Client configureren
- Verzend het .tgb-bestand (VPN-configuratie) via e-mail
Site-wide -Configure Firewall -> Remote access VPN
- Stuur de VPN-configuratie naar uw e-mail door uw e-mail (of de e-mails van de gebruikers) toe te voegen en vervolgens op "Nieuw toevoegen" te klikken als deze niet aanwezig is. Klik dan op "Verstuur e-mail" en controleer je e-mail (en spamfolder).
- Installeer het .tgb-bestand in SecuExtender
- Als je de pop-up niet te zien krijgt, open dan SecuExtender op het bureaublad zodat je de SecuExtender IPsec VPN client ziet (het venster in de afbeelding hieronder), en open dan het .tgb-bestand uit de e-mail opnieuw.
- Verbindingscontrole
Nadat u de configuratie in de VPN-client hebt geïmporteerd, dubbelklikt u op "RemoteAccessVPN", voert u "Login" en "Password" in en klikt u op "OK".
- Als u tegen problemen aanloopt, controleer dan de fase 1 en fase 2 instellingen in de SecuExtender en zorg ervoor dat u dezelfde encryptie en authenticatie op de Nebula IKEv2 VPN instellingen heeft.
- Split tunneling uitschakelen
Als u problemen ondervindt met al het verkeer dat door de VPN-tunnel gaat (zowel internet- als VPN-verkeer), bekijk dan dit artikel:
https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender
- De VPN-verbinding controleren
Zodra de VPN-verbinding tot stand is gebracht, kunt u de verbinding controleren door een opdrachtpromptvenster (of PowerShell) te openen en de volgende opdrachten uit te voeren.
- ipconfig
Dit commando geeft het IP-adres voor de VPN-interface.
- ping [extern_adres]
Met dit commando kunt u een ping-test uitvoeren naar een apparaat dat zich op het LAN-netwerk van de NebulaCC-gateways bevindt.
- Op de NCC zou je nu logs moeten kunnen zien die laten zien dat het VPN goed werkt. In de onderstaande schermafbeelding kunt u zien dat de Main Mode verzoeken de USG hebben bereikt, Fase 1 kon met succes worden vastgesteld en de XAuth in de Nebula Control Center werkt prima.