Deze handleiding helpt bij de configuratie van de Zyxel IPSec VPN-client (versie 3.8.204.61.32) voor VPN-connectiviteit met de Nebula CC IPSec Remote Access VPN (C2S)-functie met behulp van Nebula Security Gateway (NSG).

Inhoudsopgave

1. Overzicht
2. Ondersteunde apparaten
3. Nebula controlecentrum instellen
4. VPN-client instellen (SecuExtender IPSEC VPN-client)

Overzicht

Een VPN ( Virtual Private N etwork ) zorgt voor veilige communicatie tussen locaties zonder de kosten van huurlijnen. VPN's worden gebruikt om verkeer veilig over het internet te transporteren van een onveilig netwerk dat gebruikmaakt van TCP/IP-communicatie. Een VPN voor externe toegang (client-to-site) biedt werknemers die op reis zijn of telewerkers veilige toegang tot de netwerkbronnen van het bedrijf. Er zijn meerdere soorten VPN-protocollen/-technologieën die kunnen worden gebruikt om een veilige verbinding tot stand te brengen met het bedrijfsnetwerk, L2TP, PPTP, SSL, OpenVPN, enz. Deze handleiding verwijst naar het IPSec-protocol om een veilige VPN-tunnel tot stand te brengen tussen externe hosts ( gebruikers verbonden met internet buiten de netwerkstructuur van het bedrijf) en de NebulaCC gateway. IPSec-software van derden is vereist om de VPN-verbinding tot stand te brengen, aangezien de huidige besturingssystemen geen ingebouwde IPSec-client hebben. Deze walkthrough helpt bij het configureren van de VPN-configuratie op de IPSec VPN-client (versie 3.8.204.61.32).

Ondersteunde apparaten

NSG-serie (50/100/200/300)
USG FLEX-serie (100/100W/200/500/700)

Nebula CC VPN-instelling

Opmerking: op Nebula Control Center is er een vereiste dat er een gebruikersdatabase op de achtergrond moet zijn met de IPSec-Client die authenticeert in de richting van. Om dit te laten werken, moeten we in de client "X-Auth" en "Config Mode" instellen.

Klik in de nieuwe Nebula CC-gebruikersinterface en ga naar:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Specificeer de Client VPN-server als een IPSec-client. Als uw NSG/USG FLEX zich achter de NAT-gateway bevindt, moet u NAT-traversal typen.

Maak een VPN-clientaccount voor authenticatie. Het type is Nebula Cloud Authenticatie. Zorg ervoor dat u een gebruiker aanmaakt in het betreffende submenu

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN-client instellen

De nieuwste versie van de Zyxel IPSec VPN-client kan worden gedownload van hier . Nadat de client is geïnstalleerd, start u het programma en opent u het configuratie paneel . Klik op de map "IKE V1" eronder VPN-configuratie , zodra de map is geselecteerd, drukt u op de toetsen "Ctrl + N" op het toetsenbord om een "Ikev1Gateway"-regel toe te voegen. Breng de volgende wijzigingen aan in de regel:

1. Extern Gateway
   
   • Interface – Selecteer de interface die de computer zal gebruiken om de VPN-verbinding tot stand te brengen. Stel dit in op Ieder of de VPN-client elke beschikbare verbinding op de computer mag gebruiken.
   • Extern Gateway – Typ de FQDN/DDNS/IP van de NebulaCC-gateway waarmee u verbinding wilt maken.
2. Authenticatie
   
   • Selecteer de optie "Preshared Key".
   • Voer de vooraf gedeelde sleutel in die wordt gebruikt in de NebulaCC IPSec-configuratie en "Bevestig" de sleutel.
3. X-authenticatie
   
   • Inschakelen - Dit vakje moet worden aangevinkt.
   • X-Auth Popup - Dit vakje moet alleen worden aangevinkt als u bij het verbinden om de gebruikersnaam en het wachtwoord wilt worden gevraagd
     • Inloggen - Geef de gebruikersnaam van het NebulaCC VPN-account op. Alleen als "X-Auth Popup" niet is aangevinkt.
     • Wachtwoord – Geef het wachtwoord van het NebulaCC VPN-account op. Alleen als "X-Auth Popup" niet is aangevinkt.
4. Cryptografie (voorbeeldinstelling)
   • Versleuteling - Selecteer AES256 in de vervolgkeuzelijst.
   • Verificatie - Selecteer SHA-256 uit de vervolgkeuzelijst.
   • Sleutelgroep - Selecteren DH14 (1024) uit de vervolgkeuzelijst.

Klik vanuit de "Ikev1Gateway" op de Protocol tab en breng de volgende wijziging aan:

Schakel de Modus config optie.
Terwijl "Ikev1Gateway" is gemarkeerd, drukt u nogmaals op de "Ctrl + N" -toetsen op het toetsenbord om het "Ikev1Tunnel" -gedeelte van de verbinding toe te voegen. Breng de volgende wijzigingen aan:

1. Adres
   
   • VPN-clientadres - Laat deze optie zoals ze is. (standaard 0.0.0.0)
   • Adrestype – Selecteer Subnet adres uit de vervolgkeuzelijst.
   • Extern LAN-adres – Voer het NebulaCC lokale LAN IP-schema in.
   • Subnetmasker – Typ het NebulaCC lokale LAN-subnetmasker in.
2. ESP
   
   • Versleuteling – Selecteer AES256 uit de vervolgkeuzelijst.
   • Verificatie - Selecteer SHA-256 uit de vervolgkeuzelijst.
   • Modus - Selecteer Tunnel uit de vervolgkeuzelijst.
3. PFS
   
   • Laat deze optie uitgevinkt.
4. Levenslang
   
   • De levensduur is de hoeveelheid tijd, in seconden, voordat de klant opnieuw onderhandelt over de algoritmen.

Als alle instellingen zijn gemaakt, klikt u op de knop Configuratie optie op de werkbalk en selecteer Bewaar . Hiermee worden alle aangebrachte wijzigingen in de client opgeslagen.

Om de VPN-verbinding met de NebulaCC-gateway tot stand te brengen, klikt u met de rechtermuisknop op de optie "Ikev1Tunnel" en selecteert u Tunneltje openen of druk op (Ctrl + O) op je toetsenbord.

Verificatie

Zodra de VPN-verbinding tot stand is gebracht, kunt u de verbinding verifiëren door een opdrachtpromptvenster (of PowerShell) te openen en de volgende opdrachten uit te voeren.

• ipconfig
  Deze opdracht geeft het IP-adres voor de VPN-interface.
  
• ping [extern_adres]
  Met deze opdracht kunt u een ping-test uitvoeren naar een apparaat dat zich op het LAN-netwerk van de NebulaCC-gateways bevindt.
  

Op de NCC zou u nu logboeken moeten kunnen zien die aantonen dat de VPN correct werkt. In de onderstaande schermafbeelding kunt u zien dat de verzoeken in de hoofdmodus de USG hebben bereikt, fase 1 kan met succes tot stand zijn gebracht en de XAuth in het Nebula Control Center werkt prima.