Virtual Private Network, of kortweg VPN, is een van de meest gebruikte functies op onze beveiligingsgateways, en met Nebula kunt u binnen enkele minuten VPN configureren op uw USG FLEX!
Samenvatting
Dit artikel behandelt alle gangbare VPN-scenario's, of het nu gaat om Remote Access VPN of Site-to-Site VPN (inclusief VPN naar niet-Nebula peers). Om toegang te krijgen tot de configuratie-opties, logt u in op Nebula Control Center met uw inloggegevens via https://nebula.zyxel.com/ en navigeert u naar het volgende menu, afhankelijk van het type VPN dat u wilt aanmaken:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Inhoudsopgave
- Remote Access VPN: L2TP over IPSec
- Remote Access VPN: IPSec client
- Site-to-Site VPN: Nebula peers
- Site-to-Site VPN: niet-Nebula peers
- Site-to-Site VPN: VPN Orchestrator en geavanceerde configuraties
Remote Access VPN: L2TP over IPSec
Om L2TP over IPSec VPN te configureren, navigeert u naar het menu Remote access VPN en schakelt u de optie L2TP over IPSec VPN in. De enige verplichte velden om uw VPN werkend te krijgen zijn het invullen van uw geheim (Preshared Key) en het Client VPN-subnet. U moet een subnet gebruiken dat nog nergens anders wordt gebruikt. U kunt ervoor kiezen om de DNS-servers te wijzigen of de authenticatie in te stellen op een lokale server, bijvoorbeeld, maar dit is volledig optioneel. De knop "Default" naast Policy opent een menu waarmee u IPSec-voorstellen kunt instellen. De standaardwaarden zijn ontworpen om compatibel te zijn met de meeste besturingssystemen.
Site-wide -> Configure -> Firewall -> Remote Access VPNNa het opslaan van uw configuratie kunt u gebruikmaken van de functie VPN provisioning script - vul een lijst met ontvangers in en klik op de knop "Send Mail". Het configuratiescript met instructies over het gebruik wordt naar de opgegeven adressen verzonden.
Clientconfiguratie - Provision script modus
Nebula Pro biedt een gemakkelijke manier om Windows- of macOS-clients te configureren met een VPN provisioning script. Dit kan direct naar gebruikers worden gestuurd:
Na het verzenden van de mail ontvangen gebruikers een mail van info@nebula.zyxel.com met de provisioning scripts:
Zoals de naam al aangeeft, is het .batfile-bestand bedoeld voor Windows, terwijl het .mobileconfig-bestand bedoeld is voor macOS. Vanwege beveiligingsbeperkingen moet het .batfile-bestand worden hernoemd naar .bat voordat het kan worden uitgevoerd. Door simpelweg dubbel te klikken op het script wordt een VPN-verbinding op uw systeem aangemaakt. Tijdens de eerste verbinding moet de gebruiker zijn inloggegevens opgeven. Deze worden na de eerste succesvolle verbinding opgeslagen.
Clientconfiguratie - Handmatige modus
Het is echter geen moeilijke taak om de VPN handmatig te configureren. Ga op Windows naar Instellingen > Netwerk & internet > VPN en klik op VPN-verbinding toevoegen.
Vul het formulier in volgens de door Nebula verstrekte gegevens (u kunt zowel het IP-adres als de automatisch door Nebula gegenereerde DDNS gebruiken), en u bent klaar!
Zie meer informatie in dit artikel:
Nebula CC - Configureer L2TP voor uw Nebula Firewall
Remote Access VPN: IPSec client
Net als bij de L2TP over IPSec-configuratie vindt de IPSec VPN-configuratie ook plaats in het menu Remote Access VPN en begint met het selectievakje IPSec VPN-server. De enige verplichte velden om uw VPN werkend te krijgen zijn het invullen van een geheim (Preshared Key) en het Client VPN-subnet. Het enige waar u op moet letten is het gebruik van een subnet dat nog nergens anders wordt gebruikt. U kunt ervoor kiezen om de DNS-servers te wijzigen of authenticatie in te stellen op een lokale server, bijvoorbeeld, maar dit is optioneel. De knop "Default" naast Policy opent een menu waarmee u IPSec-voorstellen kunt instellen. De standaardwaarden zijn ontworpen om hoge beveiliging te bieden voor uw IPSec-verbindingen. U kunt ook tweefactorauthenticatie inschakelen voor uw clients om de beveiliging verder te verbeteren via Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Clientconfiguratie
Het configureren van de client is heel eenvoudig. Eerst maken we de IPSec Gateway aan en vullen de gegevens in op het tabblad Authenticatie, zoals in het volgende voorbeeld, dat uitgaat van standaard cryptografiewaarden:
Op het tabblad Protocol is het belangrijk om het vakje "Mode Config" te selecteren:
Nu zijn we klaar om een IPSec-verbinding te maken. Vul het doelnetwerkadres in, de ESP/PFS-parameters en u bent klaar om verbinding te maken. U kunt ook meerdere netwerken aanmaken en er tegelijkertijd toegang toe krijgen:
Dat is alles! Nu bent u klaar om op afstand verbinding te maken. Vergeet niet dat de IPSec-client de configuratie altijd kan exporteren zodra deze is voltooid, zodat u deze gemakkelijk op meerdere apparaten kunt implementeren.
Zie meer informatie in dit artikel:
Nebula [VPN] - Hoe IKEv2 IPsec VPN te configureren
Site-to-Site VPN: Nebula peers
Het configureren van een Site-to-Site VPN is nog nooit zo eenvoudig geweest. Het menu Site-to-Site VPN begint met de configuratie van de WAN-interface. U kunt kiezen voor een enkele WAN-interface als uitgaande verbinding of de optie op automatisch laten staan om redundantie te bieden. In dat geval wordt u gevraagd welke interface de voorkeur krijgt.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNDe configuratie gaat vervolgens verder naar uw lokale netwerken, waar lokale interfaces en externe VPN-verbindingen beschikbaar zijn om deel te nemen aan de site-to-site VPN-verbinding.
In het volgende gedeelte kunt u de geavanceerde instellingen configureren. U kunt bijvoorbeeld het gewenste VPN-gebied voor uw netwerk selecteren - kleinere netwerken zijn prima met slechts één standaard VPN-gebied. Grotere of simpelweg meer uitgebreide VPN-structuren kunnen meer VPN-gebieden nodig hebben. Meer informatie over het VPN-gebied en Nebula VPN Orchestrator vindt u in het laatste hoofdstuk.
De NAT-traversal-optie stelt u in staat uw WAN-IP-adres aan te passen voor uw VPN. Dit is nuttig in situaties waarin meerdere IP's naar uw WAN-poort worden gerouteerd en u een specifiek adres voor VPN wilt gebruiken.
Site-to-Site VPN: niet-Nebula peers
Het toevoegen van een niet-Nebula peer vereist natuurlijk een configuratie op zowel het Nebula Control Center als het standalone apparaat.
Aan de Nebula-zijde is het alleen nodig om wat informatie over de verbinding in te vullen, met name de naam die het apparaat identificeert, het openbare IP-adres en een extern privaat subnet waarmee u wilt verbinden, en de preshared key. Optioneel kunt u het IPSec-beleid aanpassen aan uw behoeften en instellen welke sites deze router mogen benaderen. Let op dat de eigenschap privaat subnet geen netwerkadres mag zijn, maar een daadwerkelijk apparaatadres dat wordt gebruikt voor verbindingstestdoeleinden in CIDR-formaat - bijvoorbeeld de externe VPN-server zelf.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNBelangrijk:
Speciale tekens zoals -, +, ^, *, [, ], \, ", ? zijn niet toegestaan.
Dit zal in de toekomst veranderen.
In dit geval moeten we aan de kant van de externe router, ATP200, eerst een VPN-gateway aanmaken. De volgende configuratie stelt u in staat deze gateway te hergebruiken voor zoveel peers als u wilt. Met het standaard IPSec-voorstel hoeft u alleen de onderhandelingsmodus te wijzigen naar "Aggressive" en is de pre-shared key noodzakelijk.
Na de configuratie van de VPN-gateway kan de VPN-verbinding eindelijk worden opgezet tussen de twee routers. Stel het lokale en externe beleid in volgens uw netwerktopologie. Deze waarden moeten overeenkomen met de configuratie in Nebula. Anders mislukt de onderhandeling.
Na het opslaan van de VPN-verbinding zou de verbinding tussen de routers binnen enkele seconden tot stand moeten komen.
Zie meer informatie in dit artikel:
Nebula VPN - Configureer Site-to-Site VPN naar een niet-Nebula-peer
Site-to-Site VPN: VPN Orchestrator en geavanceerde configuraties
De Nebula VPN Orchestrator is een krachtig hulpmiddel waarmee u complexe VPN-topologieën eenvoudig kunt configureren. Het NCC-platform maakt abstracte configuratie mogelijk zonder individuele VPN-verbindingen op elke gateway te hoeven configureren en stelt u in staat de topologie naadloos aan te passen aan uw huidige behoeften met slechts een paar klikken!
Nebula VPN-topologie uitgelegd
Nebula Orchestrator kan meerdere VPN-gebieden bevatten. Elk gebied kan een Site-to-Site-topologie of een Hub-and-Spoke-topologie zijn. In Site-to-Site-topologieën verbindt elke beveiligingsgateway met alle andere gateways binnen het VPN-gebied. In Hub-and-Spoke-topologieën verbindt alleen de gateway die als Hub is aangewezen met de andere gateways. Het is ook mogelijk om één of meer Site-to-Site-gebieden en andere Hub-and-Spoke-gebieden te hebben.
Elk gebied kan tot vijf Hubs hebben, tenzij het gebied een NSG bevat - in dat geval mag er slechts één Hub in een bepaald gebied zijn. Als de Hub zijn uitgaande interface op "auto" heeft staan, zullen alle WAN-verbindingen tegelijkertijd VPN-verbindingen naar de Spoke-gateways tot stand brengen.
Om communicatie tussen gebieden mogelijk te maken, kunt u Area Communication voor de gateway inschakelen. Site-to-Site-gebieden moeten een aangewezen Area Leader hebben om dit te laten werken. De Area Leaders of Hub-gateways zullen VPN-tunnels naar andere gebieden opzetten en communicatie tussen de AC-gateways toestaan.
Configuratie
De configuratie van de VPN Orchestrator is te vinden in het volgende menu:
Organization-wide > VPN OrchestratorHet bovenste deel van het scherm toont een kaart met een huidige visualisatie van het VPN-netwerk - inclusief fouten door verlies van verbinding. Dit omvat ook verbindingen met niet-Nebula peers - deze zijn te onderscheiden aan een stippellijn.
In het menu Smart VPN kunt u het gewenste gebied selecteren dat u wilt configureren of een nieuw gebied aanmaken en de gewenste topologie kiezen.
Op basis van uw selectie moet u mogelijk Hubs en Spokes aanwijzen in hetzelfde menu. Maar in elk geval kunt u selecteren welke gateways verbinding maken met de VPN, welke subnets op deze gateways deelnemen aan de VPN-verbindingen en de Area Communication-status van het apparaat configureren.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.