Nebula [VPN] - Overzicht van Virtual Private Network (VPN)

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Virtual Private Network, of kortweg VPN, is een van de meest gebruikte functies op onze security gateways. Met de Nebula kunt u VPN in een paar minuten configureren op uw USG FLEX!

Samenvatting

Dit artikel behandelt alle gebruikelijke VPN scenario's, of het nu gaat om Remote access VPN of Site-to-Site VPN (inclusief VPN naar niet-Nebula peers). Om toegang te krijgen tot de configuratie opties, logt u in op Nebula Control Center met uw credentials op https://nebula.zyxel.com/ en navigeert u naar het volgende menu, afhankelijk van het type VPN dat u wilt creëren:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Inhoudsopgave

  1. VPN voor externe toegang: L2TP over IPSec
  2. VPN voor toegang op afstand: IPSec-client
  3. Site-to-Site VPN: Nebula-peers
  4. Site-to-Site VPN: niet-Nebula peers
  5. Site-to-Site VPN: VPN Orchestrator en geavanceerde configuraties

VPN voor toegang op afstand: L2TP over IPSec

Om L2TP over IPSec VPN te configureren, navigeert u naar het menu VPN voor externe toegang en schakelt u de optie L2TP over IPSec VPN in. De enige verplichte velden om uw VPN te laten werken zijn het invullen van uw geheim (Preshared Key) en Client VPN subnet. U hoeft alleen te overwegen om een subnet te gebruiken dat nog nergens anders wordt gebruikt. U kunt bijvoorbeeld de DNS-servers wijzigen of de verificatie instellen op een lokale server, maar dit is volledig optioneel. De knop "Default" naast Policy opent een menu waarmee je IPSec-voorstellen kunt instellen. De standaardwaarden zijn ontworpen om compatibel te zijn met de meeste besturingssystemen.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Nadat u uw configuratie hebt opgeslagen, kunt u gebruik maken van de functie VPN-bepalingencript - vul een lijst met ontvangers in en klik op de knop "Send Mail". Het configuratiescript met instructies voor het gebruik ervan wordt naar de opgegeven adressen verzonden.

Clientconfiguratie - modus Provision script

Nebula Pro biedt een gemakkelijke manier om Windows of macOS clients te configureren met behulp van een VPN provisioning script. Dit kan direct naar gebruikers worden verzonden:

mceclip3.png

Zodra de mail is verstuurd, ontvangen gebruikers een mail van info@nebula.zyxel.com met daarin de provisioning scripts:
mceclip4.png
Zoals de naam al doet vermoeden, is het .batfile-bestand bedoeld voor Windows, terwijl het .mobileconfig-bestand bedoeld is voor macOS. Vanwege veiligheidsbeperkingen moet het .batfile-bestand worden hernoemd naar .bat voordat het wordt uitgevoerd. Door simpelweg op het script te dubbelklikken wordt er een VPN-verbinding op je systeem gemaakt. Tijdens de eerste verbinding moet de gebruiker zijn referenties opgeven. Deze worden opgeslagen na de eerste succesvolle verbinding.

Clientconfiguratie - Handmatige modus

Het is echter niet moeilijk om de VPN handmatig te configureren. In Windows gaat u naar Instellingen > Netwerk en internet > VPN en klikt u op VPN-verbinding toevoegen.

Vul het formulier in volgens de gegevens die door Nebula zijn verstrekt (je kunt een IP-adres of DDNS gebruiken die automatisch door Nebula wordt gegenereerd), en je bent helemaal klaar!

mceclip6.png

Zie meer informatie in dit artikel:

Nebula CC - L2TP configureren voor uw Nebula Firewall

VPN voor externe toegang: IPSec-client

Net als bij de L2TP over IPSec configuratie, vindt de IPSec VPN configuratie ook plaats in het Remote Access VPN menu en begint met het IPSec VPN server selectievakje. De enige verplichte velden om uw VPN werkend te maken zijn het invullen van een geheim (Preshared Key) en Client VPN subnet. Het enige waar je rekening mee moet houden is dat je een subnet gebruikt dat nog nergens anders wordt gebruikt. U kunt bijvoorbeeld de DNS-servers wijzigen of de authenticatie instellen op een lokale server, maar dit is optioneel. De knop "Default" naast Policy opent een menu waarmee je IPSec-voorstellen kunt instellen. De standaardwaarden zijn ontworpen om uw IPSec-verbindingen goed te beveiligen. Je kunt ook tweefactorauthenticatie inschakelen voor je clients om de beveiliging nog verder te verbeteren met Google authenticator.

Site-wide -> Configureren -> Firewall -> VPN voor externe toegang

Configuratie client

Het configureren van de client is erg eenvoudig. Eerst willen we de IPSec Gateway aanmaken en de details invullen op het tabblad Authentication, zoals in het volgende voorbeeld, dat rekening houdt met standaard cryptografische waarden:

mceclip0.png

Op het tabblad Protocol is het belangrijk om het vakje "Mode Config" te selecteren:

mceclip1.png

Nu zijn we klaar om een IPSec-verbinding te maken. Vul het doelnetwerkadres en de ESP/PFS-parameters in en u bent klaar om verbinding te maken. U kunt ook meerdere netwerken aanmaken en deze tegelijkertijd benaderen:

mceclip2.png

Dat is alles! Nu bent u klaar om op afstand verbinding te maken. Vergeet niet dat de IPSec-client de configuratie altijd kan exporteren zodra deze klaar is om deze eenvoudig op meerdere apparaten te implementeren.

Meer informatie vindt u in dit artikel:

Nebula [VPN] - Hoe IKEv2 IPsec VPN configureren

Site-to-Site VPN: Nebula-peers

Het configureren van een Site-to-Site VPN is nog nooit zo eenvoudig geweest. Het Site-to-Site VPN menu begint met de configuratie van de WAN-interface. Je kunt één WAN-interface als uitgaande kiezen of de optie op automatisch laten staan om redundantie te bieden. In dat geval wordt u gevraagd welke interface de voorkeur moet krijgen.

Site-wide -> Configure -> Firewall -> Site-to-Site VPN

De configuratie gaat vervolgens verder naar uw lokale netwerken, waar lokale interfaces en externe VPN-verbindingen beschikbaar zijn om deel te nemen aan de site-to-site VPN-verbinding.

mceclip4.png

In het volgende gedeelte kunt u de geavanceerde instellingen configureren. U kunt bijvoorbeeld het gewenste VPN-gebied voor uw netwerk selecteren - kleinere netwerken hebben genoeg aan slechts één standaard VPN-gebied. Grotere of meer uitgebreide VPN-structuren kunnen meer VPN-gebieden nodig hebben. Meer informatie over de VPN Area en Nebula VPN Orchestrator vindt u in het laatste hoofdstuk.

De NAT traversal optie stelt u in staat om uw WAN IP-adres aan te passen voor uw VPN. Dit is handig in situaties waar meerdere IP's naar uw WAN-poort worden gerouteerd en u een specifiek adres voor VPN wilt gebruiken.


Zie meer informatie in dit artikel:

Nebula VPN - Configureer Site-to-Site VPN in Nebula tussen twee Nebula Gateways

Site-to-Site VPN: niet-Nebula peers

Het toevoegen van een niet-Nebula peer vereist natuurlijk een configuratie op het Nebula Control Center en het standalone apparaat.

Aan de Nebula kant is het alleen nodig om wat informatie over de verbinding in te vullen, met name de naam die het apparaat identificeert, het publieke IP-adres en een privésubnet op afstand dat u wilt verbinden met de preshared key. Optioneel kun je het IPSec-beleid aanpassen aan je behoeften en instellen welke sites toegang krijgen tot deze router. Merk op dat de eigenschap privésubnet geen netwerkadres moet zijn, maar een feitelijk apparaatadres dat wordt gebruikt voor verbindingscontrole in CIDR-formaat - bijvoorbeeld de VPN-server op afstand zelf.

dyn_repppppppp_3

mceclip0.png

Belangrijk:
Speciale karakters zoals -, +, ^, *, [, ], \, ", ? zijn niet toegestaan.
Dit zal in de toekomst veranderen.

In dit geval moeten we aan de kant van de externe router, ATP200, eerst een VPN-gateway aanmaken. De volgende configuratie maakt het mogelijk om deze gateway voor zoveel peers als gewenst te hergebruiken. Met het standaard IPSec voorstel is alleen de onderhandelingsmodus in "Agressief" en een vooraf gedeelde sleutel nodig.

mceclip8.png

Na de configuratie van de VPN-gateway kunnen we via de VPN-verbinding eindelijk de verbinding tussen de twee routers tot stand brengen. Stel het lokale en externe beleid in volgens uw netwerktopologie. Deze waarden moeten overeenkomen met de configuratie in de Nebula. Anders zal de onderhandeling mislukken.

mceclip9.png

Na het opslaan van de VPN-verbinding zou de verbinding tussen de routers binnen enkele seconden tot stand moeten komen.

mceclip10.png


Zie voor meer informatie dit artikel:

Nebula VPN - Configureer Site-to-Site VPN naar een Non-Nebula-Peer

Site-to-Site VPN: VPN Orchestrator en geavanceerde configuraties

De Nebula VPN Orchestrator is een krachtige tool waarmee u eenvoudig complexe VPN-topologieën kunt configureren. Het NCC platform maakt een abstracte configuratie mogelijk zonder individuele VPN verbindingen te configureren op elke gateway en naadloos de topologie te veranderen op basis van uw huidige eisen met slechts een paar klikken!

Nebula VPN topologie uitgelegd

Nebula Orchestrator kan meerdere VPN gebieden bevatten. Elk gebied kan een Site-to-Site topologie of een Hub-and-Spoke topologie zijn. In Site-to-Site topologieën maakt elke beveiligingsgateway verbinding met alle andere gateways binnen het VPN-gebied. In Hub-and-Spoke topologieën verbindt de enige gateway die als Hub is aangeduid met andere gateways. Het is ook mogelijk om één of meer Site-to-Site gebieden en andere Hub-and-Spoke gebieden te hebben.

mceclip1.png

Elk gebied kan maximaal vijf Hubs hebben, tenzij het gebied een NSG bevat - in dat geval is er slechts één Hub in een bepaald gebied. Als de Hub zijn uitgaande interface op "auto" heeft ingesteld, zullen alle WAN-verbindingen de VPN-verbindingen naar de Spoke gateways gelijktijdig inbellen.

mceclip2.png

Om tussen gebieden te communiceren, kunt u Gebiedscommunicatie voor de gateway inschakelen. Site-to-Site gebieden moeten een aangewezen Area Leader hebben om dit te laten werken. De Area Leaders of Hub gateways zullen VPN-tunnels naar andere gebieden bellen en communicatie tussen de AC gateways mogelijk maken.

Configuratie

De VPN Orchestrator configuratie kan worden gevonden in het volgende menu:

Organization-wide > VPN Orchestrator

Het bovenste deel van het scherm toont een kaart met een actuele visualisatie van het VPN-netwerk - inclusief storingen door verbindingsverlies. Dit omvat ook niet-nebula peer verbindingen - deze kunnen worden onderscheiden met een stippellijn.

In het Smart VPN-menu kunt u het gewenste gebied selecteren dat u wilt configureren of een nieuw gebied aanmaken en de gewenste topologie selecteren.

Op basis van uw selectie moet u mogelijk Hubs en Spokes aanwijzen in hetzelfde menu. Maar in elk geval kun je selecteren welke gateways verbinding maken met het VPN, welke subnetten op deze gateways deelnemen aan de VPN-verbindingen en de status van de gebiedscommunicatie van het apparaat configureren.

dyn_repppppppp_5

blobid1.png

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 1
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.