Nebula [VPN] - Slik konfigurerer du IKEv2 IPsec VPN

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

Denne artikkelen hjelper deg med å forstå hva du kan gjøre med IKEv2 VPN i Nebula. Den forklarer hvordan du konfigurerer IKEv2, oppretter Nebula Cloud-brukere for VPN-tilgang og konfigurerer SecuExtender-klienten.

Begrensninger for IKEv2

Nebula har for øyeblikket ikke offisiell støtte for bruk av:

  • IKEv2 med forhåndsdelt nøkkel
  • Innebygd IKEv2 VPN-klient i Windows/MacOS med sertifikat (vil bli støttet i slutten av 2023).
  • IKEv2 med Android 12 eller nyere (heller ikke StrongSwan fordi Nebula ikke støtter IKEv2 PSK eller eksport/import av sertifikater).

Hvis du under noen omstendigheter har behov for noen av disse løsningene, anbefaler vi at du velger å administrere brannmuren i frittstående modus frem til utgangen av 2023. Merk at Nebula-konfigurasjonen ikke kan konverteres til en frittstående konfigurasjon, så du må konfigurere brannmuren på nytt i frittstående modus.

Konfigurere IKEv2 i Nebula

  • Aktiver "IPsec VPN-server" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN

  • Aktiver "IPsecVPN-serveren"

  • Angi klientens VPN-undernett (dette er undernettet som VPN-klientene vil motta, og det KAN IKKE overlappe med noe annet undernett i Nebula-organisasjonen eller eksterne VPN-undernett (skal skrives som xx.xx.xx.xx/xx "f.eks. 192.168.50.0/24").

  • Velg IKEv2-versjon

  • Oppgi om nødvendig navneserverne (DNS-servere) for VPN-klienter. Hvis du bruker interne DHCP/DNS-servere, angir du den interne DNS-serveren og bruker Google DNS (8.8.8.8.8) som den andre navneserveroppføringen. Dette oppsettet bidrar til å forhindre eventuelle DNS- og kommunikasjonsproblemer med VPN-klienter.

  • Nebula Cloud Authentication - som vi bruker i vårt eksempel. Men duhar flere alternativer for autentisering. Du kan velge Nebula Cloud Authentication, din egen Active Directory- eller RADIUS-server eller til og med bruke tofaktorautentisering via Google Authenticator-appen. Du kan konfigurere dette ved å slå på funksjonen "tofaktorautentisering med Captive Portal". Når en bruker kobler seg til VPN-et, blir vedkommende bedt om å logge på med Google Authenticator. De kan også registrere seg for tofaktorautentisering via en e-post som inneholder påloggingsinformasjonen.

  • SecuExtender IKEv2 VPN-konfigurasjonsbestemmelse - Velg e-postadressen(e) du vil bruke til å sende VPN-konfigurasjonsfilen for SecuExtender IKEv2 VPN (du kan legge til og fjerne e-poster her, men dette trer ikke i kraft før du trykker på "lagre").
  • Klikk på "Lagre"

  • Neste trinn er å endre "Policy". For å gjøre dette klikker du på "Standard" og konfigurerer innstillingene for fase 1 og fase 2 som nedenfor (ikke glem å lagre innstillingene ved å klikke på "Lagre"-knappen):

Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Når du har endret retningslinjene, må du huske å lagre endringene ved å klikke på knappen "Lagre".

Merk: MacOS kan kreve høyere kryptering og autentisering, og vår erfaring er at AES256 og SHA256 fungerer utmerket.

Opprette Nebula Cloud-brukere

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klikk på "Legg til" en ny VPN-bruker
  • Fyll ut "E-post" som kan brukes til å sende legitimasjon og til innlogging (hvis valgt).
  • Fyll ut "Brukernavn" og "Passord".
  • VPN-tilgang - bør være aktivert for at VPN-brukeren skal få tilgang til VPN og kunne autentiseres med brukerinformasjonen.

  • Autorisert - velg hvilke nettsteder du vil gi tilgang til.

  • Logg inn med-velg om brukeren kan logge inn på VPN / 802.1x med brukernavn, e-postadresse eller begge deler.

  • Tofaktorautentisering -Merk av iboksen hvis du IKKE vil at tofaktorautentisering skal angis for denne brukeren.

  • E-post til bruker - velg om du vil sende legitimasjonen til brukeren via e-post.

  • Merk: Hver gang du trykker på "Lagre" (eller "Opprett bruker") etter endringer, vil brukeren få en e-post. Så hvis du endrer innstillingene for denne brukeren, kan det være lurt å fjerne merket i boksen til du er ferdig med å konfigurere brukeren.

Ytterligere innstillinger som er interessante å kjenne til:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) er dynamisk passordadministrasjon for WiFi ( ikke VPN), som kan gjøre VPN-brukerne og nettverket sikrere . Den oppretter et unikt passord for hver bruker, slik at en bruker lettere kan isoleres hvis den blir hacket.
  • 802.1X - For nettverksautentisering (ikke VPN) kan dette få brukerne til å autentisere seg i nettverket med 802.1x ved hjelp av Nebula Cloud-autentisering.
  • VLAN-tildeling - VLAN-tildeling er en funksjon i Professional Pack som konfigurerer et statisk VLAN for brukeren når den går inn i nettverket.

Konfigurere SecuExtender-klienten

  • Send .tgb-filen (VPN-konfigurasjon) via e-post
Site-wide -Configure Firewall -> Remote access VPN
  • Send VPN-konfigurasjonen til e-posten din ved å legge til e-posten din (eller brukernes e-poster) og deretter trykke på "Legg til ny" hvis den ikke finnes. Klikk deretter på "Send e-post" og sjekk e-posten din (og søppelpostmappen).

  • Installer .tgb-filen i SecuExtender.

mceclip4.png

  • Hvis du ikke får popup-vinduet til å vises, kan du åpne SecuExtender på skrivebordet slik at du ser SecuExtender IPsec VPN-klienten (vinduet som vises på bildet nedenfor), og deretter åpne .tgb-filen fra e-posten på nytt.


  • Tilkoblingskontroll

Når du har importert konfigurasjonen til VPN-klienten, dobbeltklikker du på "RemoteAccessVPN", skriver inn "Login" og "Password" og klikker på "OK".

  • Hvis du støter på problemer, kan du dobbeltsjekke fase 1- og fase 2-innstillingene i SecuExtender og sørge for at du har samme kryptering og autentisering i Nebula IKEv2 VPN-innstillingene.

  • Deaktivering av delt tunnelering

Hvis du har problemer med at all trafikk går gjennom VPN-tunnelen (både internett- og VPN-trafikk), kan du lese denne artikkelen:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verifisere VPN-tilkoblingen

Når VPN-tilkoblingen er opprettet, kan du verifisere tilkoblingen ved å åpne et ledetekstvindu (eller PowerShell) og utføre følgende kommandoer.

  • ipconfig

Denne kommandoen angir IP-adressen for VPN-grensesnittet.

mceclip4.png

  • ping [remote_address]

Med denne kommandoen kan du kjøre en ping-test til en enhet på NebulaCC-gatewayens LAN-nettverk.

mceclip5.png

  • På NCC skal du nå kunne se logger som viser at VPN-et fungerer som det skal. I skjermbildet nedenfor kan du se at Main Mode-forespørslene har nådd USG-en, at fase 1 kunne etableres og at XAuth i Nebula Control Center fungerer som det skal.

mceclip0.png

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del