Zyxel Nebula Remote Access VPN - Slik konfigurerer du IKEv2 IPsec Remote Access VPN

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

Artikkelen gir en detaljert veiledning om hvordan du konfigurerer IKEv2 VPN i Nebula, inkludert opprettelse av Nebula Cloud-brukere for VPN-tilgang og konfigurering av SecuExtender-klienten. Den beskriver begrensningene ved IKEv2, for eksempel mangelen på offisiell støtte for forhåndsdelte nøkler, og gir trinnvise instruksjoner for aktivering av IPsec VPN-serveren, konfigurering av klient-VPN-undernett og konfigurering av autentiseringsalternativer som Nebula Cloud Authentication, Active Directory og tofaktorautentisering via Google Authenticator. Artikkelen tar også for seg oppretting av VPN-brukere, sending av konfigurasjonsfiler og verifisering av VPN-tilkoblinger, og gir feilsøkingstips og tilleggsinnstillinger for økt sikkerhet.

Denne artikkelen vil hjelpe deg å forstå hva du kan gjøre med IKEv2 VPN i Nebula. Den forklarer hvordan du konfigurerer IKEv2, oppretter Nebula Cloud-brukere for VPN-tilgang og konfigurerer SecuExtender-klienten.

IKEv2 Begrensninger

Nebula støtter for øyeblikket ikke offisielt bruk:

  • IKEv2 med forhåndsdelt nøkkel

Konfigurere IKEv2 i Nebula

  • Aktiver "IPsec VPN-server" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Aktiver "IPsec VPN-server"
  • Angi klientens VPN-delnett (dette er delnettet som VPN-klientene vil motta, og det KAN IKKE overlappe med noe annet delnett i Nebula-organisasjonen eller eksterne VPN-delnett (bør skrives som xx.xx.xx.xx.xx/xx "f.eks. 192.168.50.0/24"))
  • Velg IKEv2-versjon
  • Hvis det er nødvendig, oppgir du navneserverne (DNS-servere) for VPN-klienter. Hvis du bruker interne DHCP/DNS-servere, angir du den interne DNS-serveren og bruker Google DNS (8.8.8.8.8) som den andre navneserveroppføringen. Dette oppsettet bidrar til å forhindre potensielle DNS- og kommunikasjonsproblemer med VPN-klienter.
  • Nebula Cloud Authentication- bruker vi i vårt eksempel. Mendu har flere alternativer for autentisering. Du kan velge Nebula Cloud Authentication, din egen Active Directory- eller RADIUS-server, eller til og med bruke tofaktorautentisering via Google Authenticator-appen. Dette kan konfigureres ved å slå på funksjonen "tofaktorautentisering med Captive Portal". Når en bruker kobler seg til VPN-et, vil de bli bedt om å logge inn med Google Authenticator. De kan også registrere seg for tofaktorautentisering via en e-post som inneholder påloggingsinformasjonen.
  • SecuExtender IKEv2 VPN-konfigurasjonsbestemmelse - Velg e-postadressen(e) du vil bruke til å sende VPN-konfigurasjonsfilen for SecuExtender IKEv2 VPN (du kan legge til og fjerne e-postadresser her, noe som ikke trer i kraft før du trykker på "lagre").
  • Klikk på "Save"

  • Neste trinn er å endre "Policy", for å gjøre dette klikker du på "Standard" og konfigurerer innstillingene for fase 1 og fase 2 som nedenfor (ikke glem å lagre innstillingene ved å klikke på "Lagre"-knappen):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Når du har endret retningslinjene, må du huske å lagre endringene ved å klikke på "Save"-knappen.

Merk: MacOS kan kreve høyere kryptering og autentisering, hvor AES256 og SHA256 fungerer utmerket etter vår erfaring

Opprette Nebula Cloud-brukere

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klikk på "Leggtil" en ny VPN-bruker
  • Fyll ut "E-post" som kan brukes til å sende legitimasjon og også for pålogging (hvis valgt).
  • Fyll inn "Brukernavn" og "Passord
  • VPN-tilgang - bør være aktivert for at VPN-brukeren skal få tilgang til VPN og kunne autentisere seg med brukerlegitimasjonen
  • Autorisert - velg hvilke nettsteder du vil gi tilgang til
  • Login by - velg om brukeren kan logge inn på VPN / 802.1x med brukernavn, e-postadresse eller ved hjelp av en av dem
  • To-faktor auth. -merk av i boksen hvis du IKKE vil at tofaktorautentisering skal angis for denne brukeren
  • E-post til bruker - velg om du vil sende legitimasjonen til brukeren via e-post
  • Merk: Hver gang du trykker på "Lagre" (eller "Opprett bruker) etter endringer, vil brukeren få en e-post. Så hvis du endrer innstillingene for den aktuelle brukeren, kan det være lurt å fjerne merket i boksen til du er ferdig med å konfigurere brukeren.

Ytterligere innstillinger som er interessante å vite om:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature ) er dynamisk passordadministrasjon for WiFi (ikke VPN), noe som kan gjøre VPN-brukerne og nettverket ditt sikrere. Den oppretter et unikt passord for hver bruker, slik at en bruker lettere kan isoleres hvis den blir hacket.
  • 802.1X - For nettverksautentisering (ikke VPN) kan dette få brukerne til å autentisere seg ved hjelp av nettverket med 802.1x ved hjelp av Nebula Cloud-autentisering.
  • VLAN-tildeling - VLAN-tildeling er en Professional Pack-funksjon som konfigurerer et statisk VLAN til brukeren når den kommer inn i nettverket.

Konfigurere SecuExtender-klienten

  • Send .tgb-filen (VPN-konfigurasjon) via e-post
Site-wide -Configure Firewall -> Remote access VPN
  • Send VPN-konfigurasjonen til e-posten din ved å legge til e-posten din (eller brukernes e-post) og deretter trykke på "Legg til ny" hvis den ikke finnes. Klikk deretter på "Send e-post" og sjekk e-posten din (og søppelpostmappen)

  • Installer .tgb-filen i SecuExtender

mceclip4.png

  • Hvis du ikke får popup-vinduet til å vises, kan du åpne SecuExtender på skrivebordet slik at du ser SecuExtender IPsec VPN-klienten (vinduet som vises i bildet nedenfor), og deretter åpne .tgb-filen fra e-posten på nytt


  • Tilkoblingskontroll

Etter at du har importert konfigurasjonen til VPN-klienten, dobbeltklikker du på "RemoteAccessVPN", skriverinn"Login" og "Password" og klikker på "OK"

  • Hvis du støter på problemer, må du dobbeltsjekke innstillingene for fase 1 og fase 2 i SecuExtender og sørge for at du har samme kryptering og autentisering på Nebula IKEv2 VPN-innstillingene

  • Deaktivere delt tunnelering

Hvis du har problemer med at all trafikk går gjennom VPN-tunnelen (både internett- og VPN-trafikk), kan du ta en titt på denne artikkelen:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verifisere VPN-tilkoblingen

Når VPN-tilkoblingen er etablert, kan du verifisere tilkoblingen ved å åpne et ledetekstvindu (eller PowerShell) og utstede følgende kommandoer.

  • ipconfig

Denne kommandoen vil gi deg IP-adressen for VPN-grensesnittet.

mceclip4.png

  • ping [ekstern_adresse]

Denne kommandoen lar deg kjøre en ping-test til en enhet som befinner seg på NebulaCC-gatewayens LAN-nettverk.

mceclip5.png

  • På NCC skal du nå kunne se logger som viser at VPN fungerer som det skal. I skjermbildet nedenfor kan du se at hovedmodusforespørslene har nådd USG-enheten, at fase 1 kunne etableres og at XAuth i Nebula Control Center fungerer som den skal.

mceclip0.png

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del