Denne veiledningen vil hjelpe til med konfigurasjonen av Zyxel IPSec VPN Client (versjon 3.8.204.61.32) for VPN-tilkobling med Nebula CC IPSec Remote Access VPN (C2S)-funksjonen ved å bruke Nebula Security PRmkt7_N4GtS.

Innholdsfortegnelse

1. Oversikt
2. Støttede enheter
3. Nebula Control Center-oppsett
4. VPN-klientoppsett (SecuExtender IPSEC VPN-klient)

Oversikt

Et VPN (Virtual P rivate Network ) gir sikker kommunikasjon mellom nettsteder uten bekostning av leide linjer. VPN-er brukes til sikker transport av trafikk over internett til et usikkert nettverk som bruker TCP/IP-kommunikasjon. En ekstern tilgangs-VPN (klient-til-sted) gir ansatte som er på reise eller fjernarbeid sikker tilgang til selskapets nettverksressurser. Det finnes flere typer VPN-protokoller/-teknologier som kan brukes til å etablere en sikker kobling til bedriftens nettverk, L2TP, PPTP, SSL, OpenVPN, etc. Denne veiledningen vil referere til IPSec-protokollen for å etablere en sikker VPN-tunnel mellom eksterne verter ( brukere koblet til internett utenfor selskapets nettverksstruktur) og NebulaCC-gatewayen. Tredjeparts IPSec-programvare er nødvendig for å etablere VPN-tilkoblingen da gjeldende operativsystemer mangler en innebygd IPSec-klient. Denne gjennomgangen vil hjelpe med å konfigurere VPN-oppsettet på IPSec VPN-klienten (versjon 3.8.204.61.32).

Støttede enheter

NSG-serien (50/100/200/300)
USG FLEX-serien (100/100W/200/500/700)

Nebula CC VPN-oppsett

Merk: På Nebula kontrollsenter er det et krav at det må være en brukerdatabase i bakgrunnen for å med IPSec-klienten autentisere seg mot. For at dette skal fungere, må vi i klienten sette opp "X-Auth" og "Config Mode".

Klikk inn i det nye Nebula CC brukergrensesnittet og gå til:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Spesifiser klient-VPN-serveren som en IPSec-klient. Hvis din NSG/USG FLEX er plassert bak NAT-gatewayen, må du skrive NAT-traversal.

Opprett en VPN-klientkonto for autentisering. Typen er Nebula Cloud Autentisering. Sørg for å opprette en bruker i den respektive undermenyen

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN-klientoppsett

Den nyeste versjonen av Zyxel IPSec VPN-klienten kan lastes ned fra her . Når klienten er installert, start programmet og åpne Konfigurasjonspanel . Klikk på "IKE V1"-mappen under VPN-konfigurasjon , når mappen er valgt, trykk på "Ctrl + N"-tastene på tastaturet for å legge til en "Ikev1Gateway"-regel. Gjør følgende endringer i regelen:

1. Ekstern Gateway
   
   • Grensesnitt – Velg grensesnittet datamaskinen skal bruke for å etablere VPN-tilkoblingen. Sett dette til Noen hvis VPN-klienten får lov til å bruke en hvilken som helst tilkobling som er tilgjengelig på datamaskinen.
   • Ekstern Gateway – Skriv inn FQDN/DDNS/IP for NebulaCC-gatewayen du skal koble til.
2. Autentisering
   
   • Velg alternativet "Forhåndsdelt nøkkel".
   • Skriv inn den forhåndsdelte nøkkelen som brukes på NebulaCC IPSec-konfigurasjonen og "Bekreft" nøkkelen.
3. X-Auth
   
   • Aktiver – Denne boksen skal være merket av.
   • X-Auth Popup - Denne boksen skal bare merkes hvis du ønsker å bli bedt om brukernavn og passord ved tilkobling
     • Logg på – Oppgi NebulaCC brukernavn for VPN-kontoen. Bare hvis "X-Auth Popup" ikke er merket av.
     • Passord – Oppgi passordet for NebulaCC VPN-konto. Bare hvis "X-Auth Popup" ikke er merket av.
4. Kryptografi (eksempel oppsett)
   • Kryptering – Velg AES256 fra rullegardinmenyen.
   • Autentisering – Velg SHA-256 fra rullegardinmenyen.
   • Nøkkelgruppe – Velg DH14 (1024) fra rullegardinmenyen.

Fra "Ikev1Gateway" klikker du på Protokoll fanen og gjør følgende endring:

Aktiver Moduskonfig alternativ.
Mens "Ikev1Gateway" er uthevet, trykk på "Ctrl + N"-tastene på tastaturet igjen for å legge til "Ikev1Tunnel"-delen av tilkoblingen. Gjør følgende endringer:

1. Adresse
   
   • VPN-klientadresse – La dette alternativet være som det er. (0.0.0.0 som standard)
   • Adressetype – Velg Subnettadresse fra rullegardinmenyen.
   • Ekstern LAN-adresse – Skriv inn NebulaCC lokale LAN IP-skjema.
   • Subnet Mask – Skriv inn NebulaCC lokal LAN subnettmaske.
2. ESP
   
   • Kryptering – Velg AES256 fra rullegardinmenyen.
   • Autentisering – Velg SHA-256 fra rullegardinmenyen.
   • Modus – Velg Tunnel fra rullegardinmenyen.
3. PFS
   
   • La dette alternativet være umerket.
4. Livstid
   
   • Levetiden er mengden tid, i sekunder, før klienten reforhandler algoritmene.

Når alle innstillingene er gjort, klikker du på Konfigurasjon alternativet på verktøylinjen og velg Lagre . Dette vil lagre alle endringene som er gjort til klienten.

For å etablere VPN-tilkoblingen til NebulaCC-gatewayen, høyreklikk på "Ikev1Tunnel"-alternativet og velg Åpne tunnelen eller trykk (Ctrl + O) på tastaturet.

Bekreftelse

Når VPN-tilkoblingen er etablert, kan du bekrefte tilkoblingen ved å åpne et ledetekstvindu (eller PowerShell) og utstede følgende kommandoer.

• ipconfig
  Denne kommandoen vil gi IP-adressen for VPN-grensesnittet.
  
• ping [ekstern_adresse]
  Denne kommandoen lar deg kjøre en ping-test til en enhet som ligger på NebulaCC gateways LAN-nettverk.
  

På NCC skal du nå kunne se logger som viser at VPN-en fungerer som den skal. I skjermbildet nedenfor kan du se at hovedmodusforespørslene har nådd USG, fase 1 kunne blitt etablert og XAuth i Nebula kontrollsenter fungerer fint.