Virtual Private Network, eller VPN for kort, er en av de mest brukte funksjonene på våre sikkerhets-gatewayer, og med Nebula kan du konfigurere VPN på din USG FLEX på få minutter!
Sammendrag
Denne artikkelen dekker alle vanlige VPN-scenarier, enten det er Remote access VPN eller Site-to-Site VPN (inkludert VPN til ikke-Nebula-enheter). For å få tilgang til konfigurasjonsalternativene, vennligst logg inn i Nebula Control Center med dine påloggingsopplysninger på https://nebula.zyxel.com/ og naviger til følgende meny avhengig av hvilken type VPN du ønsker å opprette:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Innholdsfortegnelse
- Remote Access VPN: L2TP over IPSec
- Remote Access VPN: IPSec-klient
- Site-to-Site VPN: Nebula-enheter
- Site-to-Site VPN: ikke-Nebula-enheter
- Site-to-Site VPN: VPN Orchestrator og avanserte konfigurasjoner
Remote Access VPN: L2TP over IPSec
For å konfigurere L2TP over IPSec VPN, vennligst gå til menyen Remote access VPN og aktiver alternativet L2TP over IPSec VPN. De eneste obligatoriske feltene for å få VPN-en til å fungere er å fylle inn din hemmelighet (Preshared Key) og Client VPN subnet. Du må bare passe på å bruke et subnett som ikke allerede brukes andre steder. Du kan også endre DNS-servere eller sette autentisering til en lokal server, for eksempel, men dette er helt valgfritt. "Default"-knappen ved siden av Policy åpner en meny som lar deg sette IPSec-forslag. Standardverdiene er designet for å være kompatible med de fleste operativsystemer.
Site-wide -> Configure -> Firewall -> Remote Access VPNEtter at du har lagret konfigurasjonen, kan du benytte deg av funksjonen for VPN provision-script – fyll inn en liste over mottakere og klikk på "Send Mail"-knappen. Konfigurasjonsskriptet med instruksjoner om hvordan det brukes vil bli sendt til de oppgitte adressene.
Klientkonfigurasjon - Provision script-modus
Nebula Pro tilbyr en praktisk måte å konfigurere Windows- eller macOS-klienter ved hjelp av et VPN provisioning-script. Dette kan sendes direkte til brukerne:
Når e-posten er sendt, vil brukerne motta en e-post fra info@nebula.zyxel.com som inneholder provisioning-skriptene:
Som navnet antyder, er .batfile-filen beregnet for Windows, mens .mobileconfig-filen er beregnet for macOS. På grunn av sikkerhetsbegrensninger må .batfile-filen omdøpes til .bat før den kan kjøres. Å dobbeltklikke på skriptet vil opprette en VPN-tilkobling på systemet ditt. Under den første tilkoblingen må brukeren oppgi sine påloggingsopplysninger. Disse vil bli lagret etter den første vellykkede tilkoblingen.
Klientkonfigurasjon - Manuell modus
Det er imidlertid ikke vanskelig å konfigurere VPN-en manuelt. På Windows, gå til Innstillinger > Nettverk og Internett > VPN og klikk på Legg til VPN-tilkobling.
Fyll ut skjemaet i henhold til opplysningene gitt av Nebula (du kan bruke enten IP-adresse eller DDNS automatisk generert av Nebula), og du er klar!
Se mer informasjon i denne artikkelen:
Nebula CC - Konfigurer L2TP for din Nebula brannmur
Remote Access VPN: IPSec-klient
På samme måte som konfigurasjonen for L2TP over IPSec, foregår også IPSec VPN-konfigurasjonen i menyen Remote Access VPN og starter med avkrysningsboksen for IPSec VPN-server. De eneste obligatoriske feltene for å få VPN-en til å fungere er å fylle inn en hemmelighet (Preshared Key) og Client VPN subnet. Det eneste du må passe på er å bruke et subnett som ikke allerede brukes andre steder. Du kan også endre DNS-servere eller sette autentisering til en lokal server, for eksempel, men dette er valgfritt. "Default"-knappen ved siden av Policy åpner en meny som lar deg sette IPSec-forslag. Standardverdiene er designet for å gi høy sikkerhet til dine IPSec-tilkoblinger. Du kan også aktivere tofaktorautentisering for klientene dine for å øke sikkerheten ytterligere med Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Klientkonfigurasjon
Konfigurering av klienten er veldig enkelt. Først må vi opprette IPSec-gatewayen og fylle inn detaljene på Authentication-fanen, som i følgende eksempel som bruker standard kryptografiverdier:
På Protocol-fanen er det viktig å krysse av for "Mode Config":
Nå er vi klare til å opprette en IPSec-tilkobling. Fyll inn målnettverksadressen, ESP/PFS-parametrene, og du er klar til å koble til. Du kan også opprette flere nettverk og få tilgang til dem samtidig:
Det er alt! Nå er du klar til å koble til eksternt. Husk at IPSec-klienten alltid kan eksportere konfigurasjonen når den er ferdig for enkelt å distribuere den på flere enheter.
Se mer informasjon i denne artikkelen:
Nebula [VPN] - Hvordan konfigurere IKEv2 IPsec VPN
Site-to-Site VPN: Nebula-enheter
Å konfigurere en Site-to-Site VPN har aldri vært enklere. Menyen Site-to-Site VPN starter med konfigurasjon av WAN-grensesnitt. Du kan velge ett enkelt WAN-grensesnitt som utgående eller la alternativet stå på auto for å gi redundans. I så fall vil du bli spurt hvilket grensesnitt som skal foretrekkes.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfigurasjonen fortsetter deretter til dine lokale nettverk, hvor lokale grensesnitt og fjern-VPN-tilkoblinger er tilgjengelige for å delta i site-to-site VPN-tilkoblingen.
I neste seksjon kan du konfigurere avanserte innstillinger. For eksempel kan du velge ønsket VPN-område for nettverket ditt – mindre nettverk vil klare seg med bare ett standard VPN-område. Større eller mer komplekse VPN-strukturer kan trenge å bruke flere VPN-områder. Mer informasjon om VPN-områder og Nebula VPN Orchestrator finner du i siste kapittel.
Alternativet NAT traversal lar deg tilpasse WAN-IP-adressen din for VPN-en. Dette er nyttig i situasjoner hvor flere IP-adresser rutes til WAN-porten din og du ønsker å bruke en bestemt adresse for VPN.
Site-to-Site VPN: ikke-Nebula-enheter
Å legge til en ikke-Nebula-enhet krever naturligvis en konfigurasjon både i Nebula Control Center og på den frittstående enheten.
På Nebula-siden kreves det bare at du fyller inn noe informasjon om tilkoblingen, spesielt navnet som skal identifisere enheten, dens offentlige IP-adresse og et eksternt privat subnett som du har tenkt å koble til, samt preshared key. Valgfritt kan du redigere IPSec-policyen for å tilpasse den dine behov og angi hvilke steder som skal ha tilgang til denne ruteren. Vær oppmerksom på at egenskapen private subnett ikke bør være en nettverksadresse, men en faktisk enhetsadresse som brukes til tilkoblingskontroll i CIDR-format – for eksempel den eksterne VPN-serveren selv.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNViktig:
Spesialtegn som -, +, ^, *, [, ], \, ", ? er ikke tillatt.
Dette vil endre seg i fremtiden.
I dette tilfellet, på siden til den eksterne ruteren, ATP200, må vi først opprette en VPN-gateway. Følgende konfigurasjon vil tillate deg å gjenbruke denne gatewayen for så mange enheter du ønsker. Med standard IPSec-forslag er det bare nødvendig å endre forhandlingsmodus til "Aggressive" og preshared key.
Etter konfigurasjonen av VPN-gatewayen vil VPN-tilkoblingen endelig tillate oss å etablere forbindelsen mellom de to rutene. Vennligst sett lokal og ekstern policy i henhold til nettverkstopologien din. Disse verdiene må samsvare med konfigurasjonen i Nebula. Ellers vil forhandlingen mislykkes.
Etter å ha lagret VPN-tilkoblingen, bør forbindelsen mellom rutene opprettes innen noen sekunder.
Se mer informasjon i denne artikkelen:
Nebula VPN - Konfigurer Site-to-Site VPN til en ikke-Nebula-enhet
Site-to-Site VPN: VPN Orchestrator og avanserte konfigurasjoner
Nebula VPN Orchestrator er et kraftig verktøy som lar deg konfigurere komplekse VPN-topologier med letthet. NCC-plattformen tillater abstrakt konfigurasjon uten å måtte konfigurere individuelle VPN-tilkoblinger på hver gateway, og gjør det mulig å sømløst endre topologien basert på dine nåværende behov med bare noen få klikk!
Nebula VPN-topologi forklart
Nebula Orchestrator kan inneholde flere VPN-områder. Hvert område kan ha enten Site-to-Site-topologi eller Hub-and-Spoke-topologi. I Site-to-Site-topologier kobler hver sikkerhetsgateway til alle andre gateways innenfor VPN-området. I Hub-and-Spoke-topologier vil kun gatewayen som er utpekt som Hub koble til de andre gatewayene. Det er også mulig å ha ett eller flere Site-to-Site-områder og andre Hub-and-Spoke-områder.
Hvert område kan ha opptil fem Hubs med mindre området inneholder en NSG – i så fall kan det kun være én Hub i et gitt område. Hvis Hub-en har sitt utgående grensesnitt satt til "auto", vil alle WAN-tilkoblinger opprette VPN-tilkoblinger til Spoke-gatewayene samtidig.
For å kommunisere mellom områder kan du aktivere Area Communication for gatewayen. Site-to-Site-områder må ha en utpekt Area Leader for at dette skal fungere. Area Leaders eller Hub-gatewayer vil opprette VPN-tunneler til andre områder og tillate kommunikasjon mellom AC-gatewayene.
Konfigurasjon
VPN Orchestrator-konfigurasjonen finnes i følgende meny:
Organization-wide > VPN OrchestratorØverst på skjermen vises et kart med en nåværende visualisering av VPN-nettverket – inkludert feil på grunn av tap av forbindelse. Dette inkluderer også tilkoblinger til ikke-nebula-enheter – disse kan skilles ut med en stiplet linje.
I Smart VPN-menyen kan du velge ønsket område du vil konfigurere, eller opprette et nytt og velge ønsket topologi.
Baser på ditt valg kan det være nødvendig å utpeke Hubs og Spokes i samme meny. Men uansett vil du kunne velge hvilke gateways som skal koble til VPN, hvilke subnett på disse gatewayene som skal delta i VPN-tilkoblingene, og konfigurere Area Communication-statusen til enheten.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.