Viktig merknad: |
Virtual Private Network, forkortet VPN, er en av de mest brukte funksjonene på våre sikkerhetsportaler, og med Nebula kan du konfigurere VPN på USG FLEX på noen få minutter!
Sammendrag
Denne artikkelen tar for seg alle vanlige VPN-scenarier, enten det dreier seg om VPN for ekstern tilgang eller VPN fra sted til sted (inkludert VPN til ikke-Nebula-partnere). For å få tilgang til konfigurasjonsalternativene må du logge på Nebula Control Center med påloggingsinformasjonen din på https://nebula.zyxel.com/ og navigere til følgende meny, avhengig av hvilken type VPN du vil opprette:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Innholdsfortegnelse
- VPN for ekstern tilgang: L2TP over IPSec
- VPN for ekstern tilgang: IPSec-klient
- VPN fra sted til sted: Nebula-motparter
- VPN fra sted til sted: ikke-Nebula-motparter
- Site-to-Site VPN: VPN Orchestrator og avanserte konfigurasjoner
VPN for ekstern tilgang: L2TP over IPSec
For å konfigurere L2TP over IPSec VPN går du til menyen VPN for ekstern tilgang og aktiverer alternativet L2TP over IPSec VPN. De eneste obligatoriske feltene for å få VPN-et til å fungere er å fylle ut hemmeligheten (forhåndsdelt nøkkel) og klientens VPN-delnett. Du trenger bare å vurdere å bruke et undernett som ennå ikke brukes noe annet sted. Det kan være lurt å endre DNS-serverne eller for eksempel sette autentiseringen til en lokal server, men dette er helt valgfritt. Knappen "Standard" ved siden av Policy åpner en meny der du kan angi IPSec-forslag. Standardverdiene er utformet for å være kompatible med de fleste operativsystemer.
Site-wide -> Configure -> Firewall -> Remote Access VPN
Etter at du har lagret konfigurasjonen, kan du benytte deg av funksjonen for VPN-bestemmelsesskript - fyll ut en liste over mottakere og klikk på knappen "Send Mail". Konfigurasjonsskriptet med instruksjoner om hvordan du bruker det, sendes til de oppgitte adressene.
Klientkonfigurasjon - modus for klargjøringsskript
Nebula Pro tilbyr en praktisk måte å konfigurere Windows- eller macOS-klienter på ved hjelp av et VPN-klargjøringsskript. Dette kan sendes direkte til brukerne:
Når e-posten er sendt, vil brukerne motta en e-post fra info@nebula.zyxel.com som inneholder klargjøringsskriptet:
Som navnet antyder, er .batfile-filen beregnet på Windows, mens .mobileconfig-filen er beregnet på macOS. På grunn av sikkerhetsbegrensninger må .batfile-filen omdøpes til .bat før den kjøres. Ved å dobbeltklikke på skriptet opprettes en VPN-tilkobling på systemet. Under den første tilkoblingen må brukeren oppgi legitimasjon. Disse lagres etter den første vellykkede tilkoblingen.
Klientkonfigurasjon - manuell modus
Det er imidlertid ikke vanskelig å konfigurere VPN manuelt. I Windows går du til Innstillinger > Nettverk og Internett > VPN og klikker på Legg til VPN-tilkobling.
Fyll ut skjemaet i henhold til påloggingsinformasjonen fra Nebula (du kan bruke enten IP-adresse eller DDNS som genereres automatisk av Nebula), og du er klar!
Se mer informasjon i denne artikkelen:
Nebula CC - Konfigurere L2TP for Nebula-brannmuren din
VPN for ekstern tilgang: IPSec-klient
På samme måte som L2TP over IPSec-konfigurasjonen, skjer IPSec VPN-konfigurasjonen også i Remote Access VPN-menyen og starter med avkrysningsboksen IPSec VPN-server. De eneste obligatoriske feltene for å få VPN-et til å fungere er å fylle ut en hemmelighet (Preshared Key) og Client VPN subnet. Det eneste du bør tenke på, er å bruke et undernett som ennå ikke brukes noe annet sted. Det kan for eksempel være lurt å endre DNS-serverne eller angi autentisering til en lokal server, men dette er valgfritt. Knappen "Standard" ved siden av Policy åpner en meny der du kan angi IPSec-forslag. Standardverdiene er utformet for å gi IPSec-tilkoblingene dine høy sikkerhet. Du kan også aktivere tofaktorautentisering for klientene dine for å øke sikkerheten ytterligere ved hjelp av Google Authenticator.
Nettstedsomfattende -> Konfigurer -> Brannmur -> VPN for ekstern tilgang
Klientkonfigurasjon
Det er veldig enkelt å konfigurere klienten. Først oppretter vi IPSec-gatewayen og fyller ut detaljene i kategorien Autentisering, slik som i følgende eksempel, som tar hensyn til standardverdier for kryptografi:
I protokollfanen er det viktig å merke av for "Mode Config":
Nå er vi klare til å opprette en IPSec-tilkobling. Fyll ut adressen til målnettverket og ESP/PFS-parametrene, så er du klar til å koble til. Du kan også opprette flere nettverk og få tilgang til dem samtidig:
Det var det! Nå er du klar til å koble til eksternt. Husk at IPSec-klienten alltid kan eksportere konfigurasjonen når den er ferdig, slik at du enkelt kan distribuere den på flere enheter.
Se mer informasjon i denne artikkelen:
Nebula [VPN] - Slik konfigurerer du IKEv2 IPsec VPN
VPN fra sted til sted: Nebula-motparter
Det har aldri vært enklere å konfigurere et Site-to-Site VPN. Site-to-Site VPN-menyen starter med konfigurasjon av WAN-grensesnitt. Du kan velge ett enkelt WAN-grensesnitt som utgående eller la alternativet stå på auto for å sikre redundans. I så fall vil du bli spurt om hvilket grensesnitt som skal foretrekkes.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Konfigurasjonen fortsetter deretter til de lokale nettverkene, der lokale grensesnitt og eksterne VPN-tilkoblinger er tilgjengelige for å delta i site-to-site VPN-tilkoblingen.
I neste avsnitt kan du konfigurere avanserte innstillinger. Du kan for eksempel velge ønsket VPN-område for nettverket ditt - mindre nettverk kan nøye seg med ett standard VPN-område. Større eller mer omfattende VPN-strukturer kan kreve flere VPN-områder. Mer informasjon om VPN-områder og Nebula VPN Orchestrator finner du i det siste kapittelet.
Med NAT traversal-alternativet kan du tilpasse WAN-IP-adressen for VPN-et ditt. Dette er nyttig i situasjoner der flere IP-adresser rutes til WAN-porten, og du ønsker å bruke en spesifikk adresse for VPN.
Se mer informasjon i denne artikkelen:
Nebula VPN - Konfigurer sted-til-sted-VPN i Nebula mellom to Nebula-gatewayer.
VPN fra sted til sted: ikke-Nebula-motparter
Å legge til en ikke-Nebula-motpart krever naturligvis en konfigurasjon på Nebula Control Center og den frittstående enheten.
På Nebula-siden er det bare nødvendig å fylle ut litt informasjon om tilkoblingen, spesielt navnet som skal identifisere enheten, dens offentlige IP-adresse og et eksternt privat undernett som du har tenkt å koble til den forhåndsdelte nøkkelen. Du kan eventuelt redigere IPSec-policyen slik at den passer dine behov og angi hvilke nettsteder som skal få tilgang til denne ruteren. Vær oppmerksom på at egenskapen privat undernett ikke skal være en nettverksadresse, men en faktisk enhetsadresse som brukes til tilkoblingskontroll i CIDR-format - for eksempel den eksterne VPN-serveren.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Viktig!
Spesialtegn som -, +, ^, *, [, ], \, ", ? er ikke tillatt.
Dette vil bli endret i fremtiden.
I dette tilfellet må vi først opprette en VPN-gateway på siden av den eksterne ruteren, ATP200. Med følgende konfigurasjon kan du gjenbruke denne gatewayen for så mange motparter du ønsker. Med standard IPSec-forslag er det bare nødvendig å endre forhandlingsmodus til "Aggressive" og forhåndsdelt nøkkel.
Etter konfigurasjonen av VPN-gatewayen vil VPN-tilkoblingen endelig tillate oss å opprette forbindelsen mellom de to ruterne. Angi den lokale og eksterne policyen i henhold til nettverkstopologien din. Disse verdiene må samsvare med konfigurasjonen i Nebula. Hvis ikke vil forhandlingen mislykkes.
Når du har lagret VPN-tilkoblingen, skal forbindelsen mellom ruterne opprettes i løpet av noen få sekunder.
Se mer informasjon i denne artikkelen:
Nebula VPN - Konfigurere sted-til-sted-VPN til en ikke-Nebula-motstander
Nettsted-til-sted-VPN: VPN Orchestrator og avanserte konfigurasjoner
Nebula VPN Orchestrator er et kraftig verktøy som gjør det enkelt å konfigurere komplekse VPN-topologier. NCC-plattformen gir mulighet for abstrakt konfigurasjon uten å konfigurere individuelle VPN-tilkoblinger på hver gateway, og du kan sømløst endre topologien basert på dine nåværende behov med bare noen få klikk!
Nebula VPN-topologi forklart
Nebula Orchestrator kan inneholde flere VPN-områder. Hvert område kan ha enten Site-to-Site-topologi eller Hub-and-Spoke-topologi. I Site-to-Site-topologier kobles hver sikkerhetsgateway til alle andre gatewayer i VPN-området. I Hub-and-Spoke-topologier vil den eneste gatewayen som er utpekt som hub, koble seg til de andre gatewayene. Det er også mulig å ha ett eller flere Site-to-Site-områder og andre Hub-and-Spoke-områder.
Hvert område kan ha opptil fem knutepunkter, med mindre området inneholder en NSG - i så fall kan det bare være ett knutepunkt i et gitt område. Hvis huben har satt det utgående grensesnittet til "auto", vil alle WAN-tilkoblinger ringe VPN-tilkoblingene til Spoke-gatewayene samtidig.
For å kommunisere mellom områder kan du aktivere områdekommunikasjon for gatewayen. Område-til-område-områder må ha en utpekt områdeleder for at dette skal fungere. Områdelederne eller Hub-gatewayene vil ringe VPN-tunneler til andre områder og tillate kommunikasjon mellom AC-gatewayene.
Konfigurasjon
VPN Orchestrator-konfigurasjonen finner du i følgende meny:
Organization-wide > VPN Orchestrator
Den øverste delen av skjermbildet viser et kart med en aktuell visualisering av VPN-nettverket - inkludert feil på grunn av tap av forbindelse. Dette inkluderer også peer-tilkoblinger som ikke er fra Nebula - disse kan skilles ut med en stiplet linje.
I Smart VPN-menyen kan du velge det området du ønsker å konfigurere, eller opprette et nytt område og velge ønsket topologi.
Avhengig av hva du velger, kan det hende du må angi knutepunkter og eiker i samme meny. Uansett vil du kunne velge hvilke gatewayer som skal kobles til VPN, hvilke undernett på disse gatewayene som skal delta i VPN-tilkoblingene og konfigurere statusen for områdekommunikasjon for enheten.
Organization-wide -> Organization-wide manage -> VPN Orchastrator