Ten przewodnik pomoże w konfiguracji klienta Zyxel IPSec VPN (wersja 3.8.204.61.32) do połączenia VPN z funkcją Nebula CC IPSec Remote Access VPN (C2S) przy użyciu Nebula Zabezpieczenia Gateway (NSG).

Spis treści

1. Przegląd
2. Wspierane urządzenia
3. Konfiguracja centrum sterowania Nebula
4. Konfiguracja klienta VPN (klient SecuExtender IPSEC VPN)

Przegląd

VPN ( wirtualna sieć prywatna ) zapewnia bezpieczną komunikację między lokalizacjami bez kosztów dzierżawionych łączy. Sieci VPN służą do bezpiecznego przesyłania ruchu przez Internet w niezabezpieczonej sieci korzystającej z komunikacji TCP/IP. Zdalny dostęp VPN (klient-lokacja) umożliwia pracownikom podróżującym lub telepracownikom bezpieczny dostęp do zasobów sieciowych firmy. Istnieje wiele typów protokołów/technologii VPN, których można użyć do ustanowienia bezpiecznego łącza do sieci firmowej, L2TP, PPTP, SSL, OpenVPN itp. W tym przewodniku będzie mowa o protokole IPSec w celu ustanowienia bezpiecznego tunelu VPN między hostami zewnętrznymi ( użytkowników podłączonych do Internetu poza strukturą sieci firmowej) oraz bramki NebulaCC. Do nawiązania połączenia VPN wymagane jest oprogramowanie IPSec innej firmy, ponieważ obecne systemy operacyjne nie mają wbudowanego klienta IPSec. Ten przewodnik pomoże skonfigurować konfigurację VPN na kliencie IPSec VPN (wersja 3.8.204.61.32).

Wspierane urządzenia

Seria NSG (50/100/200/300)
Seria USG FLEX (100/100W/200/500/700)

Konfiguracja Nebula CC VPN

Uwaga: w Centrum sterowania Nebula istnieje wymóg, aby w tle istniała baza danych użytkowników z uwierzytelnianym klientem IPSec. Aby to zadziałało, będziemy musieli w kliencie skonfigurować „X-Auth” i „Config Mode”.

Kliknij nowy interfejs użytkownika Nebula CC i przejdź do:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Określ serwer Client VPN jako klienta IPSec. Jeśli Twoja NSG/USG FLEX znajduje się za bramą NAT, musisz wpisać translację NAT.

Utwórz konto klienta VPN w celu uwierzytelnienia. Typ to Nebula Cloud Uwierzytelnianie. Pamiętaj, aby utworzyć użytkownika w odpowiednim podmenu

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Konfiguracja klienta Zyxel VPN

Najnowszą wersję klienta Zyxel IPSec VPN można pobrać ze strony tutaj . Po zainstalowaniu klienta uruchom program i otwórz plik Panel konfiguracji . Kliknij folder „IKE V1” pod Konfiguracja VPN , po wybraniu folderu naciśnij klawisze „Ctrl + N” na klawiaturze, aby dodać regułę „Ikev1Gateway”. Wprowadź następujące zmiany w regule:

1. Zdalny Gateway
   
   • Interfejs — wybierz interfejs, którego komputer będzie używał do nawiązywania połączenia VPN. Ustaw to na Każdy czy klient VPN będzie mógł korzystać z dowolnego połączenia dostępnego na komputerze.
   • Zdalny Gateway — wpisz nazwę FQDN/DDNS/IP bramy NebulaCC, z którą będziesz się łączyć.
2. Uwierzytelnianie
   
   • Wybierz opcję „Klucz wstępny”.
   • Wpisz klucz wstępny używany w konfiguracji NebulaCC IPSec i „Potwierdź” klucz.
3. X-Auth
   
   • Włącz – to pole powinno być zaznaczone.
   • Wyskakujące okienko X-Auth — to pole należy zaznaczyć tylko wtedy, gdy podczas łączenia chcesz być proszony o podanie nazwy użytkownika i hasła
     • Logowanie — Podaj nazwę użytkownika konta VPN NebulaCC. Tylko jeśli opcja „X-Auth Popup” nie jest zaznaczona.
     • Hasło — Podaj hasło do konta VPN NebulaCC. Tylko jeśli opcja „X-Auth Popup” nie jest zaznaczona.
4. Kryptografia (przykładowa konfiguracja)
   • Szyfrowanie — wybierz AES256 z listy rozwijanej.
   • Uwierzytelnianie – Wybierz SHA-256 z listy rozwijanej.
   • Grupa kluczy – Wybierz DH14 (1024) z listy rozwijanej.

W „Ikev1Gateway” kliknij na Protokół kartę i wprowadź następującą zmianę:

Włącz Konfiguracja trybu opcja.
Gdy podświetlony jest „Ikev1Gateway”, naciśnij ponownie klawisze „Ctrl + N” na klawiaturze, aby dodać część połączenia „Ikev1Tunnel”. Wprowadź następujące zmiany:

1. Adres zamieszkania
   
   • Adres klienta VPN — pozostaw tę opcję bez zmian. (domyślnie 0.0.0.0)
   • Typ adresu — Wybierz Adres podsieci z listy rozwijanej.
   • Adres zdalnej sieci LAN — wpisz schemat adresu IP lokalnej sieci LAN NebulaCC.
   • Maska podsieci – wpisz NebulaCC maska podsieci lokalnej sieci LAN.
2. ESP
   
   • Szyfrowanie — wybierz AES256 z listy rozwijanej.
   • Uwierzytelnianie – Wybierz SHA-256 z listy rozwijanej.
   • Tryb – Wybierz Tunel z listy rozwijanej.
3. PFS
   
   • Pozostaw tę opcję niezaznaczoną.
4. Dożywotni
   
   • Czas życia to czas w sekundach, zanim klient ponownie negocjuje algorytmy.

Po wprowadzeniu wszystkich ustawień kliknij przycisk Konfiguracja opcję na pasku narzędzi i wybierz Zapisz . Spowoduje to zapisanie wszystkich zmian wprowadzonych w kliencie.

Aby nawiązać połączenie VPN z bramką NebulaCC, kliknij prawym przyciskiem myszy opcję „Ikev1Tunnel” i wybierz Otwarty tunel lub naciśnij (Ctrl + O) na klawiaturze.

Weryfikacja

Po nawiązaniu połączenia VPN możesz zweryfikować połączenie, otwierając okna wiersza polecenia (lub PowerShell) i wydając następujące polecenia.

• ipconfig
  To polecenie zapewni adres IP dla interfejsu VPN.
  
• ping [adres_zdalny]
  To polecenie pozwoli ci uruchomić test ping do urządzenia znajdującego się w sieci LAN bramek NebulaCC.
  

Na NCC powinieneś być teraz w stanie zobaczyć dzienniki, które pokazują, że VPN działa poprawnie. Na poniższym zrzucie ekranu widać, że żądania trybu głównego dotarły do USG, faza 1 mogła zostać pomyślnie ustanowiona, a XAuth w centrum sterowania Nebula działa dobrze.