Wirtualna Sieć Prywatna, w skrócie VPN, jest jedną z najczęściej używanych funkcji na naszych bramach bezpieczeństwa, a dzięki Nebula możesz skonfigurować VPN na swoim USG FLEX w kilka minut!
Streszczenie
Ten artykuł obejmie wszystkie typowe scenariusze VPN, zarówno VPN zdalnego dostępu, jak i Site-to-Site VPN (w tym VPN do urządzeń niebędących Nebula). Aby uzyskać dostęp do opcji konfiguracyjnych, zaloguj się do Nebula Control Center za pomocą swoich danych uwierzytelniających na https://nebula.zyxel.com/ i przejdź do następującego menu w zależności od rodzaju VPN, który chcesz utworzyć:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Spis treści
- VPN zdalnego dostępu: L2TP przez IPSec
- VPN zdalnego dostępu: klient IPSec
- Site-to-Site VPN: urządzenia Nebula
- Site-to-Site VPN: urządzenia niebędące Nebula
- Site-to-Site VPN: VPN Orchestrator i zaawansowane konfiguracje
VPN zdalnego dostępu: L2TP przez IPSec
Aby skonfigurować VPN L2TP przez IPSec, przejdź do menu VPN zdalnego dostępu i włącz opcję L2TP przez IPSec VPN. Jedynymi obowiązkowymi polami, aby Twoje VPN działało, jest wypełnienie sekretu (Preshared Key) oraz podsieci VPN klienta. Należy użyć podsieci, która nie jest jeszcze używana nigdzie indziej. Możesz również zmienić serwery DNS lub ustawić uwierzytelnianie na lokalnym serwerze, na przykład, ale jest to całkowicie opcjonalne. Przycisk „Default” obok Polityki otwiera menu, które pozwala ustawić propozycje IPSec. Domyślne wartości zostały zaprojektowane tak, aby były kompatybilne z większością systemów operacyjnych.
Site-wide -> Configure -> Firewall -> Remote Access VPNPo zapisaniu konfiguracji możesz skorzystać z funkcji skryptu provisioningu VPN – wypełnij listę odbiorców i kliknij przycisk „Send Mail”. Skrypt konfiguracyjny wraz z instrukcjami jego użycia zostanie wysłany na podane adresy.
Konfiguracja klienta – tryb skryptu provisioningu
Nebula Pro oferuje wygodny sposób konfiguracji klientów Windows lub macOS za pomocą skryptu provisioningu VPN. Skrypt ten może być wysłany bezpośrednio do użytkowników:
Po wysłaniu maila użytkownicy otrzymają wiadomość od info@nebula.zyxel.com, która zawiera skrypty provisioningu:
Jak sama nazwa wskazuje, plik .batfile jest przeznaczony dla Windows, natomiast plik .mobileconfig dla macOS. Ze względów bezpieczeństwa plik .batfile musi zostać przed uruchomieniem przemianowany na .bat. Proste dwukrotne kliknięcie skryptu utworzy połączenie VPN na Twoim systemie. Podczas pierwszego połączenia użytkownik musi podać swoje dane uwierzytelniające. Zostaną one zapisane po pierwszym pomyślnym połączeniu.
Konfiguracja klienta – tryb ręczny
Konfiguracja VPN ręcznie nie jest jednak trudna. W systemie Windows przejdź do Ustawienia > Sieć i Internet > VPN i kliknij Dodaj połączenie VPN.
Wypełnij formularz zgodnie z danymi uwierzytelniającymi dostarczonymi przez Nebula (możesz użyć adresu IP lub DDNS automatycznie wygenerowanego przez Nebula), i gotowe!
Więcej informacji znajdziesz w tym artykule:
Nebula CC – Konfiguracja L2TP dla Twojej zapory Nebula
VPN zdalnego dostępu: klient IPSec
Podobnie jak w przypadku konfiguracji L2TP przez IPSec, konfiguracja VPN IPSec odbywa się również w menu VPN zdalnego dostępu i zaczyna się od zaznaczenia pola serwera VPN IPSec. Jedynymi obowiązkowymi polami, aby Twoje VPN działało, jest wypełnienie sekretu (Preshared Key) oraz podsieci VPN klienta. Należy użyć podsieci, która nie jest jeszcze używana nigdzie indziej. Możesz również zmienić serwery DNS lub ustawić uwierzytelnianie na lokalnym serwerze, na przykład, ale jest to opcjonalne. Przycisk „Default” obok Polityki otwiera menu, które pozwala ustawić propozycje IPSec. Domyślne wartości zostały zaprojektowane tak, aby zapewnić wysokie bezpieczeństwo połączeń IPSec. Możesz także włączyć uwierzytelnianie dwuskładnikowe dla swoich klientów, aby jeszcze bardziej zwiększyć bezpieczeństwo za pomocą Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Konfiguracja klienta
Konfiguracja klienta jest bardzo prosta. Najpierw chcemy utworzyć bramę IPSec i wypełnić szczegóły na karcie Uwierzytelnianie, jak w poniższym przykładzie, który uwzględnia domyślne wartości kryptograficzne:
Na karcie Protokół ważne jest zaznaczenie pola „Mode Config”:
Teraz jesteśmy gotowi do utworzenia połączenia IPSec. Proszę wypełnić adres sieci docelowej, parametry ESP/PFS i możesz się łączyć. Możesz także utworzyć wiele sieci i uzyskać do nich dostęp jednocześnie:
To wszystko! Teraz możesz łączyć się zdalnie. Pamiętaj, że klient IPSec zawsze może wyeksportować konfigurację po jej zakończeniu, aby łatwo wdrożyć ją na wielu urządzeniach.
Więcej informacji znajdziesz w tym artykule:
Nebula [VPN] – Jak skonfigurować IKEv2 IPsec VPN
Site-to-Site VPN: urządzenia Nebula
Konfiguracja Site-to-Site VPN nigdy nie była łatwiejsza. Menu Site-to-Site VPN zaczyna się od konfiguracji interfejsu WAN. Możesz wybrać pojedynczy interfejs WAN jako wychodzący lub pozostawić opcję automatyczną, aby zapewnić redundancję. W takim przypadku zostaniesz poproszony o wskazanie preferowanego interfejsu.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfiguracja kontynuuje się do Twoich lokalnych sieci, gdzie dostępne są lokalne interfejsy i zdalne połączenia VPN, które mogą uczestniczyć w połączeniu Site-to-Site VPN.
W kolejnej sekcji możesz skonfigurować ustawienia zaawansowane. Na przykład możesz wybrać żądany obszar VPN dla swojej sieci – mniejsze sieci poradzą sobie z jednym domyślnym obszarem VPN. Większe lub bardziej rozbudowane struktury VPN mogą potrzebować użyć więcej obszarów VPN. Więcej informacji na temat obszaru VPN i Nebula VPN Orchestrator znajdziesz w ostatnim rozdziale.
Opcja NAT traversal pozwala dostosować adres IP WAN dla Twojego VPN. Jest to przydatne w sytuacjach, gdy do portu WAN jest routowanych wiele adresów IP i chcesz użyć konkretnego adresu dla VPN.
Site-to-Site VPN: urządzenia niebędące Nebula
Dodanie urządzenia niebędącego Nebula wymaga naturalnie konfiguracji zarówno po stronie Nebula Control Center, jak i samodzielnego urządzenia.
Po stronie Nebula należy wypełnić kilka informacji o połączeniu, w szczególności nazwę, która będzie identyfikować urządzenie, jego publiczny adres IP oraz zdalną prywatną podsieć, do której chcesz się połączyć, oraz klucz preshared. Opcjonalnie możesz edytować politykę IPSec, aby dostosować ją do swoich potrzeb i ustawić, które lokalizacje będą miały dostęp do tego routera. Pamiętaj, że właściwość prywatnej podsieci nie powinna być adresem sieci, lecz rzeczywistym adresem urządzenia używanym do celów sprawdzania połączenia w formacie CIDR – na przykład sam zdalny serwer VPN.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNWażne:
Znaki specjalne takie jak -, +, ^, *, [, ], \, ", ? nie są dozwolone.
W przyszłości ulegnie to zmianie.
W tym przypadku, po stronie zdalnego routera ATP200, najpierw musimy utworzyć bramę VPN. Poniższa konfiguracja pozwoli Ci używać tej bramy dla dowolnej liczby urządzeń. Przy domyślnej propozycji IPSec wystarczy zmienić tryb negocjacji na „Aggressive” i ustawić klucz preshared.
Po skonfigurowaniu bramy VPN, połączenie VPN pozwoli na ustanowienie połączenia między dwoma routerami. Ustaw lokalną i zdalną politykę zgodnie z topologią sieci. Te wartości muszą odpowiadać konfiguracji w Nebula. W przeciwnym razie negocjacja zakończy się niepowodzeniem.
Po zapisaniu połączenia VPN, połączenie między routerami powinno zostać ustanowione w ciągu kilku sekund.
Więcej informacji znajdziesz w tym artykule:
Nebula VPN – Konfiguracja Site-to-Site VPN do urządzenia niebędącego Nebula
Site-to-Site VPN: VPN Orchestrator i zaawansowane konfiguracje
Nebula VPN Orchestrator to potężne narzędzie, które pozwala łatwo konfigurować złożone topologie VPN. Platforma NCC umożliwia abstrakcyjną konfigurację bez konieczności konfigurowania poszczególnych połączeń VPN na każdej bramie i bezproblemową zmianę topologii w oparciu o aktualne potrzeby za pomocą zaledwie kilku kliknięć!
Nebula – wyjaśnienie topologii VPN
Nebula Orchestrator może zawierać wiele obszarów VPN. Każdy obszar może mieć topologię Site-to-Site lub Hub-and-Spoke. W topologiach Site-to-Site każda brama bezpieczeństwa łączy się z wszystkimi innymi bramami w obrębie obszaru VPN. W topologiach Hub-and-Spoke tylko brama wyznaczona jako Hub łączy się z innymi bramami. Możliwe jest także posiadanie jednego lub więcej obszarów Site-to-Site oraz innych obszarów Hub-and-Spoke.
Każdy obszar może mieć do pięciu Hubów, chyba że obszar zawiera NSG – w takim przypadku w danym obszarze może być tylko jeden Hub. Jeśli Hub ma ustawiony interfejs wychodzący na „auto”, wszystkie połączenia WAN będą jednocześnie nawiązywać połączenia VPN do bram Spoke.
Aby umożliwić komunikację między obszarami, możesz włączyć komunikację obszarową dla bramy. Obszary Site-to-Site muszą mieć wyznaczonego Lidera Obszaru, aby to działało. Liderzy Obszarów lub bramy Hub będą nawiązywać tunele VPN do innych obszarów i umożliwiać komunikację między bramami AC.
Konfiguracja
Konfigurację VPN Orchestrator znajdziesz w następującym menu:
Organization-wide > VPN OrchestratorGórna część ekranu pokazuje mapę z aktualną wizualizacją sieci VPN – w tym błędy spowodowane utratą połączenia. Obejmuje to także połączenia z urządzeniami niebędącymi Nebula – można je rozpoznać po przerywanej linii.
W menu Smart VPN możesz wybrać żądany obszar do konfiguracji lub utworzyć nowy i wybrać pożądaną topologię.
W zależności od wyboru może być konieczne wyznaczenie Hubów i Spoke w tym samym menu. W każdym przypadku będziesz mógł wybrać, które bramy będą łączyć się z VPN, które podsieci na tych bramach będą uczestniczyć w połączeniach VPN oraz skonfigurować status komunikacji obszarowej urządzenia.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.