Nebula [VPN] - Przegląd wirtualnej sieci prywatnej (VPN)

Wirtualna sieć prywatna, w skrócie VPN, jest jedną z najczęściej używanych funkcji naszych bram bezpieczeństwa, a dzięki Nebula możesz skonfigurować VPN na swoim USG FLEX w kilka minut!

Streszczenie

Ten artykuł obejmie wszystkie typowe scenariusze VPN, czy to VPN zdalnego dostępu, czy VPN między witrynami (w tym VPN do urządzeń równorzędnych innych niż Nebula). Aby uzyskać dostęp do opcji konfiguracji, zaloguj się do Nebula Control Center przy użyciu swoich poświadczeń na stronie https://nebula.zyxel.com/ i przejdź do następującego menu w zależności od typu sieci VPN, którą chcesz utworzyć:

Spis treści

1. Sieć VPN dostępu zdalnego: L2TP przez IPSec
2. Sieć VPN dostępu zdalnego: klient IPSec
3. Site-to-Site VPN: urządzenia równorzędne Nebula
4. Site-to-Site VPN: urządzenia równorzędne inne niż Nebula
5. Site-to-Site VPN: VPN Orchestrator i zaawansowane konfiguracje

Zdalny dostęp VPN: L2TP przez IPSec

Aby skonfigurować L2TP over IPSec VPN, przejdź do menu Remote access VPN i włącz opcję L2TP over IPSec VPN. Jedynymi obowiązkowymi polami, aby sieć VPN działała, jest wypełnienie tajnego klucza (Preshared Key) i podsieci VPN klienta. Wystarczy rozważyć użycie podsieci, która nie jest jeszcze używana nigdzie indziej. Możesz na przykład zmienić serwery DNS lub ustawić uwierzytelnianie na serwer lokalny, ale jest to całkowicie opcjonalne. Przycisk "Domyślne" obok opcji Zasady otwiera menu umożliwiające ustawienie propozycji IPSec. Wartości domyślne są zaprojektowane tak, aby były kompatybilne z większością systemów operacyjnych.

Po zapisaniu konfiguracji możesz skorzystać z funkcji skryptu udostępniania VPN - wypełnij listę odbiorców i kliknij przycisk "Wyślij pocztę". Na podane adresy zostanie wysłany skrypt konfiguracyjny z instrukcjami, jak z niego korzystać.

Konfiguracja klienta - tryb udostępniania skryptu

Nebula Pro oferuje wygodny sposób konfiguracji klientów Windows lub macOS za pomocą skryptu udostępniania VPN. Można go wysłać bezpośrednio do użytkowników:

Po wysłaniu maila, użytkownicy otrzymają maila od info@nebula.zyxel.com, który zawiera skrypty provisioningowe:

Jak sugeruje ich nazwa, plik .batfile jest przeznaczony dla systemu Windows, podczas gdy plik .mobileconfig jest przeznaczony dla systemu macOS. Ze względu na ograniczenia bezpieczeństwa, plik .batfile musi zostać przemianowany na .bat przed wykonaniem. Dwukrotne kliknięcie skryptu spowoduje utworzenie połączenia VPN w systemie. Podczas pierwszego połączenia użytkownik musi podać swoje dane uwierzytelniające. Zostaną one zapisane po pierwszym udanym połączeniu.

Konfiguracja klienta - tryb ręczny

Ręczna konfiguracja VPN nie jest jednak trudnym zadaniem. W systemie Windows przejdź do Ustawienia > Sieć i Internet > VPN i kliknij Dodaj połączenie VPN.

Wypełnij formularz zgodnie z poświadczeniami dostarczonymi przez Nebulę (możesz użyć adresu IP lub DDNS automatycznie wygenerowanego przez Nebulę) i wszystko gotowe!

Więcej informacji można znaleźć w tym artykule:

Nebula CC - Konfiguracja L2TP dla zapory sieciowej Nebula

Zdalny dostęp VPN: klient IPSec

Podobnie jak w przypadku konfiguracji L2TP przez IPSec, konfiguracja IPSec VPN również odbywa się w menu Remote Access VPN i rozpoczyna się od zaznaczenia pola wyboru IPSec VPN server. Jedynymi obowiązkowymi polami do uruchomienia sieci VPN jest wypełnienie tajnego klucza (Preshared Key) i podsieci VPN klienta. Jedyną rzeczą do rozważenia jest użycie podsieci, która nie jest jeszcze używana nigdzie indziej. Możesz na przykład zmienić serwery DNS lub ustawić uwierzytelnianie na serwerze lokalnym, ale jest to opcjonalne. Przycisk "Domyślne" obok opcji Zasady otwiera menu umożliwiające ustawienie propozycji IPSec. Wartości domyślne mają na celu zapewnienie wysokiego poziomu bezpieczeństwa połączeń IPSec. Możesz także włączyć uwierzytelnianie dwuskładnikowe dla swoich klientów, aby jeszcze bardziej zwiększyć bezpieczeństwo przez Google authenticator.

Cała witryna -> Konfiguruj -> Zapora -> Dostęp zdalny VPN

Konfiguracja klienta

Konfiguracja klienta jest bardzo prosta. Najpierw chcemy utworzyć bramę IPSec i wypełnić szczegóły na karcie Uwierzytelnianie, tak jak w poniższym przykładzie, który uwzględnia domyślne wartości kryptografii:

W zakładce Protocol ważne jest, aby zaznaczyć pole "Mode Config":

Teraz jesteśmy gotowi do utworzenia połączenia IPSec. Wypełnij adres sieci docelowej, parametry ESP/PFS i jesteś gotowy do połączenia. Można również utworzyć wiele sieci i uzyskać do nich dostęp jednocześnie:

To wszystko! Teraz możesz łączyć się zdalnie. Pamiętaj, że klient IPSec zawsze może wyeksportować konfigurację po jej zakończeniu, aby łatwo wdrożyć ją na wielu urządzeniach.

Więcej informacji można znaleźć w tym artykule:

Nebula [VPN] - Jak skonfigurować IKEv2 IPsec VPN

Site-to-Site VPN: sieci równorzędne Nebula

Konfiguracja sieci VPN typu Site-to-Site nigdy nie była łatwiejsza. Menu Site-to-Site VPN rozpoczyna się od konfiguracji interfejsu WAN. Możesz wybrać pojedynczy interfejs WAN jako wychodzący lub pozostawić tę opcję jako automatyczną, aby zapewnić redundancję. W takim przypadku zostaniesz zapytany, który interfejs powinien być preferowany.

Konfiguracja jest następnie kontynuowana w sieciach lokalnych, gdzie interfejsy lokalne i zdalne połączenia VPN są dostępne do udziału w połączeniu VPN między lokalizacjami.

W następnej sekcji można skonfigurować ustawienia zaawansowane. Na przykład, możesz wybrać żądany obszar VPN dla swojej sieci - mniejsze sieci będą w porządku z tylko jednym domyślnym obszarem VPN. Większe lub po prostu bardziej rozbudowane struktury VPN mogą wymagać użycia większej liczby obszarów VPN. Więcej informacji na temat obszaru VPN i Nebula VPN Orchestrator można znaleźć w ostatnim rozdziale.

Opcja NAT traversal umożliwia dostosowanie adresu IP WAN dla sieci VPN. Jest to przydatne w sytuacjach, w których wiele adresów IP jest kierowanych do portu WAN i chcesz użyć określonego adresu dla VPN.

Więcej informacji można znaleźć w tym artykule:

Nebula VPN - Konfiguracja VPN Site-to-Site w Nebula między dwoma bramami Nebula.

Site-to-Site VPN: urządzenia równorzędne inne niż Nebula

Dodanie urządzenia równorzędnego spoza Nebula wymaga oczywiście konfiguracji w Nebula Control Center i urządzeniu autonomicznym.

Po stronie Nebula wymagane jest jedynie wypełnienie niektórych informacji o połączeniu, w szczególności nazwy, która będzie identyfikować urządzenie, jego publicznego adresu IP i zdalnej prywatnej podsieci, którą zamierzasz połączyć z kluczem wstępnym. Opcjonalnie możesz edytować zasady IPSec, aby dostosować je do swoich potrzeb i ustawić, które witryny będą miały dostęp do tego routera. Należy pamiętać, że właściwość podsieci prywatnej nie powinna być adresem sieciowym, ale faktycznym adresem urządzenia używanym do sprawdzania połączenia w formacie CIDR - na przykład samego zdalnego serwera VPN.

Ważne:
Znaki specjalne takie jak -, +, ^, *, [, ], \, ", ? nie są dozwolone.
Zostanie to zmienione w przyszłości.

W tym przypadku, po stronie zdalnego routera, ATP200, będziemy musieli najpierw utworzyć bramę VPN. Poniższa konfiguracja pozwoli na ponowne użycie tej bramy dla dowolnej liczby urządzeń równorzędnych. W przypadku domyślnej propozycji IPSec konieczna jest jedynie zmiana trybu negocjacji na "Aggressive" i klucza wstępnego.

Po skonfigurowaniu bramy VPN połączenie VPN pozwoli nam w końcu nawiązać połączenie między dwoma routerami. Należy ustawić lokalną i zdalną politykę zgodnie z topologią sieci. Wartości te muszą być zgodne z konfiguracją w Nebula. W przeciwnym razie negocjacja zakończy się niepowodzeniem.

Po zapisaniu połączenia VPN połączenie między routerami powinno zostać nawiązane w ciągu kilku sekund.

Więcej informacji można znaleźć w tym artykule:

Nebula VPN - Konfiguracja VPN typu Site-to-Site do serwera innego niż Nebula-Peer

Site-to-Site VPN: VPN Orchestrator i zaawansowane konfiguracje

Nebula VPN Orchestrator to potężne narzędzie, które pozwala z łatwością konfigurować złożone topologie VPN. Platforma NCC pozwala na abstrakcyjną konfigurację bez konfigurowania indywidualnych połączeń VPN na każdej bramie i płynną zmianę topologii w oparciu o bieżące wymagania za pomocą zaledwie kilku kliknięć!

Wyjaśnienie topologii Nebula VPN

Nebula Orchestrator może zawierać wiele obszarów VPN. Każdy obszar może mieć topologię Site-to-Site lub Hub-and-Spoke. W topologii Site-to-Site każda brama bezpieczeństwa łączy się ze wszystkimi innymi bramami w obszarze VPN. W topologii Hub-and-Spoke jedyna brama wyznaczona jako Hub łączy się z innymi bramami. Możliwe jest również posiadanie jednego lub więcej obszarów Site-to-Site i innych obszarów Hub-and-Spoke.

Każdy obszar może mieć do pięciu koncentratorów, chyba że obszar zawiera NSG - w takim przypadku tylko jeden koncentrator może znajdować się w danym obszarze. Jeśli koncentrator ma ustawiony interfejs wychodzący na "auto", wszystkie połączenia WAN będą jednocześnie wybierać połączenia VPN do bram Spoke.

Aby komunikować się między obszarami, można włączyć komunikację obszarową dla bramy. Obszary Site-to-Site muszą mieć wyznaczonego lidera obszaru, aby to działało. Liderzy obszaru lub bramy koncentratora będą wybierać tunele VPN do innych obszarów i umożliwiać komunikację między bramami AC.

Konfiguracja

Konfiguracja VPN Orchestrator znajduje się w następującym menu:

Górna część ekranu pokazuje mapę z aktualną wizualizacją sieci VPN - w tym błędy spowodowane utratą połączenia. Obejmuje to również połączenia peer inne niż nebula - można je odróżnić przerywaną linią.

W menu Smart VPN możesz wybrać żądany obszar, który chcesz skonfigurować lub utworzyć nowy i wybrać żądaną topologię.

W zależności od dokonanego wyboru może być konieczne wyznaczenie koncentratorów i rozgałęzień w tym samym menu. Ale w każdym przypadku będziesz mógł wybrać, które bramy będą łączyć się z VPN, które podsieci na tych bramach będą uczestniczyć w połączeniach VPN i skonfigurować stan komunikacji obszarowej urządzenia.