Zyxel Nebula Remote Access VPN - Cum se configurează IKEv2 IPsec Remote Access VPN

Creat - Actualizat
Serhii Boiarynov
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notificare importantă:
Stimate client, vă rugăm să fiți conștient de faptul că folosim traducere automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. Dacă există întrebări sau discrepanțe cu privire la acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Original Version

Articolul oferă un ghid detaliat privind configurarea IKEv2 VPN în Nebula, inclusiv crearea utilizatorilor Nebula Cloud pentru accesul VPN și configurarea clientului SecuExtender. Acesta prezintă limitările IKEv2, cum ar fi lipsa suportului oficial pentru cheile prepartajate, și oferă instrucțiuni pas cu pas pentru activarea serverului IPsec VPN, configurarea subrețelelor VPN client și configurarea opțiunilor de autentificare, cum ar fi Nebula Cloud Authentication, Active Directory și autentificarea cu doi factori prin Google Authenticator. Articolul acoperă, de asemenea, crearea utilizatorilor VPN, trimiterea fișierelor de configurare și verificarea conexiunilor VPN, oferind sfaturi de depanare și setări suplimentare pentru o securitate sporită.

Acest articol vă va ajuta să înțelegeți ce puteți face cu VPN-ul IKEv2 în Nebula. Acesta explică cum să configurați IKEv2, să creați utilizatori Nebula Cloud pentru acces VPN și să configurați clientul SecuExtender.

Limitări IKEv2

Nebula nu acceptă în prezent în mod oficial utilizarea:

  • IKEv2 cu cheie prepartajată

Configurarea IKEv2 în Nebula

  • Activați "IPsec VPN server" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Activarea "serverului VPN IPsec"
  • Introduceți subrețeaua Client VPN (aceasta este subrețeaua pe care o vor primi clienții VPN și NU SE POATE suprapune cu nicio altă subrețea din organizația Nebula și nici cu subrețele VPN de la distanță (ar trebui scrisă ca xx.xx.xx.xx/xx "ex. 192.168.50.0/24")
  • Selectați versiunea IKEv2
  • Dacă este necesar, furnizați serverele de nume (servere DNS) pentru clienții VPN. Dacă utilizați servere DHCP/DNS interne, specificați serverul DNS intern și utilizați Google DNS (8.8.8.8) ca a doua intrare de server de nume. Această configurare ajută la prevenirea oricăror potențiale probleme DNS și de comunicare cu clienții VPN.
  • Nebula Autentificare cloud- o folosim în exemplul nostru. Daraveți opțiuni pentru autentificare. Puteți opta pentru Nebula Cloud Authentication, propriul dvs. server Active Directory sau RADIUS sau chiar să utilizați autentificarea cu doi factori prin intermediul aplicației Google Authenticator. Aceasta poate fi configurată prin activarea funcției "two-factor authentication with Captive Portal". Atunci când un utilizator se conectează la VPN, acesta va fi îndrumat să se conecteze cu Google Authenticator. De asemenea, aceștia se pot înscrie pentru autentificarea cu doi factori printr-un e-mail care include detaliile de conectare.
  • SecuExtender IKEv2 VPN configuration provision - Selectați e-mailul (e-mailurile) pe care doriți să le utilizați pentru a trimite fișierul de configurare VPN pentru SecuExtender IKEv2 VPN (puteți adăuga și elimina e-mailuri aici, care nu intră în vigoare până când nu apăsați "save").
  • Faceți clic pe "Save" (Salvare)

  • Următorul pas este să modificați "Policy", pentru a face acest lucru Faceți clic pe "Default" și configurați setările Phase 1 și Phase 2 după cum urmează (nu uitați să salvați setările făcând clic pe butonul "Save"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • După modificarea politicilor, nu uitați să salvați modificările făcând clic pe butonul "Save" (Salvare).

Notă: MacOS poate necesita o criptare și o autentificare mai ridicată, în cazul în care AES256 și SHA256 funcționează foarte bine în experiența noastră

Crearea utilizatorilor de cloud Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Faceți clic pe "Adaugă" un nou utilizator VPN
  • Completați "Email" care poate fi utilizat pentru trimiterea acreditărilor și, de asemenea, pentru autentificare (dacă este selectat).
  • Completați "Username" și "Password
  • VPN Access (Acces VPN ) - trebuie să fie activat pentru ca utilizatorul VPN să poată accesa VPN-ul și să se autentifice cu succes cu credențialele de utilizator
  • Authorized (Autorizat ) - selectați site-urile la care doriți să permiteți accesul
  • Login by - alegeți dacă utilizatorul se poate conecta la VPN / 802.1x cu numele de utilizator, adresa de e-mail sau folosind oricare dintre acestea
  • Two-Factor Auth. -bifați caseta dacă NU doriți ca autentificarea cu doi factori să fie setată pentru acest utilizator
  • Email to user - selectați dacă doriți să trimiteți acreditările prin e-mail utilizatorului
  • Notă: de fiecare dată când apăsați "save" (sau "create user) după modificări, utilizatorul va primi un e-mail. Prin urmare, dacă modificați setările pentru acel utilizator, ați putea dori să debifați caseta până când terminați de configurat utilizatorul

Setări suplimentare despre care este interesant să știți:

  • Dynamic Personal Pre-shared Key (caracteristică Professional Pack) este gestionarea dinamică a parolei pentru WiFi (nu VPN), care poate face ca utilizatorii și rețeaua dvs. VPN să fie mai sigure. Aceasta creează o parolă unică pentru fiecare utilizator, astfel încât un utilizator poate fi izolat mai ușor dacă este hackuit.
  • 802.1X - Pentru autentificarea în rețea (nu VPN), aceasta poate face ca utilizatorii să se autentifice folosind rețeaua cu 802.1x utilizând Nebula Cloud authentication.
  • Atribuire VLAN - Atribuirea VLAN este o caracteristică Professional Pack care configurează un VLAN static pentru utilizator atunci când intră în rețea.

Configurarea clientului SecuExtender

  • Trimiteți fișierul .tgb (configurare VPN) prin e-mail
Site-wide -Configure Firewall -> Remote access VPN
  • Trimiteți configurația VPN pe e-mail adăugând e-mailul dvs. (sau e-mailurile utilizatorilor) și apoi apăsați "Add new" (Adăugare nouă) dacă nu este prezent. Apoi faceți clic pe "Send email" și verificați-vă e-mailul (și folderul de spam)

  • Instalați fișierul .tgb în SecuExtender

mceclip4.png

  • Dacă nu reușiți să afișați pop-up-ul, vă rugăm să deschideți SecuExtender pe desktop astfel încât să vedeți clientul SecuExtender IPsec VPN (fereastra prezentată în imaginea de mai jos) și apoi deschideți din nou fișierul .tgb din e-mail


  • Verificarea conexiunii

După ce ați importat configurația în clientul VPN, vă rugăm să faceți dublu clic pe "RemoteAccessVPN", apoi introduceți "Login" și "Password" și faceți clic pe "OK"

  • Dacă întâmpinați unele probleme, vă rugăm să verificați de două ori setările pentru faza 1 și faza 2 din SecuExtender și să vă asigurați că aveți aceeași criptare și autentificare în setările Nebula IKEv2 VPN

  • Dezactivarea tunelării divizate

Dacă aveți probleme cu trecerea întregului trafic prin tunelul VPN (atât internet, cât și trafic VPN), vă rugăm să consultați acest articol:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verificarea conexiunii VPN

Odată ce conexiunea VPN este stabilită, puteți verifica conexiunea deschizând o fereastră prompt de comandă (sau PowerShell) și emițând următoarele comenzi.

  • ipconfig

Această comandă va furniza adresa IP pentru interfața VPN.

mceclip4.png

  • ping [remote_address]

Această comandă vă va permite să efectuați un test ping către un dispozitiv situat pe rețeaua LAN a gateway-urilor NebulaCC.

mceclip5.png

  • Pe NCC, ar trebui să puteți vedea acum jurnalele care arată că VPN-ul funcționează corect. În captura de ecran de mai jos, puteți vedea că solicitările Main Mode au ajuns la USG, faza 1 a putut fi stabilită cu succes, iar XAuth din Centrul de control Nebula funcționează bine.

mceclip0.png

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
0 din 0 au considerat acest conținut util
Partajare