Acest ghid va ajuta la configurarea clientului VPN Zyxel IPSec (versiunea 3.8.204.61.32) pentru conectivitate VPN cu caracteristica Nebula CC IPSec Remote Access VPN (C2S) folosind Nebula Securitate PRD_N_NSGS.

Cuprins

1. Prezentare generală
2. Dispozitive acceptate
3. Configurarea Centrului de control Nebula
4. Configurare client VPN (client VPN SecuExtender IPSEC)

Prezentare generală

Un VPN (rețea privată virtuală ) oferă o comunicare sigură între site-uri, fără cheltuiala liniilor închiriate. VPN-urile sunt folosite pentru a transporta în siguranță traficul prin internet al unei rețele nesigure care utilizează comunicații TCP/IP. Un VPN cu acces la distanță (de la client la site) permite angajaților care călătoresc sau lucrători la distanță, acces securizat la resursele rețelei companiei. Există mai multe tipuri de protocoale/tehnologii VPN care pot fi utilizate pentru a stabili o legătură securizată cu rețeaua companiei, L2TP, PPTP, SSL, OpenVPN etc. Acest ghid va face referire la protocolul IPSec pentru a stabili un tunel VPN securizat între gazdele externe ( utilizatorii conectați la internet în afara structurii rețelei companiei) și gateway-ul NebulaCC. Este necesar un software IPSec terță parte pentru a stabili conexiunea VPN, deoarece sistemele de operare actuale nu au un client IPSec încorporat. Această explicație vă va ajuta să configurați configurarea VPN pe clientul VPN IPSec (versiunea 3.8.204.61.32).

Dispozitive acceptate

Seria NSG (50/100/200/300)
Seria USG FLEX (100/100W/200/500/700)

Configurare Nebula CC VPN

Notă: În Centrul de control Nebula, există o cerință ca trebuie să existe o bază de date a utilizatorilor în fundal pentru care se autentifică IPSec-Client. Pentru ca aceasta să funcționeze, va trebui să setăm în client „X-Auth” și „Config Mode”.

Faceți clic în noua interfață de utilizator Nebula CC și accesați:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Specificați serverul Client VPN ca client IPSec. Dacă NSG/USG FLEX se află în spatele gateway-ului NAT, va trebui să tastați NAT traversal.

Creați un cont de client VPN pentru autentificare. Tipul este Nebula Cloud Autentificare. Asigurați-vă că ați creat un utilizator în submeniul respectiv

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Configurare client VPN Zyxel

Cea mai recentă versiune a clientului VPN Zyxel IPSec poate fi descărcată de la aici . Odată ce clientul a fost instalat, lansați programul și deschideți Panoul de configurare . Faceți clic pe folderul „IKE V1” de sub Configurare VPN , odată ce folderul este selectat, apăsați tastele „Ctrl + N” de pe tastatură pentru a adăuga o regulă „Ikev1Gateway”. Faceți următoarele modificări la regulă:

1. Telecomanda Gateway
   
   • Interfață – Selectați interfața pe care computerul o va folosi pentru a stabili conexiunea VPN. Setați acest lucru la Orice dacă clientului VPN i se va permite să utilizeze orice conexiune disponibilă pe computer.
   • Remote Gateway – Introduceți FQDN/DDNS/IP al gateway-ului NebulaCC la care vă veți conecta.
2. Autentificare
   
   • Selectați opțiunea „Cheie predistribuită”.
   • Introduceți cheia partajată în prealabil utilizată în configurația NebulaCC IPSec și „Confirmați” cheia.
3. X-Auth
   
   • Activare – Această casetă trebuie bifată.
   • Popup X-Auth – Această casetă ar trebui bifată numai dacă doriți să vi se solicite numele de utilizator și parola la conectare
     • Conectare – Furnizați numele de utilizator al contului VPN NebulaCC. Numai dacă „X-Auth Popup” este debifat.
     • Parolă – Furnizați parola contului VPN NebulaCC. Numai dacă „X-Auth Popup” este debifat.
4. Criptografie (exemplu de configurare)
   • Criptare – Selectați AES256 din meniul drop-down.
   • Autentificare – Selectați SHA-256 din meniul drop-down.
   • Grup de taste – Selectați DH14 (1024) din meniul drop-down.

Din „Ikev1Gateway” faceți clic pe Protocol fila și faceți următoarea modificare:

Activați Configurare mod opțiune.
În timp ce „Ikev1Gateway” este evidențiat, apăsați din nou tastele „Ctrl + N” de pe tastatură pentru a adăuga porțiunea „Ikev1Tunnel” a conexiunii. Efectuați următoarele modificări:

1. Abordare
   
   • Adresa clientului VPN - Lăsați această opțiune așa cum este. (0.0.0.0 implicit)
   • Tip adresă – Selectați Adresa de subrețea din meniul drop-down.
   • Adresă LAN de la distanță – Introduceți schema IP LAN locală NebulaCC.
   • Masca de subrețea – Tastați în masca de subrețea locală LAN NebulaCC.
2. ESP
   
   • Criptare – Selectați AES256 din meniul drop-down.
   • Autentificare – Selectați SHA-256 din meniul drop-down.
   • Mod – Selectați Tunel din meniul drop-down.
3. PFS
   
   • Lăsați această opțiune nebifată.
4. Durata de viață
   
   • Durata de viață este perioada de timp, în secunde, înainte ca clientul să renegocieze algoritmii.

După ce au fost făcute toate setările, faceți clic pe Configurare opțiunea din bara de instrumente și selectați Salvați . Acest lucru va salva toate modificările făcute clientului.

Pentru a stabili conexiunea VPN la gateway-ul NebulaCC, faceți clic dreapta pe opțiunea „Ikev1Tunnel” și selectați Deschide tunelul sau apăsați (Ctrl + O) de pe tastatură.

Verificare

Odată ce conexiunea VPN este stabilită, puteți verifica conexiunea deschizând o fereastră de prompt de comandă (sau PowerShell) și lansând următoarele comenzi.

• ipconfig
  Această comandă va furniza adresa IP pentru interfața VPN.
  
• ping [adresă_la distanță]
  Această comandă vă va permite să executați un test ping pe un dispozitiv situat în rețeaua LAN a gateway-urilor NebulaCC.
  

Pe NCC, ar trebui să puteți vedea acum jurnalele care arată că VPN-ul funcționează corect. În captura de ecran de mai jos puteți vedea că solicitările Modului principal au ajuns la USG, Faza 1 a putut fi stabilită cu succes și XAuth din Centrul de control Nebula funcționează bine.