Nebula [VPN] - Prezentare generală a rețelei private virtuale (VPN)

Rețeaua privată virtuală, sau VPN pe scurt, este una dintre cele mai frecvent utilizate funcții de pe gateway-urile noastre de securitate, iar cu Nebula, puteți configura VPN pe USG FLEX în câteva minute!

Sinopsis

Acest articol va acoperi toate scenariile obișnuite de VPN, fie că este vorba de VPN de acces la distanță sau VPN de la un site la altul (inclusiv VPN către omologi care nu sunt de la Nebula). Pentru a accesa opțiunile de configurare, vă rugăm să vă conectați la Nebula Control Center utilizând acreditările dvs. la adresa https://nebula.zyxel.com/ și să navigați în următorul meniu, în funcție de tipul de VPN pe care doriți să îl creați:

USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN

Table of Contents

1. VPN de acces la distanță: L2TP peste IPSec
2. VPN de acces la distanță: client IPSec
3. VPN de la un site la altul: Peers Nebula
4. Site-to-Site VPN: omologi non-Nebula
5. Site-to-Site VPN: VPN Orchestrator și configurații avansate

VPN de acces la distanță: L2TP peste IPSec

Pentru a configura L2TP over IPSec VPN, navigați în meniul Remote access VPN și activați opțiunea L2TP over IPSec VPN. Singurele câmpuri obligatorii pentru ca VPN-ul să funcționeze sunt completarea secretului (Preshared Key) și a subrețelei Client VPN. Trebuie doar să aveți în vedere utilizarea unei subrețele care nu este încă utilizată în altă parte. Este posibil să doriți să schimbați serverele DNS sau să setați autentificarea pe un server local, de exemplu, dar acest lucru este complet opțional. Butonul "Default" (Implicit) de lângă Policy (Politică) deschide un meniu care vă permite să setați propunerile IPSec. Valorile implicite sunt concepute pentru a fi compatibile cu majoritatea sistemelor de operare.

După ce ați salvat configurația, puteți profita de funcția de script de furnizare VPN - completați o listă de destinatari și faceți clic pe butonul "Send Mail" (Trimitere e-mail). Scriptul de configurare cu instrucțiuni de utilizare va fi trimis la adresele furnizate.

Configurarea clientului - Modul script de furnizare

Nebula Pro oferă o modalitate convenabilă de a configura clienții Windows sau macOS utilizând un script de provizionare VPN. Acesta poate fi trimis direct către utilizatori:

Odată ce e-mailul este trimis, utilizatorii vor primi un e-mail de la info@nebula.zyxel.com care conține scripturile de provizionare:

După cum sugerează și numele lor, fișierul .batfile este destinat pentru Windows, în timp ce fișierul .mobileconfig este destinat pentru macOS. Din cauza restricțiilor de securitate, fișierul .batfile trebuie redenumit în .bat înainte de a fi executat. Prin simpla apăsare dublă a scriptului se va crea o conexiune VPN pe sistemul dumneavoastră. În timpul primei conexiuni, utilizatorul trebuie să își furnizeze acreditările. Acestea vor fi salvate după prima conexiune reușită.

Configurarea clientului - Mod manual

Cu toate acestea, configurarea manuală a VPN-ului nu este o sarcină dificilă. Pe Windows, navigați la Settings > Network & Internet > VPN și faceți clic pe Add VPN Connection (Adăugare conexiune VPN).

Completați formularul în conformitate cu acreditările furnizate de Nebula (Puteți utiliza fie adresa IP, fie DDNS generat automat de Nebula) și sunteți gata!

Vedeți mai multe informații în acest articol:

Nebula CC - Configurați L2TP pentru Firewall-ul Nebula

Acces la distanță VPN: client IPSec

În mod similar cu configurarea L2TP prin IPSec, configurarea VPN IPSec are loc tot în meniul Remote Access VPN și începe cu caseta de selectare IPSec VPN server. Singurele câmpuri obligatorii pentru ca VPN-ul să funcționeze sunt completarea unui secret (Preshared Key) și a subnetului Client VPN. Singurul lucru de care trebuie să țineți cont este să folosiți o subrețea care nu este încă folosită în altă parte. Este posibil să doriți să schimbați serverele DNS sau să setați autentificarea pe un server local, de exemplu, dar acest lucru este opțional. Butonul "Default" (Implicit) de lângă Policy (Politică) deschide un meniu care vă permite să setați propunerile IPSec. Valorile implicite sunt concepute pentru a oferi o securitate ridicată conexiunilor IPSec. Puteți, de asemenea, să activați autentificarea cu doi factori pentru clienții dvs. pentru a spori și mai mult securitatea prin Google authenticator.

Site-wide -> Configure -> Firewall -> Remote access VPN

Configurație client

Configurarea clientului este foarte simplă. În primul rând, dorim să creăm IPSec Gateway și să completăm detaliile din fila Authentication, ca în exemplul următor, care ia în considerare valorile implicite ale criptografiei:

În fila Protocol, este important să se selecteze caseta "Mode Config":

Acum suntem gata să creăm o conexiune IPSec. Vă rugăm să completați adresa rețelei țintă, parametrii ESP/PFS și sunteți gata de conectare. Puteți, de asemenea, să creați mai multe rețele și să le accesați simultan:

Asta este! Acum sunteți gata să vă conectați de la distanță. Nu uitați că clientul IPSec poate oricând să exporte configurația după ce a terminat pentru a o implementa cu ușurință pe mai multe dispozitive.

Vedeți mai multe informații în acest articol:

Nebula [VPN] - Cum se configurează VPN IPsec IKEv2

VPN de la un site la altul: Peers Nebula

Configurarea unui VPN Site-to-Site nu a fost niciodată mai ușoară. Meniul Site-to-Site VPN începe cu configurarea interfeței WAN. Puteți alege o singură interfață WAN ca fiind de ieșire sau puteți lăsa opțiunea ca fiind automată pentru a asigura redundanța. În acest caz, veți fi întrebat ce interfață ar trebui să fie preferată.

Configurarea continuă apoi cu rețelele locale, unde interfețele locale și conexiunile VPN la distanță sunt disponibile pentru a participa la conexiunea VPN de la site la site.

În secțiunea următoare, puteți configura setările avansate. De exemplu, puteți selecta Zona VPN dorită pentru rețeaua dvs. - rețelele mai mici se vor descurca bine cu o singură zonă VPN implicită. Este posibil ca structurile VPN mai mari sau pur și simplu mai elaborate să necesite utilizarea mai multor zone VPN. Mai multe informații referitoare la Zona VPN și Nebula VPN Orchestrator pot fi găsite în ultimul capitol.

Opțiunea NAT traversal vă permite să personalizați adresa IP WAN pentru VPN. Acest lucru este util în situațiile în care mai multe IP-uri sunt direcționate către portul WAN și doriți să utilizați o adresă specifică pentru VPN.

Vedeți mai multe informații în acest articol:

Nebula VPN - Configurarea VPN Site-to-Site în Nebula între două gateway-uri Nebula

Site-to-Site VPN: omologi non-Nebula

Adăugarea unui peer non-Nebula necesită, în mod natural, o configurare pe Nebula Control Center și pe dispozitivul independent.

Pe partea Nebula, este necesară doar completarea câtorva informații despre conexiune, în special numele care va identifica dispozitivul, adresa IP publică a acestuia și o subrețea privată la distanță pe care intenționați să o conectați la cheia prehared. Opțional, puteți edita politica IPSec pentru a se adapta nevoilor dumneavoastră și a stabili ce site-uri vor accesa acest router. Rețineți că proprietatea subnetului privat nu trebuie să fie o adresă de rețea, ci o adresă reală a dispozitivului utilizată în scopul verificării conexiunii în format CIDR - de exemplu, serverul VPN la distanță însuși.

Important:
Caracterele speciale precum -, +, ^, *, [, ], \, ", ? nu sunt permise.
Acest lucru se va schimba în viitor.

În acest caz, pe partea routerului la distanță, ATP200, va trebui să creăm mai întâi un gateway VPN. Următoarea configurație vă va permite să reutilizați acest gateway pentru oricâți colegi doriți. Cu propunerea IPSec implicită, este necesară doar modificarea modului de negociere la "Aggressive" și a cheii precompartajate.

După configurarea gateway-ului VPN, conexiunea VPN ne va permite în cele din urmă să stabilim conexiunea între cele două routere. Vă rugăm să setați politica locală și cea la distanță în funcție de topologia rețelei dvs. Aceste valori trebuie să corespundă cu configurația din Nebula. În caz contrar, negocierea va eșua.

După salvarea conexiunii VPN, conexiunea dintre routere ar trebui să fie stabilită în câteva secunde.

Vedeți mai multe informații în acest articol:

Nebula VPN - Configurarea VPN Site-to-Site către un partener care nu este Nebula-Peer

Site-to-Site VPN: VPN Orchestrator și configurații avansate

Nebula VPN Orchestrator este un instrument puternic care vă permite să configurați cu ușurință topologii VPN complexe. Platforma NCC permite configurarea abstractă fără a configura conexiuni VPN individuale pe fiecare gateway și schimbarea fără probleme a topologiei în funcție de cerințele dvs. curente, cu doar câteva clicuri!

Topologia Nebula VPN explicată

Nebula Orchestrator poate conține mai multe zone VPN. Fiecare zonă poate fi fie topologie Site-to-Site, fie topologie Hub-and-Spoke. În cadrul topologiilor Site-to-Site, fiecare gateway de securitate se conectează la toate celelalte gateway-uri din zona VPN. În topologiile Hub-and-Spoke, singura poartă desemnată ca Hub se va conecta la celelalte porți. De asemenea, este posibil să existe una sau mai multe zone Site-to-Site și alte zone Hub-and-Spoke.

Fiecare zonă poate avea până la cinci Hub-uri, cu excepția cazului în care zona conține un NSG - în acest caz, doar un singur Hub să fie într-o anumită zonă. Dacă Hub-ul are interfața de ieșire setată la "auto", toate conexiunile WAN vor forma simultan conexiunile VPN către gateway-urile Spoke.

Pentru a comunica între zone, puteți activa Area Communication pentru gateway. Zonele Site-to-Site trebuie să aibă un lider de zonă desemnat pentru ca acest lucru să funcționeze. Liderii de zonă sau gateway-urile Hub vor forma tuneluri VPN către alte zone și vor permite o comunicare între gateway-urile AC.

Configurație

Configurația VPN Orchestrator se găsește în următorul meniu:

În partea superioară a ecranului este afișată o hartă cu o vizualizare actuală a rețelei VPN - inclusiv defecțiunile datorate pierderii conexiunii. Aceasta include, de asemenea, conexiunile peer non-nebula - acestea pot fi distinse cu o linie punctată.

În meniul Smart VPN, puteți selecta zona dorită pe care doriți să o configurați sau creați una nouă și selectați topologia dorită.

În funcție de selecția dvs., este posibil să fie nevoie să desemnați Hub-uri și Spoke-uri în același meniu. Dar, în orice caz, veți putea selecta ce gateway-uri se vor conecta la VPN, ce subrețele de pe aceste gateway-uri vor participa la conexiunile VPN și să configurați starea de comunicare pe zonă a dispozitivului.