Rețeaua Virtuală Privată, sau VPN pe scurt, este una dintre cele mai utilizate funcții pe gateway-urile noastre de securitate, iar cu Nebula, poți configura VPN-ul pe USG FLEX în doar câteva minute!
Sinopsis
Acest articol va acoperi toate scenariile comune de VPN, fie că este vorba de VPN de acces la distanță sau VPN Site-to-Site (inclusiv VPN către peer-uri non-Nebula). Pentru a accesa opțiunile de configurare, te rugăm să te conectezi la Nebula Control Center folosind acreditările tale la https://nebula.zyxel.com/ și să navighezi în meniul corespunzător tipului de VPN pe care dorești să-l creezi:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Cuprins
- VPN de acces la distanță: L2TP peste IPSec
- VPN de acces la distanță: client IPSec
- VPN Site-to-Site: peer-uri Nebula
- VPN Site-to-Site: peer-uri non-Nebula
- VPN Site-to-Site: VPN Orchestrator și configurații avansate
VPN de acces la distanță: L2TP peste IPSec
Pentru a configura VPN L2TP peste IPSec, te rugăm să navighezi la meniul Remote access VPN și să activezi opțiunea L2TP peste IPSec VPN. Singurele câmpuri obligatorii pentru ca VPN-ul tău să funcționeze sunt să completezi secretul (Preshared Key) și subnetul VPN pentru client. Trebuie doar să folosești un subnet care nu este utilizat în altă parte. Poți dori să schimbi serverele DNS sau să setezi autentificarea către un server local, de exemplu, dar acestea sunt complet opționale. Butonul "Default" de lângă Policy deschide un meniu care îți permite să setezi propunerile IPSec. Valorile implicite sunt concepute pentru a fi compatibile cu majoritatea sistemelor de operare.
Site-wide -> Configure -> Firewall -> Remote Access VPNDupă ce salvezi configurația, poți beneficia de funcția scriptului de provisionare VPN - completează o listă de destinatari și apasă butonul "Send Mail". Scriptul de configurare cu instrucțiuni despre cum să-l folosești va fi trimis către adresele furnizate.
Configurarea clientului - modul script de provisionare
Nebula Pro oferă o modalitate convenabilă de a configura clienții Windows sau macOS folosind un script de provisionare VPN. Acesta poate fi trimis direct utilizatorilor:
Odată ce mailul este trimis, utilizatorii vor primi un mail de la info@nebula.zyxel.com care conține scripturile de provisionare:
După cum sugerează numele, fișierul .batfile este destinat Windows, în timp ce fișierul .mobileconfig este destinat macOS. Din cauza restricțiilor de securitate, fișierul .batfile trebuie redenumit în .bat înainte de execuție. Simplă dublă clic pe script va crea o conexiune VPN pe sistemul tău. La prima conexiune, utilizatorul trebuie să introducă acreditările. Acestea vor fi salvate după prima conexiune reușită.
Configurarea clientului - modul manual
Totuși, configurarea VPN-ului manual nu este o sarcină dificilă. Pe Windows, navighează la Settings > Network & Internet > VPN și apasă pe Add VPN Connection.
Completează formularul conform acreditărilor furnizate de Nebula (poți folosi fie adresa IP, fie DDNS generat automat de Nebula), și ești gata!
Vezi mai multe informații în acest articol:
Nebula CC - Configurarea L2TP pentru Firewall-ul tău Nebula
VPN de acces la distanță: client IPSec
În mod similar cu configurarea L2TP peste IPSec, configurarea VPN IPSec are loc tot în meniul Remote Access VPN și începe cu bifarea casetei IPSec VPN server. Singurele câmpuri obligatorii pentru ca VPN-ul tău să funcționeze sunt completarea secretului (Preshared Key) și subnetul VPN pentru client. Singurul lucru de luat în considerare este să folosești un subnet care nu este utilizat în altă parte. Poți dori să schimbi serverele DNS sau să setezi autentificarea către un server local, de exemplu, dar acest lucru este opțional. Butonul "Default" de lângă Policy deschide un meniu care îți permite să setezi propunerile IPSec. Valorile implicite sunt concepute pentru a asigura un nivel ridicat de securitate conexiunilor IPSec. De asemenea, poți activa autentificarea în doi pași pentru clienții tăi pentru a spori și mai mult securitatea prin Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Configurarea clientului
Configurarea clientului este foarte simplă. Mai întâi, trebuie să creăm Gateway-ul IPSec și să completăm detaliile pe fila Authentication, așa cum în exemplul următor, care ia în considerare valorile implicite de criptografie:
Pe fila Protocol, este important să bifezi caseta "Mode Config":
Acum suntem gata să creăm o conexiune IPSec. Te rugăm să completezi adresa rețelei țintă, parametrii ESP/PFS și ești gata să te conectezi. Poți crea, de asemenea, mai multe rețele și să le accesezi simultan:
Asta este! Acum ești gata să te conectezi de la distanță. Amintește-ți că clientul IPSec poate exporta întotdeauna configurația după ce este finalizată pentru a o implementa ușor pe mai multe dispozitive.
Vezi mai multe informații în acest articol:
Nebula [VPN] - Cum să configurezi IKEv2 IPsec VPN
VPN Site-to-Site: peer-uri Nebula
Configurarea unui VPN Site-to-Site nu a fost niciodată mai ușoară. Meniul Site-to-Site VPN începe cu configurarea interfeței WAN. Poți alege o singură interfață WAN ca ieșire sau poți lăsa opțiunea pe automat pentru a asigura redundanța. În acest caz, ți se va cere să alegi interfața preferată.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNConfigurarea continuă apoi către rețelele tale locale, unde interfețele locale și conexiunile VPN la distanță sunt disponibile pentru a participa la conexiunea VPN site-to-site.
În secțiunea următoare, poți configura setările avansate. De exemplu, poți selecta zona VPN dorită pentru rețeaua ta - rețelele mai mici se vor descurca bine cu o singură zonă VPN implicită. Rețelele mai mari sau structurile VPN mai elaborate pot avea nevoie să folosească mai multe zone VPN. Mai multe informații despre Zona VPN și Nebula VPN Orchestrator pot fi găsite în ultimul capitol.
Opțiunea NAT traversal îți permite să personalizezi adresa IP WAN pentru VPN-ul tău. Acest lucru este util în situațiile în care mai multe IP-uri sunt rutate către portul WAN și dorești să folosești o adresă specifică pentru VPN.
VPN Site-to-Site: peer-uri non-Nebula
Adăugarea unui peer non-Nebula necesită în mod natural o configurare atât pe Nebula Control Center, cât și pe dispozitivul independent.
Pe partea Nebula, este necesar doar să completezi câteva informații despre conexiune, în special numele care va identifica dispozitivul, adresa sa IP publică și un subnet privat la distanță la care intenționezi să te conectezi, precum și cheia pre-shared. Opțional, poți edita politica IPSec pentru a se potrivi nevoilor tale și să setezi care site-uri vor accesa acest router. Te rugăm să reții că proprietatea subnetului privat nu trebuie să fie o adresă de rețea, ci o adresă efectivă a dispozitivului utilizată pentru verificarea conexiunii în format CIDR - de exemplu, serverul VPN la distanță în sine.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNImportant:
Caractere speciale precum -, +, ^, *, [, ], \, ", ? nu sunt permise.
Aceasta se va schimba în viitor.
În acest caz, pe partea routerului la distanță, ATP200, va trebui să creăm mai întâi un gateway VPN. Configurarea următoare îți va permite să reutilizezi acest gateway pentru câți peer-uri dorești. Cu propunerea IPSec implicită, este necesar doar să schimbi modul de negociere în "Aggressive" și cheia pre-shared.
După configurarea VPN Gateway, conexiunea VPN ne va permite în cele din urmă să stabilim conexiunea între cele două routere. Te rugăm să setezi politica locală și cea la distanță conform topologiei rețelei tale. Aceste valori trebuie să corespundă configurației din Nebula. În caz contrar, negocierea va eșua.
După salvarea conexiunii VPN, conexiunea între routere ar trebui să se stabilească în câteva secunde.
Vezi mai multe informații în acest articol:
Nebula VPN - Configurarea VPN Site-to-Site către un peer non-Nebula
VPN Site-to-Site: VPN Orchestrator și configurații avansate
Nebula VPN Orchestrator este un instrument puternic care îți permite să configurezi topologii VPN complexe cu ușurință. Platforma NCC permite o configurare abstractă fără a configura conexiuni VPN individuale pe fiecare gateway și schimbarea fără probleme a topologiei în funcție de cerințele tale curente cu doar câteva clicuri!
Nebula Topologia VPN explicată
Nebula Orchestrator poate conține multiple zone VPN. Fiecare zonă poate fi fie o topologie Site-to-Site, fie o topologie Hub-and-Spoke. În topologiile Site-to-Site, fiecare gateway de securitate se conectează la toate celelalte gateway-uri din zona VPN. În topologiile Hub-and-Spoke, singurul gateway desemnat ca Hub se va conecta la celelalte gateway-uri. Este, de asemenea, posibil să ai una sau mai multe zone Site-to-Site și alte zone Hub-and-Spoke.
Fiecare zonă poate avea până la cinci Hub-uri, cu excepția cazului în care zona conține un NSG - în acest caz, va exista un singur Hub într-o zonă dată. Dacă Hub-ul are interfața sa de ieșire setată pe "auto", toate conexiunile WAN vor apela simultan conexiunile VPN către gateway-urile Spoke.
Pentru a comunica între zone, poți activa Comunicarea între Zone pentru gateway. Zonele Site-to-Site trebuie să aibă un Lider de Zonă desemnat pentru ca acest lucru să funcționeze. Liderii de Zonă sau gateway-urile Hub vor apela tuneluri VPN către alte zone și vor permite comunicarea între gateway-urile AC.
Configurare
Configurarea VPN Orchestrator poate fi găsită în următorul meniu:
Organization-wide > VPN OrchestratorPartea superioară a ecranului afișează o hartă cu o vizualizare curentă a rețelei VPN - inclusiv erori cauzate de pierderea conexiunii. Aceasta include și conexiuni către peer-uri non-Nebula - acestea pot fi distinse printr-o linie întreruptă.
În meniul Smart VPN, poți selecta zona dorită pe care vrei să o configurezi sau să creezi una nouă și să selectezi topologia dorită.
În funcție de selecția ta, poate fi necesar să desemnezi Hub-uri și Spoke-uri în același meniu. Dar în orice caz, vei putea selecta care gateway-uri se vor conecta la VPN, ce subneturi de pe aceste gateway-uri vor participa la conexiunile VPN și să configurezi starea Comunicării între Zone a dispozitivului.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Comentarii
0 comentariiVă rugăm să vă autentificați pentru a lăsa un comentariu.