Zyxel Nebula Remote Access VPN - Как настроить IKEv2 IPsec Remote Access VPN

Создан - Обновлено
Serhii Boiarynov
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствие точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Статья содержит подробное руководство по настройке IKEv2 VPN в Nebula, включая создание пользователей Nebula Cloud для VPN-доступа и настройку клиента SecuExtender. В статье описываются ограничения IKEv2, такие как отсутствие официальной поддержки предварительных ключей, и приводятся пошаговые инструкции по включению VPN-сервера IPsec, настройке клиентских VPN-подсетей и настройке таких вариантов аутентификации, как Nebula Cloud Authentication, Active Directory и двухфакторная аутентификация через Google Authenticator. В статье также рассказывается о создании пользователей VPN, отправке файлов конфигурации и проверке VPN-соединений, предлагаются советы по устранению неполадок и дополнительные настройки для повышения безопасности.

Эта статья поможет вам понять, что можно сделать с помощью IKEv2 VPN в Nebula. В ней рассказывается о том, как настроить IKEv2, создать пользователей Nebula Cloud для VPN-доступа и настроить клиент SecuExtender.

Ограничения IKEv2

Nebula в настоящее время официально не поддерживает использование:

  • IKEv2 с предварительным ключом

Настройка IKEv2 в Nebula

  • Включите "IPsec VPN сервер" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Включить "IPsec VPN сервер"
  • Введите подсеть Client VPN (это подсеть, которую получат VPN-клиенты, и она НЕ МОЖЕТ пересекаться ни с какой другой подсетью в вашей организации Nebula, ни с подсетями удаленных VPN (должна быть записана как xx.xx.xx.xx/xx "например, 192.168.50.0/24").
  • Выберите версию IKEv2
  • При необходимости укажите серверы имен (DNS-серверы) для VPN-клиентов. Если вы используете внутренние DHCP/DNS-серверы, укажите внутренний DNS-сервер и используйте Google DNS (8.8.8.8) в качестве второй записи сервера имен. Такая настройка поможет предотвратить возможные проблемы с DNS и связью с VPN-клиентами.
  • Nebula Облачная аутентификация - мы использовали ее в нашем примере. Ноу вас есть варианты аутентификации. Вы можете использовать Nebula Cloud Authentication, собственный Active Directory или RADIUS-сервер, или даже использовать двухфакторную аутентификацию через приложение Google Authenticator. Это можно настроить, включив функцию "двухфакторная аутентификация с Captive Portal". Когда пользователь подключается к VPN, ему будет предложено войти в систему с помощью Google Authenticator. Пользователь также может подписаться на двухфакторную аутентификацию через электронное письмо, содержащее его данные для входа.
  • Предоставление конфигурации SecuExtender IKEv2 VPN - Выберите электронную почту, которую вы хотите использовать для отправки файла конфигурации VPN для SecuExtender IKEv2 VPN (здесь вы можете добавлять и удалять электронные почты, которые не вступят в силу, пока вы не нажмете "Сохранить").
  • Нажмите "Сохранить".

  • Следующим шагом будет изменение "Политики", для этого нажмите на "По умолчанию" и настройте параметры Фазы 1 и Фазы 2, как показано ниже (не забудьте сохранить настройки, нажав кнопку "Сохранить"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • После изменения политик не забудьте сохранить изменения, нажав на кнопку "Сохранить".

Примечание: MacOS может требовать более высокого уровня шифрования и аутентификации, где AES256 и SHA256 работают отлично, по нашему опыту.

Создание пользователей облака Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Нажмите "Добавить" нового пользователя VPN
  • Заполните "Email", который будет использоваться для отправки учетных данных, а также для входа в систему (если выбран).
  • Заполните "Имя пользователя" и "Пароль
  • VPN Access - должно быть включено, чтобы пользователь VPN мог получить доступ к VPN и успешно аутентифицироваться с помощью учетных данных пользователя
  • Разрешено - выберите, к каким сайтам вы хотите разрешить доступ
  • Войти по - выберите, может ли пользователь войти в VPN / 802.1x с именем пользователя, адресом электронной почты или используя любой из них.
  • Двухфакторная авторизация. -установите флажок , если вы НЕ хотите, чтобы для этого пользователя была установлена двухфакторная аутентификация.
  • Отправить пользователю по электронной почте - выберите, хотите ли вы отправить учетные данные пользователю по электронной почте.
  • Примечание: каждый раз, когда вы нажимаете кнопку "сохранить" (или "создать пользователя) после внесения изменений, пользователь будет получать электронное письмо. Поэтому, если вы меняете настройки для этого пользователя, лучше снять флажок, пока вы не закончите настройку пользователя.

Дополнительные настройки, о которых интересно знать:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) - динамическое управление паролями для WiFi (не VPN), которое может сделать ваших пользователей VPN и сеть более безопасной. Он создает уникальный пароль для каждого пользователя, что позволяет легче изолировать пользователя в случае взлома.
  • 802.1X - для сетевой аутентификации (не VPN), позволяет аутентифицировать пользователей в сети с помощью 802.1x с использованием облачной аутентификации Nebula.
  • Назначение VLAN - назначение VLAN является функцией Professional Pack, которая настраивает статическую VLAN для пользователя, когда он входит в сеть.

Настройка клиента SecuExtender

  • Отправьте .tgb-файл (конфигурация VPN) по электронной почте
Site-wide -Configure Firewall -> Remote access VPN
  • Отправьте конфигурацию VPN по электронной почте, добавив свой email (или email пользователей), а затем нажав "Добавить новый", если его нет. Затем нажмите "Отправить письмо" и проверьте свою почту (и папку со спамом).

  • Установите .tgb-файл в SecuExtender

mceclip4.png

  • Если вы не можете добиться появления всплывающего окна, откройте SecuExtender на рабочем столе, чтобы вы увидели IPsec VPN-клиент SecuExtender (окно, показанное на рисунке ниже), а затем снова откройте .tgb-файл из письма.


  • Проверка подключения

После импорта конфигурации в VPN-клиент дважды щелкните на "RemoteAccessVPN", затем введите "Логин" и "Пароль" и нажмите "OK".

  • Если у вас возникли проблемы, пожалуйста, перепроверьте настройки фазы 1 и фазы 2 в SecuExtender и убедитесь, что у вас одинаковое шифрование и аутентификация в настройках Nebula IKEv2 VPN.

  • Отключение раздельного туннелирования

Если у вас возникли проблемы с тем, что весь трафик проходит через VPN-туннель (как интернет, так и VPN-трафик), ознакомьтесь с этой статьей:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Проверка VPN-соединения

После установки VPN-соединения вы можете проверить его, открыв окно командной строки (или PowerShell) и выполнив следующие команды.

  • ipconfig

Эта команда предоставит IP-адрес для интерфейса VPN.

mceclip4.png

  • ping [remote_address]

Эта команда позволит вам выполнить ping-тест устройства, расположенного в LAN-сети шлюзов NebulaCC.

mceclip5.png

  • Теперь на NCC вы должны увидеть журналы, которые показывают, что VPN работает правильно. На скриншоте ниже видно, что запросы основного режима достигли USG, фаза 1 успешно установлена, а XAuth в центре управления Nebula работает нормально.

mceclip0.png

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Поделиться