Это руководство поможет настроить Zyxel IPSec VPN Client (версия 3.8.204.61.32) для VPN-соединения с функцией Nebula CC IPSec Remote Access VPN (C2S) с использованием Nebula Security Gateway (NSG).

Оглавление

1. Обзор
2. Поддерживаемые устройства
3. Настройка Центра управления туманностью
4. Настройка VPN-клиента (клиент SecuExtender IPSEC VPN)

Обзор

VPN ( виртуальная частная сеть ) обеспечивает безопасную связь между сайтами без затрат на выделенные линии. Виртуальные частные сети используются для безопасной передачи трафика через Интернет из незащищенной сети, использующей связь TCP/IP. VPN с удаленным доступом (клиент-сайт) позволяет сотрудникам, которые путешествуют или работают удаленно, безопасный доступ к сетевым ресурсам компании. Существует несколько типов протоколов/технологий VPN, которые можно использовать для установки безопасного соединения с сетью компании, L2TP, PPTP, SSL, OpenVPN и т. д. В этом руководстве будет упоминаться протокол IPSec для установки безопасного туннеля VPN между внешними хостами ( пользователи, подключенные к Интернету за пределами сетевой структуры компании) и шлюз NebulaCC. Для установки VPN-подключения требуется стороннее программное обеспечение IPSec, поскольку в современных операционных системах отсутствует встроенный клиент IPSec. Это пошаговое руководство поможет настроить настройку VPN на клиенте IPSec VPN (версия 3.8.204.61.32).

Поддерживаемые устройства

Серия NSG (50/100/200/300)
Серия USG FLEX (100/100 Вт/200/500/700)

Настройка VPN для Nebula CC

Примечание. В Центре управления Nebula требуется наличие базы данных пользователей в фоновом режиме, в которой IPSec-клиент выполняет аутентификацию. Для этого нам нужно будет в клиенте настроить «X-Auth» и «Config Mode».

Нажмите на новый пользовательский интерфейс Nebula CC и перейдите к:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Укажите клиентский сервер VPN в качестве клиента IPSec. Если ваша NSG/USG FLEX находится за шлюзом NAT, вам потребуется ввести NAT traversal.

Создайте учетную запись VPN-клиента для аутентификации. Тип Nebula Cloud Аутентификация. Обязательно создайте пользователя в соответствующем подменю

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Настройка VPN-клиента Zyxel

Последнюю версию клиента Zyxel IPSec VPN можно загрузить с здесь . После установки клиента запустите программу и откройте Панель конфигурации . Щелкните папку «IKE V1» в Конфигурация VPN . После выбора папки нажмите клавиши «Ctrl + N» на клавиатуре, чтобы добавить правило «Ikev1Gateway». Внесите следующие изменения в правило:

1. Удаленный Gateway
   
   • Интерфейс — выберите интерфейс, который компьютер будет использовать для установления VPN-подключения. Установите это на Любой если VPN-клиенту будет разрешено использовать любое подключение, доступное на компьютере.
   • Удаленный Gateway — введите полное доменное имя/DDNS/IP шлюза NebulaCC, к которому вы будете подключаться.
2. Аутентификация
   
   • Выберите опцию «Предварительный ключ».
   • Введите предварительный общий ключ, используемый в конфигурации IPSec NebulaCC, и «Подтвердите» ключ.
3. X-Аутентификация
   
   • Включить — этот флажок должен быть установлен.
   • Всплывающее окно X-Auth — этот флажок следует устанавливать только в том случае, если вы хотите, чтобы при подключении запрашивались имя пользователя и пароль.
     • Логин — укажите имя пользователя учетной записи VPN NebulaCC. Только если флажок «X-Auth Popup» не установлен.
     • Пароль — укажите пароль учетной записи VPN NebulaCC. Только если флажок «X-Auth Popup» не установлен.
4. Криптография (пример установки)
   • Шифрование — выберите AES256 в раскрывающемся списке.
   • Аутентификация — выберите ША-256 из раскрывающегося списка.
   • Группа клавиш – Выбрать ДХ14 (1024) из раскрывающегося списка.

В "Ikev1Gateway" нажмите кнопку Протокол вкладку и внесите следующие изменения:

Включить Конфигурация режима вариант.
Пока «Ikev1Gateway» выделен, снова нажмите клавиши «Ctrl + N» на клавиатуре, чтобы добавить часть соединения «Ikev1Tunnel». Внесите следующие изменения:

1. Адрес
   
   • Адрес VPN-клиента — оставьте этот параметр без изменений. (0.0.0.0 по умолчанию)
   • Тип адреса — выберите Адрес подсети из раскрывающегося списка.
   • Адрес удаленной локальной сети — введите IP-схему локальной локальной сети NebulaCC.
   • Маска подсети — введите NebulaCC маску подсети локальной сети LAN.
2. ЭСП
   
   • Шифрование — выберите AES256 из раскрывающегося списка.
   • Аутентификация — выберите ША-256 из раскрывающегося списка.
   • Режим – выбрать Туннель из раскрывающегося списка.
3. ПФС
   
   • Оставьте этот параметр неотмеченным.
4. Продолжительность жизни
   
   • Время жизни — это количество времени в секундах, прежде чем клиент повторно согласует алгоритмы.

После того, как все настройки сделаны, нажмите кнопку Конфигурация на панели инструментов и выберите Сохранить . Это сохранит все изменения, сделанные в клиенте.

Чтобы установить VPN-соединение со шлюзом NebulaCC, щелкните правой кнопкой мыши параметр «Ikev1Tunnel» и выберите Открытый туннель или нажмите (Ctrl + O) на клавиатуре.

Проверка

После того, как VPN-соединение установлено, вы можете проверить соединение, открыв окна командной строки (или PowerShell) и введя следующие команды.

• ipconfig
  Эта команда предоставит IP-адрес для интерфейса VPN.
  
• пинг [удаленный_адрес]
  Эта команда позволит вам запустить ping-тест для устройства, расположенного в сети LAN шлюзов NebulaCC.
  

На NCC теперь вы сможете увидеть журналы, которые показывают, что VPN работает правильно. На приведенном ниже снимке экрана видно, что запросы основного режима достигли USG, фаза 1 может быть успешно установлена, и XAuth в Центре управления Nebula работает нормально.