Виртуальная частная сеть, или VPN, является одной из наиболее часто используемых функций на наших шлюзах безопасности, и с помощью Nebula вы можете настроить VPN на вашем USG FLEX всего за несколько минут!
Краткое содержание
В этой статье рассматриваются все распространённые сценарии использования VPN, будь то удалённый доступ VPN или Site-to-Site VPN (включая VPN с не-Nebula устройствами). Для доступа к параметрам конфигурации, пожалуйста, войдите в Nebula Control Center, используя свои учетные данные, на сайте https://nebula.zyxel.com/ и перейдите в следующее меню в зависимости от типа VPN, который вы хотите создать:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Содержание
- Удалённый доступ VPN: L2TP поверх IPSec
- Удалённый доступ VPN: IPSec клиент
- Site-to-Site VPN: Nebula устройства
- Site-to-Site VPN: не-Nebula устройства
- Site-to-Site VPN: VPN Orchestrator и расширенные настройки
Удалённый доступ VPN: L2TP поверх IPSec
Для настройки L2TP поверх IPSec VPN перейдите в меню Remote access VPN и включите опцию L2TP over IPSec VPN. Единственные обязательные поля для работы VPN — это заполнение вашего секрета (Preshared Key) и подсети VPN клиента. Следует использовать подсеть, которая ещё нигде не используется. Вы можете изменить DNS-серверы или установить аутентификацию на локальном сервере, например, но это полностью необязательно. Кнопка "Default" рядом с Policy открывает меню, позволяющее задать IPSec предложения. Значения по умолчанию разработаны для совместимости с большинством операционных систем.
Site-wide -> Configure -> Firewall -> Remote Access VPNПосле сохранения конфигурации вы можете воспользоваться функцией скрипта provision для VPN — заполните список получателей и нажмите кнопку "Send Mail". Скрипт конфигурации с инструкциями по использованию будет отправлен на указанные адреса.
Конфигурация клиента — режим provision скрипта
Nebula Pro предлагает удобный способ настройки клиентов Windows или macOS с помощью VPN provisioning скрипта, который можно отправить напрямую пользователям:
После отправки письма пользователи получат письмо от info@nebula.zyxel.com с provisioning скриптами:
Как следует из названия, файл .batfile предназначен для Windows, а файл .mobileconfig — для macOS. Из-за ограничений безопасности файл .batfile необходимо переименовать в .bat перед запуском. Просто двойной клик по скрипту создаст VPN-соединение на вашей системе. При первом подключении пользователь должен ввести свои учетные данные, которые будут сохранены после успешного подключения.
Конфигурация клиента — ручной режим
Тем не менее, настроить VPN вручную несложно. В Windows перейдите в Параметры > Сеть и Интернет > VPN и нажмите Добавить VPN-подключение.
Заполните форму согласно учетным данным, предоставленным Nebula (можно использовать либо IP-адрес, либо DDNS, автоматически сгенерированный Nebula), и всё готово!
Дополнительную информацию смотрите в статье:
Nebula CC - Настройка L2TP для вашего Nebula Firewall
Удалённый доступ VPN: IPSec клиент
Подобно настройке L2TP поверх IPSec, конфигурация IPSec VPN также происходит в меню Remote Access VPN и начинается с установки флажка IPSec VPN server. Единственные обязательные поля для работы VPN — это заполнение секрета (Preshared Key) и подсети VPN клиента. Следует использовать подсеть, которая ещё нигде не используется. Вы можете изменить DNS-серверы или установить аутентификацию на локальном сервере, например, но это необязательно. Кнопка "Default" рядом с Policy открывает меню для настройки IPSec предложений. Значения по умолчанию обеспечивают высокую безопасность ваших IPSec соединений. Вы также можете включить двухфакторную аутентификацию для клиентов с помощью Google Authenticator для дополнительной защиты.
Site-wide -> Configure -> Firewall -> Remote access VPN
Конфигурация клиента
Настройка клиента очень проста. Сначала создайте IPSec Gateway и заполните данные на вкладке Authentication, как в следующем примере с использованием значений криптографии по умолчанию:
На вкладке Protocol важно отметить флажок "Mode Config":
Теперь можно создать IPSec соединение. Заполните адрес целевой сети, параметры ESP/PFS, и вы готовы подключаться. Вы можете создать несколько сетей и иметь к ним одновременный доступ:
Вот и всё! Теперь вы готовы к удалённому подключению. Помните, что IPSec клиент всегда может экспортировать конфигурацию после настройки для удобного развёртывания на нескольких устройствах.
Дополнительную информацию смотрите в статье:
Nebula [VPN] - Как настроить IKEv2 IPsec VPN
Site-to-Site VPN: Nebula устройства
Настройка Site-to-Site VPN никогда не была проще. Меню Site-to-Site VPN начинается с настройки WAN интерфейса. Вы можете выбрать один WAN интерфейс для исходящих соединений или оставить опцию авто для обеспечения резервирования. В этом случае будет предложено выбрать предпочтительный интерфейс.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNДалее настройка продолжается с вашими локальными сетями, где доступны локальные интерфейсы и удалённые VPN соединения для участия в Site-to-Site VPN.
В следующем разделе вы можете настроить расширенные параметры. Например, выбрать нужную VPN зону для вашей сети — для небольших сетей достаточно одной Default VPN зоны. Для больших или более сложных VPN структур может потребоваться использование нескольких VPN зон. Подробнее о VPN зонах и Nebula VPN Orchestrator можно узнать в последнем разделе.
Опция NAT traversal позволяет настроить WAN IP адрес для VPN. Это полезно, если к вашему WAN порту маршрутизируется несколько IP адресов, и вы хотите использовать конкретный адрес для VPN.
Site-to-Site VPN: не-Nebula устройства
Добавление не-Nebula устройства требует настройки как в Nebula Control Center, так и на отдельном устройстве.
На стороне Nebula необходимо заполнить информацию о соединении: имя для идентификации устройства, его публичный IP адрес, удалённую частную подсеть, к которой вы хотите подключиться, и предварительно общий ключ (preshared key). Опционально можно изменить IPSec политику под свои нужды и задать, какие сайты будут иметь доступ к этому маршрутизатору. Обратите внимание, что свойство приватной подсети не должно быть сетевым адресом, а должно быть фактическим адресом устройства, используемым для проверки соединения в формате CIDR — например, сам удалённый VPN сервер.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNВажно:
Специальные символы, такие как -, +, ^, *, [, ], \, ", ?, не допускаются.
Это изменится в будущем.
На стороне удалённого маршрутизатора, например ATP200, необходимо сначала создать VPN шлюз. Следующая конфигурация позволит использовать этот шлюз для подключения множества устройств. При использовании стандартного IPSec предложения достаточно изменить режим переговоров на "Aggressive" и указать предварительно общий ключ.
После настройки VPN шлюза, VPN соединение позволит установить связь между двумя маршрутизаторами. Пожалуйста, настройте локальную и удалённую политику согласно топологии вашей сети. Эти значения должны совпадать с конфигурацией в Nebula, иначе переговоры не пройдут.
После сохранения VPN соединения связь между маршрутизаторами должна установиться в течение нескольких секунд.
Дополнительную информацию смотрите в статье:
Nebula VPN - Настройка Site-to-Site VPN для не-Nebula устройства
Site-to-Site VPN: VPN Orchestrator и расширенные настройки
Nebula VPN Orchestrator — мощный инструмент, позволяющий легко конфигурировать сложные топологии VPN. Платформа NCC позволяет выполнять абстрактную настройку без необходимости конфигурировать отдельные VPN соединения на каждом шлюзе и плавно менять топологию в зависимости от текущих требований всего несколькими кликами!
Nebula Объяснение топологии VPN
Nebula Orchestrator может содержать несколько VPN зон. Каждая зона может иметь топологию Site-to-Site или Hub-and-Spoke. В топологиях Site-to-Site каждый шлюз безопасности соединяется со всеми другими шлюзами внутри VPN зоны. В топологиях Hub-and-Spoke только один шлюз, обозначенный как Hub, соединяется с другими шлюзами. Также возможно иметь одну или несколько зон Site-to-Site и другие зоны Hub-and-Spoke одновременно.
Каждая зона может иметь до пяти Hub, если в зоне нет NSG — в этом случае в зоне может быть только один Hub. Если у Hub исходящий интерфейс установлен в "auto", все WAN соединения будут одновременно устанавливать VPN туннели к Spoke шлюзам.
Для связи между зонами вы можете включить Area Communication для шлюза. В зонах Site-to-Site должен быть назначен Area Leader для работы этой функции. Area Leaders или Hub шлюзы будут устанавливать VPN туннели к другим зонам и обеспечивать связь между AC шлюзами.
Конфигурация
Конфигурация VPN Orchestrator доступна в следующем меню:
Organization-wide > VPN OrchestratorВ верхней части экрана отображается карта с текущей визуализацией VPN сети — включая ошибки из-за потери соединения. Это также включает соединения с не-Nebula устройствами — они отображаются пунктирной линией.
В меню Smart VPN вы можете выбрать нужную зону для настройки или создать новую и выбрать желаемую топологию.
В зависимости от выбора, вам может потребоваться назначить Hub и Spoke в том же меню. В любом случае вы сможете выбрать, какие шлюзы будут подключаться к VPN, какие подсети на этих шлюзах будут участвовать в VPN соединениях и настроить статус Area Communication устройства.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.