Важное уведомление: |
Виртуальная частная сеть, или сокращенно VPN, - одна из наиболее часто используемых функций наших шлюзов безопасности. С помощью Nebula вы можете настроить VPN на вашем USG FLEX за несколько минут!
Синопсис
В этой статье будут рассмотрены все распространенные сценарии работы VPN, будь то VPN удаленного доступа или VPN "сайт-сайт" (включая VPN с аналогами, не входящими в Nebula). Чтобы получить доступ к опциям настройки, войдите в Nebula Control Center, используя учетные данные по адресу https://nebula.zyxel.com/, и перейдите к следующему меню в зависимости от типа VPN, который вы хотите создать:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Оглавление
- VPN удаленного доступа: L2TP через IPSec
- Удаленный доступ к VPN: клиент IPSec
- Site-to-Site VPN: одноранговые сети Nebula
- Site-to-Site VPN: не входящие в Nebula партнеры
- Site-to-Site VPN: VPN Orchestrator и расширенные конфигурации
VPN удаленного доступа: L2TP через IPSec
Для настройки L2TP over IPSec VPN перейдите в меню Remote access VPN и включите опцию L2TP over IPSec VPN. Единственными обязательными полями для работы VPN являются заполнение секретного ключа (Preshared Key) и подсети Client VPN. При этом необходимо учитывать, что используется только та подсеть, которая еще нигде не используется. Возможно, вы захотите изменить DNS-серверы или, например, установить аутентификацию на локальном сервере, но это совершенно необязательно. Кнопка "По умолчанию" рядом с Policy открывает меню, позволяющее задать предложения IPSec. Значения по умолчанию рассчитаны на совместимость с большинством операционных систем.
Site-wide -> Configure -> Firewall -> Remote Access VPN
После сохранения конфигурации можно воспользоваться функцией сценария предоставления VPN - заполнить список получателей и нажать кнопку "Отправить почту". На указанные адреса будет отправлен скрипт конфигурации с инструкциями по его использованию.
Конфигурация клиента - режим скрипта предоставления
Nebula Pro предлагает удобный способ конфигурирования клиентов Windows или macOS с помощью сценария предоставления VPN. Он может быть отправлен непосредственно пользователям:
После отправки пользователи получат письмо с адреса info@nebula.zyxel.com, содержащее скрипты инициализации:
Как следует из названия, файл .batfile предназначен для Windows, а файл .mobileconfig - для macOS. В связи с ограничениями безопасности файл .batfile перед выполнением необходимо переименовать в .bat. Простой двойной щелчок на скрипте приведет к созданию VPN-соединения в системе. При первом подключении пользователю необходимо указать свои учетные данные. Они будут сохранены после первого успешного подключения.
Настройка клиента - ручной режим
Однако настроить VPN вручную несложно. В операционной системе Windows перейдите в меню Настройки > Сеть и Интернет > VPN и нажмите кнопку Добавить VPN-соединение.
Заполните форму в соответствии с учетными данными, предоставленными Nebula (вы можете использовать IP-адрес или DDNS, автоматически сгенерированный Nebula), и все готово!
Более подробную информацию можно найти в этой статье:
Nebula CC - Настройка L2TP для вашего брандмауэра Nebula Firewall
VPN для удаленного доступа: клиент IPSec
Аналогично настройке L2TP через IPSec, настройка IPSec VPN также происходит в меню Remote Access VPN и начинается с установки флажка IPSec VPN server. Единственными обязательными полями для работы VPN являются заполнение секрета (Preshared Key) и подсети Client VPN. Единственное, что следует учитывать, - это использование подсети, которая еще нигде не используется. Возможно, вы захотите изменить DNS-серверы или, например, установить аутентификацию на локальном сервере, но это необязательно. Кнопка "По умолчанию" рядом с пунктом Policy открывает меню, позволяющее задать предложения IPSec. Значения по умолчанию предназначены для обеспечения высокой безопасности IPSec-соединений. Для еще большего повышения безопасности можно включить двухфакторную аутентификацию для клиентов с помощью Google authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Конфигурация клиента
Настройка клиента очень проста. Во-первых, мы хотим создать шлюз IPSec и заполнить детали на вкладке Authentication, как в следующем примере, где учитываются значения криптографии по умолчанию:
На вкладке Protocol важно установить флажок "Mode Config":
Теперь мы готовы к созданию IPSec-соединения. Заполните адрес целевой сети, параметры ESP/PFS, и вы будете готовы к подключению. Можно также создать несколько сетей и получить к ним доступ одновременно:
Вот и все! Теперь вы готовы к удаленному подключению. Помните, что клиент IPSec всегда может экспортировать конфигурацию после завершения работы, чтобы легко развернуть ее на нескольких устройствах.
Более подробную информацию можно найти в этой статье:
Nebula [VPN] - Как настроить IKEv2 IPsec VPN
Межсайтовая VPN: пиры Nebula
Конфигурирование Site-to-Site VPN еще никогда не было таким простым. Меню Site-to-Site VPN начинается с настройки интерфейса WAN. Вы можете выбрать один WAN-интерфейс в качестве исходящего или оставить опцию в качестве auto для обеспечения резервирования. В этом случае будет задан вопрос, какому интерфейсу отдать предпочтение.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Далее настройка продолжается в локальных сетях, где доступны локальные интерфейсы и удаленные VPN-соединения для участия в VPN-соединении site-to-site.
В следующем разделе можно настроить дополнительные параметры. Например, вы можете выбрать желаемую область VPN для вашей сети - для небольших сетей достаточно одной области VPN по умолчанию. Для более крупных или просто более сложных VPN-структур может потребоваться больше VPN-областей. Более подробную информацию о VPN Area и Nebula VPN Orchestrator можно найти в последней главе.
Опция NAT traversal позволяет настраивать IP-адрес WAN для VPN. Это полезно в ситуациях, когда на порт WAN маршрутизируется несколько IP-адресов, а для VPN необходимо использовать определенный адрес.
Более подробную информацию см. в этой статье:
Nebula VPN - настройка VPN Site-to-Site в Nebula между двумя шлюзами Nebula
Site-to-Site VPN: пиры, не относящиеся к Nebula
Добавление не входящего в Nebula аналога, естественно, требует настройки на Центре управления Nebula и автономном устройстве.
На стороне Nebula требуется только заполнить некоторую информацию о подключении, в частности, имя, которое будет идентифицировать устройство, его публичный IP-адрес и удаленную частную подсеть, которую вы собираетесь подключить к предварительно распределенному ключу. При желании можно отредактировать политику IPSec под свои нужды и указать, какие сайты будут иметь доступ к данному маршрутизатору. Обратите внимание, что свойство private subnet не должно быть сетевым адресом, а должно быть реальным адресом устройства, используемым для проверки соединения в формате CIDR - например, самого удаленного VPN-сервера.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Важно:
Специальные символы, такие как -, +, ^, *, [, ], \, ", ? не допускаются.
В будущем это будет изменено.
В данном случае на стороне удаленного маршрутизатора, ATP200, нам необходимо сначала создать VPN-шлюз. Следующая конфигурация позволит повторно использовать этот шлюз для любого количества пиров. При использовании предложения IPSec по умолчанию необходимо только изменить режим переговоров на "Агрессивный" и предварительный общий ключ.
После настройки шлюза VPN-соединение наконец-то позволит нам установить связь между двумя маршрутизаторами. Пожалуйста, установите локальную и удаленную политику в соответствии с топологией вашей сети. Эти значения должны совпадать с конфигурацией в Nebula. В противном случае согласование завершится неудачей.
После сохранения VPN-соединения соединение между маршрутизаторами должно быть установлено в течение нескольких секунд.
Более подробную информацию см. в этой статье:
Nebula VPN - настройка VPN Site-to-Site к пирингу, не являющемуся пирингом Nebula
Site-to-Site VPN: VPN Orchestrator и расширенные настройки
Nebula VPN Orchestrator - это мощный инструмент, позволяющий с легкостью настраивать сложные топологии VPN. Платформа NCC позволяет выполнять абстрактную конфигурацию без настройки отдельных VPN-соединений на каждом шлюзе и плавно изменять топологию в соответствии с текущими требованиями всего несколькими щелчками мыши!
Объяснение топологии VPN Nebula
Nebula Orchestrator может содержать несколько VPN-областей. Каждая область может иметь топологию Site-to-Site или Hub-and-Spoke. В топологии Site-to-Site каждый шлюз безопасности подключается ко всем другим шлюзам в пределах VPN-области. В топологии Hub-and-Spoke единственный шлюз, назначенный в качестве Hub, подключается к другим шлюзам. Также возможно наличие одной или нескольких областей Site-to-Site и других областей Hub-and-Spoke.
В каждой области может быть до пяти концентраторов, если только область не содержит NSG - в этом случае в данной области может быть только один концентратор. Если для исходящего интерфейса концентратора установлено значение "auto", то все WAN-соединения будут одновременно набирать VPN-соединения со Spoke-шлюзами.
Для связи между областями можно включить для шлюза функцию Area Communication. Для этого в зонах Site-to-Site должен быть назначен Area Leader. Лидеры областей или шлюзы-концентраторы будут подключать VPN-туннели к другим областям и обеспечивать связь между шлюзами AC.
Конфигурация
Конфигурация VPN Orchestrator находится в следующем меню:
Organization-wide > VPN Orchestrator
В верхней части экрана отображается карта с текущей визуализацией VPN-сети, включая неисправности, связанные с потерей соединения. Сюда также входят не входящие в сеть пиринговые соединения - они могут быть выделены пунктирной линией.
В меню Smart VPN можно выбрать нужную область для настройки или создать новую и выбрать нужную топологию.
В зависимости от выбранного варианта в этом же меню может потребоваться назначить концентраторы и спицы. Но в любом случае вы сможете выбрать, какие шлюзы будут подключаться к VPN, какие подсети на этих шлюзах будут участвовать в VPN-соединениях, а также настроить состояние Area Communication устройства.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.