Zyxel Nebula Vzdialený prístup VPN - Ako nakonfigurovať IPsec IKEv2 pre vzdialený prístup VPN

Vytvorené - Aktualizované
Serhii Boiarynov
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím pôvodný článok tu: Pôvodná verzia

Článok poskytuje podrobný návod na nastavenie IKEv2 VPN v Nebula vrátane vytvorenia používateľov Nebula Cloud pre prístup k VPN a konfigurácie klienta SecuExtender. Uvádza obmedzenia IKEv2, ako napríklad chýbajúcu oficiálnu podporu pre vopred zdieľané kľúče, a poskytuje postupné pokyny na zapnutie servera IPsec VPN, konfiguráciu klientských podsietí VPN a nastavenie možností overovania, ako napríklad overovanie Nebula Cloud, Active Directory a dvojfaktorové overovanie prostredníctvom služby Google Authenticator. Článok sa zaoberá aj vytváraním používateľov VPN, odosielaním konfiguračných súborov a overovaním pripojení VPN, pričom ponúka tipy na riešenie problémov a ďalšie nastavenia na zvýšenie bezpečnosti.

Tento článok vám pomôže pochopiť, čo všetko môžete robiť s IKEv2 VPN v Nebula. Vysvetľuje, ako nastaviť IKEv2, vytvoriť používateľov Nebula Cloud pre prístup k sieti VPN a nakonfigurovať klienta SecuExtender.

Obmedzenia IKEv2

Nebula v súčasnosti oficiálne nepodporuje používanie:

  • IKEv2 s vopred zdieľaným kľúčom

Konfigurácia IKEv2 v Nebula

  • Povolenie "IPsec VPN servera" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Povolenie "IPsec VPN servera"
  • Zadajte klientskú podsieť VPN (je to podsieť, ktorú budú prijímať klienti VPN a NESMIE sa prekrývať so žiadnou inou podsieťou v organizácii Nebula, ani so vzdialenými podsieťami VPN (mala by byť napísaná ako xx.xx.xx.xx/xx "napr. 192.168.50.0/24")
  • Vyberte verziu IKEv2
  • V prípade potreby uveďte menné servery (servery DNS) pre klientov VPN. Ak používate interné servery DHCP/DNS, zadajte interný server DNS a ako druhú položku menného servera použite Google DNS (8.8.8.8). Toto nastavenie pomáha predchádzať prípadným problémom s DNS a komunikáciou s klientmi VPN.
  • Nebula Cloudové overovanie - používame v našom príklade. Mátevšakmožnosti overovania. Môžete zvoliť overovanie Nebula Cloud Authentication, vlastný server Active Directory alebo RADIUS, alebo dokonca použiť dvojfaktorové overovanie prostredníctvom aplikácie Google Authenticator. Tú môžete nastaviť zapnutím funkcie "dvojfaktorové overenie s Captive Portal". Keď sa používateľ pripojí k sieti VPN, bude presmerovaný na prihlásenie pomocou aplikácie Google Authenticator. Do dvojfaktorového overovania sa môžu prihlásiť aj prostredníctvom e-mailu, ktorý obsahuje ich prihlasovacie údaje.
  • Zabezpečenie konfigurácie SecuExtender IKEv2 VPN - Vyberte e-mail(y), ktorý(é) chcete použiť na odoslanie konfiguračného súboru VPN pre SecuExtender IKEv2 VPN (tu môžete pridávať a odstraňovať e-maily, čo sa prejaví až po stlačení tlačidla "uložiť").
  • Stlačte tlačidlo "Uložiť"

  • V ďalšom kroku je potrebné zmeniť "Policy" (Zásady), na to kliknite na "Default" (Predvolené) a nakonfigurujte nastavenia Fázy 1 a Fázy 2 podľa nižšie uvedeného postupu (nezabudnite nastavenia uložiť kliknutím na tlačidlo "Save" (Uložiť)):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Po zmene Politík nezabudnite zmeny uložiť kliknutím na tlačidlo "Save" (Uložiť).

Poznámka: Systém MacOS môže vyžadovať vyššie šifrovanie a overovanie, kde podľa našich skúseností výborne fungujú AES256 a SHA256

Vytvorenie používateľov cloudu Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Kliknite na tlačidlo "Pridať" nového používateľa VPN
  • Vyplňte "E-mail", ktorý môže byť použitý na odoslanie poverení a tiež na prihlásenie (ak je vybraný).
  • Vyplňte "Užívateľské meno" a "Heslo
  • VPN Access (Prístup k sieti VPN) - mal by byť povolený, aby používateľ VPN mohol pristupovať k sieti VPN a úspešne sa overiť pomocou poverení používateľa
  • Autorizované - vyberte, ku ktorým stránkam chcete povoliť prístup
  • Login by (Prihlásenie pomocou) - vyberte, či sa používateľ môže prihlásiť do siete VPN / 802.1x pomocou používateľského mena, e-mailovej adresy alebo pomocou niektorého z nich
  • Dvojfaktorová autentifikácia. -začiarknite políčko, ak nechcete, aby bolo pre tohto používateľa nastavené dvojfaktorové overovanie.
  • Email to user (Poslať používateľovi e-mailom) - vyberte, ak chcete používateľovi poslať poverenia e-mailom
  • Poznámka: zakaždým, keď po zmenách stlačíte tlačidlo "Uložiť" (alebo "Vytvoriť používateľa), používateľ dostane e-mail. Ak teda zmeníte nastavenia pre tohto používateľa, možno budete chcieť zrušiť začiarknutie políčka, kým neukončíte konfiguráciu používateľa

Ďalšie nastavenia, o ktorých je zaujímavé vedieť:

  • Dynamický osobný vopred zdieľaný kľúč (funkcia balíka Professional Pack ) je dynamická správa hesiel pre WiFi (nie VPN), vďaka ktorej môžu byť vaši používatelia a sieť VPN bezpečnejší. Vytvára jedinečné heslo pre každého používateľa, takže používateľa možno ľahšie izolovať v prípade, že sa doň nabúra.
  • 802.1X - pre overovanie siete (nie VPN), vďaka tomu sa môžu používatelia overovať pomocou siete s protokolom 802.1x s použitím overovania Nebula Cloud.
  • Priradenie VLAN - Priradenie VLAN je funkcia balíka Professional Pack, ktorá používateľovi pri vstupe do siete nakonfiguruje statickú VLAN.

Konfigurácia klienta SecuExtender

  • Odoslanie súboru .tgb (konfigurácia VPN) prostredníctvom e-mailu
Site-wide -Configure Firewall -> Remote access VPN
  • Konfiguráciu VPN odošlite na e-mail pridaním svojho e-mailu (alebo e-mailov používateľov) a potom stlačte tlačidlo "Pridať nový", ak nie je prítomný. Potom kliknite na "Odoslať e-mail" a skontrolujte svoj e-mail (a priečinok so spamom).

  • Nainštalujte súbor .tgb do aplikácie SecuExtender

mceclip4.png

  • Ak sa vám nedarí zobraziť vyskakovacie okno, otvorte SecuExtender na pracovnej ploche tak, aby ste videli klienta SecuExtender IPsec VPN (okno zobrazené na obrázku nižšie), a potom znovu otvorte súbor .tgb z e-mailu


  • Kontrola pripojenia

Po importovaní konfigurácie do klienta VPN dvakrát kliknite na "RemoteAccessVPN", potom zadajte "Login" (Prihlasovacie meno) a "Password" (Heslo) a kliknite na "OK".

  • Ak narazíte na nejaké problémy, dvakrát skontrolujte nastavenia fázy 1 a fázy 2 v aplikácii SecuExtender a uistite sa, že máte rovnaké šifrovanie a overovanie v nastaveniach Nebula IKEv2 VPN

  • Zakázanie rozdeleného tunelovania

Ak máte problémy so všetkou prevádzkou prechádzajúcou cez tunel VPN (internetová prevádzka aj prevádzka VPN), pozrite si tento článok:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender.

  • Overenie pripojenia VPN

Po vytvorení pripojenia VPN môžete overiť pripojenie otvorením okna príkazového riadku (alebo PowerShell) a zadaním nasledujúcich príkazov.

  • ipconfig

Tento príkaz poskytne IP adresu pre rozhranie VPN.

mceclip4.png

  • ping [vzdialená_adresa]

Tento príkaz vám umožní spustiť test ping na zariadenie umiestnené v sieti LAN brány NebulaCC.

mceclip5.png

  • Na NCC by ste teraz mali byť schopní vidieť protokoly, ktoré ukazujú, že VPN funguje správne. Na nasledujúcom obrázku môžete vidieť, že požiadavky hlavného režimu dosiahli USG, fázu 1 bolo možné úspešne vytvoriť a XAuth v riadiacom centre Nebula funguje správne.

mceclip0.png

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
0 z 0 to považovali za užitočné
Zdieľať