Táto príručka vám pomôže pri konfigurácii klienta Zyxel IPSec VPN (verzia 3.8.204.61.32) pre pripojenie VPN s funkciou Nebula CC IPSec Remote Access VPN (C2S) pomocou zabezpečenia Nebula Nebula CC (C2S).

Obsah

1. Prehľad
2. Podporované zariadenia
3. Nastavenie ovládacieho centra Nebula
4. Nastavenie VPN klienta (SecuExtender IPSEC VPN klient)

Prehľad

VPN ( Virtual Private N network) poskytuje bezpečnú komunikáciu medzi lokalitami bez nákladov na prenajaté linky. VPN sa používajú na bezpečný prenos prevádzky cez internet v nezabezpečenej sieti, ktorá využíva komunikáciu TCP/IP. Vzdialený prístup VPN (client-to-site) umožňuje zamestnancom, ktorí cestujú alebo pracujú na diaľku, bezpečný prístup k sieťovým zdrojom spoločnosti. Existuje viacero typov protokolov/technológií VPN, ktoré možno použiť na vytvorenie bezpečného spojenia so sieťou spoločnosti, L2TP, PPTP, SSL, OpenVPN atď. Táto príručka sa bude týkať protokolu IPSec na vytvorenie bezpečného tunela VPN medzi externými hostiteľmi ( užívatelia pripojení na internet mimo štruktúry podnikovej siete) a brána NebulaCC. Na vytvorenie pripojenia VPN je potrebný softvér IPSec tretej strany, pretože súčasné operačné systémy nemajú vstavaného klienta IPSec. Tento návod vám pomôže nakonfigurovať nastavenie VPN na klientovi IPSec VPN (verzia 3.8.204.61.32).

Podporované zariadenia

Séria NSG (50/100/200/300)
Séria USG FLEX (100/100W/200/500/700)

Nastavenie VPN Nebula CC

Poznámka: V riadiacom centre Nebula existuje požiadavka, aby na pozadí existovala databáza používateľov s autentifikáciou klienta IPSec. Aby to fungovalo, budeme musieť v klientovi nastaviť "X-Auth" a "Config Mode".

Kliknite do nového používateľského rozhrania Nebula CC a prejdite na:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Zadajte klientsky server VPN ako klienta IPSec. Ak sa váš NSG/USG FLEX nachádza za bránou NAT, budete musieť zadať NAT traversal.

Vytvorte si klientsky účet VPN na overenie. Typ je Nebula Cloud Autentifikácia. Uistite sa, že ste vytvorili používateľa v príslušnej podponuke

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Nastavenie klienta VPN Zyxel

Najnovšiu verziu klienta Zyxel IPSec VPN si môžete stiahnuť z tu . Po nainštalovaní klienta spustite program a otvorte ho Konfiguračný panel . Kliknite na priečinok „IKE V1“ pod Konfigurácia VPN , po výbere priečinka stlačte klávesy "Ctrl + N" na klávesnici a pridajte pravidlo "Ikev1Gateway". Vykonajte v pravidle nasledujúce zmeny:

1. Vzdialený Gateway
   
   • Rozhranie – vyberte rozhranie, ktoré počítač použije na vytvorenie pripojenia VPN. Nastavte toto na akýkoľvek či klient VPN bude môcť používať akékoľvek pripojenie dostupné na počítači.
   • Vzdialená Gateway – Zadajte FQDN/DDNS/IP brány NebulaCC, ku ktorej sa budete pripájať.
2. Overenie
   
   • Vyberte možnosť „Predzdieľaný kľúč“.
   • Zadajte predzdieľaný kľúč použitý v konfigurácii NebulaCC IPSec a „Potvrďte“ kľúč.
3. X-Auth
   
   • Povoliť – toto políčko by malo byť začiarknuté.
   • Vyskakovacie okno X-Auth – Toto políčko by malo byť začiarknuté iba vtedy, ak chcete, aby sa pri pripojení zobrazila výzva na zadanie používateľského mena a hesla
     • Prihlásenie – Zadajte používateľské meno účtu VPN NebulaCC. Iba ak nie je začiarknuté políčko X-Auth Popup.
     • Heslo – Zadajte heslo účtu VPN NebulaCC. Iba ak nie je začiarknuté políčko X-Auth Popup.
4. Kryptografia (príklad nastavenia)
   • Šifrovanie – z rozbaľovacej ponuky vyberte možnosť AES256 .
   • Autentifikácia – vyberte SHA-256 z rozbaľovacej ponuky.
   • Skupina kľúčov – vyberte DH14 (1024) z rozbaľovacej ponuky.

Na "Ikev1Gateway" kliknite na Protokol kartu a vykonajte nasledujúcu zmenu:

Povoliť Konfigurácia režimu možnosť.
Keď je zvýraznená „Ikev1Gateway“, znova stlačte klávesy „Ctrl + N“ na klávesnici, aby ste pridali časť pripojenia „Ikev1Tunnel“. Vykonajte nasledujúce zmeny:

1. Adresa
   
   • Adresa klienta VPN – ponechajte túto možnosť tak, ako je. (predvolene 0.0.0.0)
   • Typ adresy – vyberte Adresa podsiete z rozbaľovacej ponuky.
   • Vzdialená adresa LAN – Zadajte schému lokálnej IP siete LAN NebulaCC.
   • Maska podsiete – Zadajte masku lokálnej podsiete LAN NebulaCC.
2. ESP
   
   • Šifrovanie – vyberte AES256 z rozbaľovacej ponuky.
   • Autentifikácia – vyberte SHA-256 z rozbaľovacej ponuky.
   • Režim – vyberte Tunel z rozbaľovacej ponuky.
3. PFS
   
   • Nechajte túto možnosť nezačiarknutú.
4. Život
   
   • Životnosť je množstvo času v sekundách, kým klient znovu prerokuje algoritmy.

Po vykonaní všetkých nastavení kliknite na Konfigurácia na paneli nástrojov a vyberte Uložiť . Tým sa uložia všetky zmeny vykonané na klientovi.

Ak chcete vytvoriť pripojenie VPN k bráne NebulaCC, kliknite pravým tlačidlom myši na možnosť „Ikev1Tunnel“ a vyberte Otvorte tunel alebo stlačte (Ctrl + O) na klávesnici.

Overenie

Po vytvorení pripojenia VPN môžete pripojenie overiť otvorením okna príkazového riadka (alebo PowerShell) a zadaním nasledujúcich príkazov.

• ipconfig
  Tento príkaz poskytne IP adresu pre rozhranie VPN.
  
• ping [vzdialená_adresa]
  Tento príkaz vám umožní spustiť test ping na zariadení umiestnenom v sieti LAN brány NebulaCC.
  

Na NCC by ste teraz mali vidieť protokoly, ktoré ukazujú, že VPN funguje správne. Na nižšie uvedenej snímke obrazovky môžete vidieť, že požiadavky hlavného režimu dosiahli USG, fáza 1 mohla byť úspešne vytvorená a XAuth v riadiacom centre Nebula funguje dobre.