Virtuálna privátna sieť, alebo VPN v skratke, je jednou z najčastejšie používaných funkcií na našich bezpečnostných bránach a s Nebula môžete nakonfigurovať VPN na vašom USG FLEX za pár minút!
Zhrnutie
Tento článok pokrýva všetky bežné scenáre VPN, či už ide o vzdialený prístup VPN alebo Site-to-Site VPN (vrátane VPN k ne-Nebula partnerom). Pre prístup k možnostiam konfigurácie sa prosím prihláste do Nebula Control Center pomocou svojich prihlasovacích údajov na https://nebula.zyxel.com/ a prejdite do nasledujúceho menu podľa typu VPN, ktorú chcete vytvoriť:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Obsah
- Vzdialený prístup VPN: L2TP cez IPSec
- Vzdialený prístup VPN: IPSec klient
- Site-to-Site VPN: Nebula partneri
- Site-to-Site VPN: ne-Nebula partneri
- Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurácie
Vzdialený prístup VPN: L2TP cez IPSec
Pre konfiguráciu L2TP cez IPSec VPN, prosím prejdite do menu Vzdialený prístup VPN a povolte možnosť L2TP cez IPSec VPN. Jedinými povinnými poliami pre správne fungovanie VPN je vyplniť vaše tajomstvo (Preshared Key) a podsieť klienta VPN. Je potrebné použiť podsieť, ktorá ešte nie je nikde inde použitá. Môžete chcieť zmeniť DNS servery alebo nastaviť autentifikáciu na lokálny server, napríklad, ale toto je úplne voliteľné. Tlačidlo „Default“ vedľa Policy otvorí menu, ktoré umožňuje nastaviť IPSec návrhy. Predvolené hodnoty sú navrhnuté tak, aby boli kompatibilné s väčšinou operačných systémov.
Site-wide -> Configure -> Firewall -> Remote Access VPNPo uložení konfigurácie môžete využiť funkciu skriptu na nastavenie VPN – vyplňte zoznam príjemcov a kliknite na tlačidlo „Send Mail“. Konfiguračný skript s návodom na použitie bude odoslaný na zadané adresy.
Konfigurácia klienta - režim Provision script
Nebula Pro ponúka pohodlný spôsob konfigurácie Windows alebo macOS klientov pomocou skriptu na nastavenie VPN. Tento môže byť zaslaný priamo používateľom:
Po odoslaní e-mailu používatelia obdržia správu od info@nebula.zyxel.com, ktorá obsahuje konfiguračné skripty:
Ako naznačujú ich názvy, súbor .batfile je určený pre Windows, zatiaľ čo súbor .mobileconfig je určený pre macOS. Z bezpečnostných dôvodov je potrebné súbor .batfile premenovať na .bat pred spustením. Jednoduchým dvojklikom na skript sa na vašom systéme vytvorí VPN pripojenie. Počas prvého pripojenia musí používateľ zadať svoje prihlasovacie údaje. Tie budú uložené po prvom úspešnom pripojení.
Konfigurácia klienta - manuálny režim
Konfigurácia VPN manuálne nie je však žiadna ťažká úloha. Na Windows prejdite do Nastavenia > Sieť a internet > VPN a kliknite na Pridať VPN pripojenie.
Vyplňte formulár podľa údajov poskytnutých Nebula (môžete použiť buď IP adresu alebo DDNS automaticky generované Nebula) a ste pripravení!
Viac informácií nájdete v tomto článku:
Nebula CC - Konfigurácia L2TP pre váš Nebula Firewall
Vzdialený prístup VPN: IPSec klient
Podobne ako konfigurácia L2TP cez IPSec, aj konfigurácia IPSec VPN prebieha v menu Vzdialený prístup VPN a začína zaškrtnutím políčka IPSec VPN server. Jedinými povinnými poliami pre správne fungovanie VPN je vyplniť tajomstvo (Preshared Key) a podsieť klienta VPN. Je potrebné použiť podsieť, ktorá ešte nie je nikde inde použitá. Môžete chcieť zmeniť DNS servery alebo nastaviť autentifikáciu na lokálny server, napríklad, ale toto je voliteľné. Tlačidlo „Default“ vedľa Policy otvorí menu, ktoré umožňuje nastaviť IPSec návrhy. Predvolené hodnoty sú navrhnuté tak, aby poskytovali vysokú bezpečnosť vašim IPSec pripojeniam. Môžete tiež povoliť dvojfaktorovú autentifikáciu pre vašich klientov na ešte väčšie zvýšenie bezpečnosti pomocou Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Konfigurácia klienta
Konfigurácia klienta je veľmi jednoduchá. Najskôr vytvoríme IPSec bránu a vyplníme detaily na záložke Authentication, ako v nasledujúcom príklade, ktorý používa predvolené kryptografické hodnoty:
Na záložke Protocol je dôležité zaškrtnúť políčko „Mode Config“:
Teraz sme pripravení vytvoriť IPSec pripojenie. Vyplňte adresu cieľovej siete, parametre ESP/PFS a ste pripravení sa pripojiť. Môžete tiež vytvoriť viacero sietí a pristupovať k nim súčasne:
To je všetko! Teraz ste pripravení na vzdialené pripojenie. Nezabudnite, že IPSec klient môže po dokončení exportovať konfiguráciu, aby ju bolo možné ľahko nasadiť na viacerých zariadeniach.
Viac informácií nájdete v tomto článku:
Nebula [VPN] - Ako nakonfigurovať IKEv2 IPsec VPN
Site-to-Site VPN: Nebula partneri
Konfigurácia Site-to-Site VPN nikdy nebola jednoduchšia. Menu Site-to-Site VPN začína konfiguráciou WAN rozhrania. Môžete zvoliť jedno WAN rozhranie ako výstupné alebo ponechať možnosť na auto pre zabezpečenie redundancie. V takom prípade budete vyzvaní, aby ste vybrali preferované rozhranie.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfigurácia pokračuje na vašich lokálnych sieťach, kde sú k dispozícii lokálne rozhrania a vzdialené VPN pripojenia, ktoré môžu participovať na Site-to-Site VPN pripojení.
V ďalšej sekcii môžete nakonfigurovať pokročilé nastavenia. Napríklad môžete vybrať požadovanú VPN oblasť pre vašu sieť – menšie siete budú vyhovovať s jednou predvolenou VPN oblasťou. Väčšie alebo zložitejšie VPN štruktúry môžu potrebovať použiť viac VPN oblastí. Viac informácií o VPN oblastiach a Nebula VPN Orchestrator nájdete v poslednej kapitole.
Možnosť NAT traversal vám umožňuje prispôsobiť vašu WAN IP adresu pre VPN. Toto je užitočné v situáciách, kde je k vášmu WAN portu smerovaných viac IP adries a chcete použiť konkrétnu adresu pre VPN.
Site-to-Site VPN: ne-Nebula partneri
Pridanie ne-Nebula partnera prirodzene vyžaduje konfiguráciu na strane Nebula Control Center a samostatného zariadenia.
Na strane Nebula je potrebné vyplniť niektoré informácie o spojení, najmä meno, ktoré bude identifikovať zariadenie, jeho verejnú IP adresu, vzdialenú súkromnú podsieť, ku ktorej sa plánujete pripojiť, a predzdieľaný kľúč. Voliteľne môžete upraviť IPSec politiku podľa vašich potrieb a nastaviť, ktoré lokality budú mať prístup k tomuto smerovaču. Upozorňujeme, že vlastnosť súkromnej podsiete by nemala byť sieťová adresa, ale skutočná adresa zariadenia používaná na kontrolu spojenia v CIDR formáte – napríklad samotný vzdialený VPN server.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNDôležité:
Špeciálne znaky ako -, +, ^, *, [, ], \, ", ? nie sú povolené.
Toto sa v budúcnosti zmení.
V tomto prípade na strane vzdialeného smerovača ATP200 je potrebné najskôr vytvoriť VPN bránu. Nasledujúca konfigurácia vám umožní znovu použiť túto bránu pre toľko partnerov, koľko chcete. Pri predvolenom IPSec návrhu je potrebné zmeniť režim vyjednávania na „Aggressive“ a zadať predzdieľaný kľúč.
Po konfigurácii VPN brány VPN pripojenie konečne umožní nadviazať spojenie medzi dvoma smerovačmi. Nastavte lokálnu a vzdialenú politiku podľa vašej sieťovej topológie. Tieto hodnoty musia zodpovedať konfigurácii v Nebula. Inak vyjednávanie zlyhá.
Po uložení VPN pripojenia by sa spojenie medzi smerovačmi malo vytvoriť do niekoľkých sekúnd.
Viac informácií nájdete v tomto článku:
Nebula VPN - Konfigurácia Site-to-Site VPN pre ne-Nebula partnera
Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurácie
Nebula VPN Orchestrator je výkonný nástroj, ktorý vám umožňuje jednoducho konfigurovať zložité VPN topológie. Platforma NCC umožňuje abstraktnú konfiguráciu bez nutnosti nastavovať jednotlivé VPN pripojenia na každej bráne a bezproblémovo meniť topológiu podľa vašich aktuálnych požiadaviek len niekoľkými kliknutiami!
Nebula VPN topológia vysvetlená
Nebula Orchestrator môže obsahovať viacero VPN oblastí. Každá oblasť môže byť buď Site-to-Site topológia alebo Hub-and-Spoke topológia. V Site-to-Site topológiách sa každá bezpečnostná brána pripája ku všetkým ostatným bránam v rámci VPN oblasti. V Hub-and-Spoke topológiách sa iba brána určená ako Hub pripája k ostatným bránam. Je tiež možné mať jednu alebo viac Site-to-Site oblastí a ďalšie Hub-and-Spoke oblasti.
Každá oblasť môže mať až päť Hubov, pokiaľ oblasť neobsahuje NSG - v takom prípade môže byť v danej oblasti iba jeden Hub. Ak má Hub nastavené výstupné rozhranie na „auto“, všetky WAN pripojenia budú súčasne vytvárať VPN spojenia so Spoke bránami.
Pre komunikáciu medzi oblasťami môžete pre bránu povoliť komunikáciu oblastí (Area Communication). Site-to-Site oblasti musia mať určeného vedúceho oblasti (Area Leader), aby to fungovalo. Vedúci oblasti alebo Hub brány budú vytvárať VPN tunely do iných oblastí a umožnia komunikáciu medzi AC bránami.
Konfigurácia
Konfigurácia VPN Orchestratora sa nachádza v nasledujúcom menu:
Organization-wide > VPN OrchestratorHorná časť obrazovky zobrazuje mapu s aktuálnou vizualizáciou VPN siete – vrátane chýb spôsobených stratou spojenia. Toto zahŕňa aj pripojenia k ne-Nebula partnerom, ktoré sú rozlíšené prerušovanou čiarou.
V menu Smart VPN môžete vybrať požadovanú oblasť, ktorú chcete konfigurovať, alebo vytvoriť novú a zvoliť požadovanú topológiu.
Na základe vášho výberu budete možno musieť určiť Huby a Spoky v tom istom menu. V každom prípade budete môcť vybrať, ktoré brány sa pripoja k VPN, ktoré podsiete na týchto bránach budú participovať na VPN pripojeniach a nakonfigurovať stav komunikácie oblasti (Area Communication) zariadenia.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.