Nebula [VPN] - Prehľad virtuálnej súkromnej siete (VPN)

Virtuálna privátna sieť, skrátene VPN, je jednou z najčastejšie používaných funkcií našich bezpečnostných brán a pomocou aplikácie Nebula môžete nakonfigurovať VPN na svojom zariadení USG FLEX za niekoľko minút!

Súhrn

Tento článok sa bude zaoberať všetkými bežnými scenármi VPN, či už ide o vzdialený prístup VPN, alebo VPN medzi lokalitami (vrátane VPN k partnerom, ktorí nie sú súčasťou systému Nebula). Ak chcete získať prístup k možnostiam konfigurácie, prihláste sa do riadiaceho centra Nebula pomocou svojich poverovacích údajov na adrese https://nebula.zyxel.com/ a prejdite do nasledujúcej ponuky v závislosti od typu VPN, ktorú chcete vytvoriť:

Obsah

1. Vzdialený prístup VPN: L2TP cez IPSec
2. Vzdialený prístup VPN: klient IPSec
3. Sieť VPN medzi lokalitami: Nebula peers
4. Site-to-Site VPN: partneri mimo Nebula
5. Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurácie

Vzdialený prístup VPN: L2TP cez IPSec

Ak chcete nakonfigurovať L2TP over IPSec VPN, prejdite do ponuky Remote access VPN (Vzdialený prístup VPN) a povoľte možnosť L2TP over IPSec VPN. Jediné povinné polia na sprevádzkovanie siete VPN sú vyplnenie tajného kľúča (Preshared Key) a klientskej podsiete VPN. Musíte zvážiť iba použitie podsiete, ktorá sa ešte nikde nepoužíva. Môžete napríklad zmeniť servery DNS alebo nastaviť overovanie na miestny server, ale to je úplne voliteľné. Tlačidlo "Default" (Predvolené) vedľa položky Policy (Zásady) otvorí ponuku, ktorá vám umožní nastaviť návrhy IPSec. Predvolené hodnoty sú navrhnuté tak, aby boli kompatibilné s väčšinou operačných systémov.

Po uložení konfigurácie môžete využiť funkciu VPN provision script (Skript poskytovania VPN) - vyplňte zoznam príjemcov a kliknite na tlačidlo "Send Mail" (Odoslať poštu). Na zadané adresy sa odošle konfiguračný skript s pokynmi na jeho používanie.

Konfigurácia klienta - režim skriptu poskytovania

Nebula Pro ponúka pohodlný spôsob konfigurácie klientov so systémom Windows alebo macOS pomocou skriptu na zabezpečenie VPN. Ten možno odoslať priamo používateľom:

Po odoslaní e-mailu dostanú používatelia e-mail z adresy info@nebula.zyxel.com, ktorý obsahuje provisioningové skripty:

Ako naznačuje ich názov, súbor .batfile je určený pre systém Windows, zatiaľ čo súbor .mobileconfig je určený pre systém macOS. Z dôvodu bezpečnostných obmedzení je potrebné súbor .batfile pred spustením premenovať na .bat. Jednoduchým dvojitým kliknutím na skript sa v systéme vytvorí pripojenie VPN. Počas prvého pripojenia musí používateľ zadať svoje prihlasovacie údaje. Tie sa po prvom úspešnom pripojení uložia.

Konfigurácia klienta - manuálny režim

Manuálna konfigurácia siete VPN však nie je náročná. V systéme Windows prejdite do ponuky Nastavenia > Sieť a internet > VPN a kliknite na položku Pridať pripojenie VPN.

Vyplňte formulár podľa poverení poskytnutých spoločnosťou Nebula (Môžete použiť buď IP adresu, alebo DDNS automaticky vygenerovanú spoločnosťou Nebula) a všetko je pripravené!

Viac informácií nájdete v tomto článku:

Nebula CC - Konfigurácia protokolu L2TP pre váš Nebula Firewall

Vzdialený prístup VPN: klient IPSec

Podobne ako konfigurácia L2TP cez IPSec, aj konfigurácia IPSec VPN prebieha v ponuke Vzdialený prístup VPN a začína zaškrtávacím políčkom IPSec VPN server. Jediné povinné polia na sprevádzkovanie siete VPN sú vyplnenie tajného kľúča (Preshared Key) a podsiete Client VPN. Jediné, čo je potrebné zvážiť, je použitie podsiete, ktorá sa ešte nikde nepoužíva. Môžete napríklad zmeniť servery DNS alebo nastaviť overovanie na miestny server, ale to je voliteľné. Tlačidlo "Default" (Predvolené) vedľa položky Policy (Zásady) otvorí ponuku, ktorá vám umožní nastaviť návrhy IPSec. Predvolené hodnoty sú navrhnuté tak, aby poskytovali vysokú bezpečnosť vašich pripojení IPSec. Môžete tiež povoliť dvojfaktorovú autentifikáciu pre svojich klientov, aby ste ešte viac zvýšili bezpečnosť pomocou autentifikátora Google.

Celý web -> Konfigurácia -> Firewall -> Vzdialený prístup VPN

Konfigurácia klienta

Konfigurácia klienta je veľmi jednoduchá. Najprv chceme vytvoriť bránu IPSec a vyplniť údaje na karte Authentication (Overovanie), ako je to v nasledujúcom príklade, ktorý zohľadňuje predvolené hodnoty kryptografie:

Na karte Protokol je dôležité vybrať políčko Konfigurácia režimu:

Teraz sme pripravení vytvoriť pripojenie IPSec. Vyplňte cieľovú sieťovú adresu, parametre ESP/PFS a môžete sa pripojiť. Môžete vytvoriť aj viacero sietí a pristupovať k nim súčasne:

To je všetko! Teraz ste pripravení na vzdialené pripojenie. Nezabudnite, že klient IPSec môže po dokončení vždy exportovať konfiguráciu, aby ju mohol ľahko nasadiť na viacerých zariadeniach.

Viac informácií nájdete v tomto článku:

Nebula [VPN] - Ako nakonfigurovať IKEv2 IPsec VPN

Sieť VPN medzi lokalitami: Nebula peers

Konfigurácia Site-to-Site VPN nebola nikdy jednoduchšia. Ponuka Site-to-Site VPN začína konfiguráciou rozhrania WAN. Ako odchádzajúce rozhranie WAN môžete vybrať jedno rozhranie WAN alebo ponechať možnosť auto, aby ste zabezpečili redundanciu. V takom prípade sa zobrazí otázka, ktoré rozhranie sa má uprednostniť.

Konfigurácia potom pokračuje do vašich lokálnych sietí, kde sú k dispozícii lokálne rozhrania a vzdialené pripojenia VPN, ktoré sa môžu podieľať na spojení VPN medzi lokalitami.

V ďalšej časti môžete konfigurovať rozšírené nastavenia. Môžete napríklad vybrať požadovanú oblasť VPN pre vašu sieť - menšie siete si vystačia len s jednou predvolenou oblasťou VPN. Väčšie alebo jednoducho zložitejšie štruktúry VPN môžu potrebovať použitie viacerých Oblastí VPN. Viac informácií týkajúcich sa Oblasti VPN a Nebula VPN Orchestrator nájdete v poslednej kapitole.

Možnosť NAT traversal vám umožňuje prispôsobiť IP adresu WAN pre vašu VPN. Je to užitočné v situáciách, keď je na váš port WAN smerovaných viacero IP adries a vy chcete pre VPN použiť konkrétnu adresu.

Viac informácií nájdete v tomto článku:

Nebula VPN - Konfigurácia siete VPN medzi lokalitami v systéme Nebula medzi dvoma bránami Nebula

Site-to-Site VPN: partneri mimo Nebula

Pridanie partnera mimo Nebula si prirodzene vyžaduje konfiguráciu v riadiacom centre Nebula a v samostatnom zariadení.

Na strane Nebula je potrebné vyplniť len niektoré informácie o pripojení, najmä názov, ktorý bude identifikovať zariadenie, jeho verejnú IP adresu a vzdialenú súkromnú podsieť, ktorú chcete pripojiť k preddeľovanému kľúču. Voliteľne môžete upraviť zásady IPSec podľa svojich potrieb a nastaviť, ktoré lokality budú mať prístup k tomuto smerovaču. Upozorňujeme, že vlastnosť súkromnej podsiete by nemala byť sieťová adresa, ale skutočná adresa zariadenia používaná na účely kontroly pripojenia vo formáte CIDR - napríklad samotný vzdialený server VPN.

Dôležité:
Špeciálne znaky ako -, +, ^, *, [, ], \, ", ? nie sú povolené.
V budúcnosti sa to zmení.

V tomto prípade budeme musieť na strane vzdialeného smerovača ATP200 najprv vytvoriť bránu VPN. Nasledujúca konfigurácia vám umožní opakovane používať túto bránu pre ľubovoľný počet partnerov. S predvoleným návrhom IPSec je potrebné zmeniť iba režim vyjednávania na "Aggressive" (agresívny) a vopred zdieľaný kľúč.

Po konfigurácii brány VPN nám pripojenie VPN konečne umožní nadviazať spojenie medzi dvoma smerovačmi. Nastavte miestnu a vzdialenú politiku podľa topológie vašej siete. Tieto hodnoty sa musia zhodovať s konfiguráciou v programe Nebula. V opačnom prípade bude vyjednávanie neúspešné.

Po uložení spojenia VPN by sa malo spojenie medzi smerovačmi vytvoriť do niekoľkých sekúnd.

Viac informácií nájdete v tomto článku:

Nebula VPN - konfigurácia siete VPN medzi lokalitami s partnerom, ktorý nie je súčasťou Nebula

Site-to-Site VPN: VPN Orchestrator a pokročilé konfigurácie

Nebula VPN Orchestrator je výkonný nástroj, ktorý vám umožňuje jednoducho konfigurovať zložité topológie VPN. Platforma NCC umožňuje abstraktnú konfiguráciu bez konfigurácie jednotlivých pripojení VPN na každej bráne a bezproblémovú zmenu topológie na základe vašich aktuálnych požiadaviek pomocou niekoľkých kliknutí!

Vysvetlenie topológie Nebula VPN

Nebula Orchestrator môže obsahovať viacero oblastí VPN. Každá oblasť môže mať topológiu Site-to-Site alebo topológiu Hub-and-Spoke. V topológii Site-to-Site sa každá bezpečnostná brána pripája ku všetkým ostatným bránam v rámci oblasti VPN. V topológiách Hub-and-Spoke sa jediná brána určená ako Hub pripojí k ostatným bránam. Je tiež možné mať jednu alebo viac Site-to-Site oblastí a ďalšie Hub-and-Spoke oblasti.

Každá oblasť môže mať až päť rozbočovačov, pokiaľ oblasť neobsahuje NSG - v takom prípade môže byť v danej oblasti len jeden rozbočovač. Ak má Hub svoje výstupné rozhranie nastavené na "auto", všetky pripojenia WAN budú súčasne vytáčať pripojenia VPN na brány Spoke.

Ak chcete komunikovať medzi oblasťami, môžete pre bránu povoliť komunikáciu v oblasti. Aby to fungovalo, musia mať oblasti Site-to-Site určeného Area Leader (Vedúci oblasti). Area Leaders (Vedúci oblasti) alebo rozbočovacie brány budú vytáčať tunely VPN do iných oblastí a umožnia komunikáciu medzi AC bránami.

Konfigurácia

Konfiguráciu nástroja VPN Orchestrator nájdete v nasledujúcej ponuke:

Organization-wide > VPN Orchestrator

V hornej časti obrazovky sa zobrazuje mapa s aktuálnou vizualizáciou siete VPN - vrátane porúch spôsobených stratou spojenia. Zahŕňa aj partnerské pripojenia, ktoré nie sú súčasťou siete Nebula - tie možno odlíšiť prerušovanou čiarou.

V ponuke Smart VPN môžete vybrať požadovanú oblasť, ktorú chcete konfigurovať, alebo vytvoriť novú a vybrať požadovanú topológiu.

Na základe vášho výberu môže byť potrebné v tej istej ponuke určiť Huby a Spoje. V každom prípade však budete môcť vybrať, ktoré brány sa budú pripájať k sieti VPN, ktoré podsiete na týchto bránach sa budú zúčastňovať na pripojeniach VPN a nakonfigurovať stav Area Communication (Komunikácia v oblasti) zariadenia.

Organization-wide -> Organization-wide manage -> VPN Orchastrator