Zyxel Nebula Remote Access VPN - Så här konfigurerar du IKEv2 IPsec Remote Access VPN

Skapat - Uppdaterad
Serhii Boiarynov
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, var medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om riktigheten i informationen i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Artikeln ger en detaljerad guide för att konfigurera IKEv2 VPN i Nebula, inklusive att skapa Nebula Cloud-användare för VPN-åtkomst och konfigurera SecuExtender-klienten. Den beskriver begränsningarna med IKEv2, till exempel bristen på officiellt stöd för fördelade nycklar, och ger steg-för-steg-instruktioner för att aktivera IPsec VPN-servern, konfigurera klient-VPN-undernät och konfigurera autentiseringsalternativ som Nebula Cloud Authentication, Active Directory och tvåfaktorsautentisering via Google Authenticator. Artikeln behandlar även skapande av VPN-användare, sändning av konfigurationsfiler och verifiering av VPN-anslutningar samt felsökningstips och ytterligare inställningar för förbättrad säkerhet.

Den här artikeln hjälper dig att förstå vad du kan göra med IKEv2 VPN i Nebula. Den förklarar hur du konfigurerar IKEv2, skapar Nebula Cloud-användare för VPN-åtkomst och konfigurerar SecuExtender-klienten.

IKEv2 Begränsningar

Nebula har för närvarande inte officiellt stöd för att använda:

  • IKEv2 med fördelad nyckel

Konfigurera IKEv2 i Nebula

  • Aktivera "IPsec VPN-server" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Aktivera "IPsec VPN-servern"
  • Ange klientens VPN-undernät (detta är det undernät som VPN-klienterna kommer att få och det får INTE överlappa något annat undernät i din Nebula-organisation eller fjärr-VPN-undernät (bör skrivas som xx.xx.xx.xx/xx "ex. 192.168.50.0/24"))
  • Välj IKEv2-version
  • Ange vid behov namnservrar (DNS-servrar) för VPN-klienter. Om du använder interna DHCP/DNS-servrar ska du ange den interna DNS-servern och använda Google DNS (8.8.8.8) som den andra namnserverposten. Den här inställningen hjälper till att förhindra eventuella DNS- och kommunikationsproblem med VPN-klienter.
  • Nebula Cloud Authentication- använder vi i vårt exempel. Mendu har alternativ för autentisering. Du kan välja Nebula Cloud Authentication, din egen Active Directory- eller RADIUS-server, eller till och med använda tvåfaktorsautentisering via Google Authenticator-appen. Detta kan ställas in genom att aktivera funktionen "tvåfaktorsautentisering med Captive Portal". När en användare ansluter till VPN kommer de att uppmanas att logga in med Google Authenticator. De kan också registrera sig för tvåfaktorsautentisering via ett e-postmeddelande som innehåller deras inloggningsuppgifter.
  • SecuExtender IKEv2 VPN configuration provision - Välj det eller de e-postmeddelanden som du vill använda för att skicka VPN-konfigurationsfilen för SecuExtender IKEv2 VPN (du kan lägga till och ta bort e-postmeddelanden här som inte träder i kraft förrän du trycker på "spara").
  • Klicka på "Save"

  • Nästa steg är att ändra "Policy", för att göra detta klickar du på "Default" och konfigurerar inställningarna för Phase 1 och Phase 2 enligt nedan (glöm inte att spara inställningarna genom att klicka på knappen "Save"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • När du har ändrat policyerna, kom ihåg att spara ändringarna genom att klicka på knappen "Spara".

Obs: MacOS kan kräva högre kryptering och autentisering där AES256 & SHA256 fungerar bra enligt vår erfarenhet

Skapa Nebula molnanvändare

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Klicka på "Läggtill" en ny VPN-användare
  • Fyll i "Email" som kan användas för att skicka inloggningsuppgifterna och även för inloggning (om valt).
  • Fyll i "Användarnamn" och "Lösenord
  • VPN Access - bör vara aktiverat för att VPN-användaren ska kunna komma åt VPN och framgångsrikt autentisera sig med användaruppgifterna
  • Authorized - välj vilka webbplatser du vill ge åtkomst till
  • Login by - välj om användaren kan logga in på VPN / 802.1x med användarnamn, e-postadress eller med någon av dem
  • Tvåfaktorsauth. -markera rutan om du INTE vill att tvåfaktorsautentisering ska ställas in för den här användaren
  • E-post till användare - välj om du vill skicka inloggningsuppgifterna till användaren via e-post
  • Obs: varje gång du trycker på "spara" (eller "skapa användare") efter ändringar får användaren ett e-postmeddelande. Så om du ändrar inställningarna för den användaren kan det vara bra att avmarkera rutan tills du är klar med att konfigurera användaren

Ytterligare inställningar som är intressanta att känna till:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature ) är dynamisk lösenordshantering för WiFi (inte VPN), vilket kan göra dina VPN-användare och nätverk säkrare. Det skapar ett unikt lösenord för varje användare så att en användare lättare kan isoleras om den blir hackad.
  • 802.1X - För nätverksautentisering (inte VPN) kan detta göra att användarna autentiserar sig med nätverket med 802.1x med Nebula Cloud-autentisering.
  • VLAN-tilldelning - VLAN-tilldelning är en funktion i Professional Pack som konfigurerar ett statiskt VLAN till användaren när den går in i nätverket.

Konfigurera SecuExtender-klienten

  • Skicka .tgb-filen (VPN-konfiguration) via e-post
Site-wide -Configure Firewall -> Remote access VPN
  • Skicka VPN-konfigurationen till din e-post genom att lägga till din e-postadress (eller användarnas e-postadresser) och sedan trycka på "Lägg till ny" om den inte finns. Klicka sedan på "Skicka e-post" och kontrollera din e-post (och skräppostmappen)

  • Installera .tgb-filen i SecuExtender

mceclip4.png

  • Om du inte kan få popup-fönstret att visas, öppna SecuExtender på skrivbordet så att du ser SecuExtender IPsec VPN-klient (fönstret som visas på bilden nedan) och öppna sedan .tgb-filen från e-postmeddelandet igen


  • Kontroll av anslutning

När du har importerat konfigurationen till VPN-klienten, dubbelklicka på "RemoteAccessVPN", ange sedan "Login" och "Password" och klicka på "OK"

  • Om du stöter på några problem, dubbelkolla inställningarna för fas 1 och fas 2 i SecuExtender och se till att du har samma kryptering och autentisering på Nebula IKEv2 VPN-inställningarna

  • Inaktivera delad tunnling

Om du har problem med att all trafik går genom VPN-tunneln (både internet- och VPN-trafik), titta på den här artikeln:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Verifiera VPN-anslutningen

När VPN-anslutningen har upprättats kan du verifiera anslutningen genom att öppna ett kommandotolksfönster (eller PowerShell) och ge följande kommandon.

  • ipkonfig

Detta kommando ger IP-adressen för VPN-gränssnittet.

mceclip4.png

  • ping [fjärr_adress]

Med det här kommandot kan du köra ett ping-test till en enhet som finns i LAN-nätverket för NebulaCC-gateways.

mceclip5.png

  • På NCC bör du nu kunna se loggar som visar att VPN fungerar korrekt. I skärmdumpen nedan kan du se att huvudlägesförfrågningarna har nått USG, fas 1 kunde framgångsrikt upprättas och XAuth i Nebula Control Center fungerar bra.

mceclip0.png

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela