Den här guiden hjälper till med konfigurationen av Zyxel IPSec VPN-klient (version 3.8.204.61.32) för VPN-anslutning med Nebula CC IPSec Remote Access VPN (C2S)-funktionen med Nebula Security PRmkt7_N4GtS.

Innehållsförteckning

1. Översikt
2. Enheter som stöds
3. Installation av Nebula Control Center
4. VPN Client Setup (SecuExtender IPSEC VPN Client)

Översikt

Ett VPN (Virtual P rivate Network ) ger säker kommunikation mellan platser utan kostnad för hyrda förbindelser. VPN används för att säkert transportera trafik över internet i ett osäkert nätverk som använder TCP/IP-kommunikation. En fjärråtkomst VPN (klient-till-plats) ger anställda som är på resande fot eller distansarbetare säker åtkomst till företagets nätverksresurser. Det finns flera typer av VPN-protokoll/teknologier som kan användas för att upprätta en säker länk till företagets nätverk, L2TP, PPTP, SSL, OpenVPN, etc. Denna guide kommer att referera till IPSec-protokollet för att upprätta en säker VPN-tunnel mellan externa värdar ( användare som är anslutna till internet utanför företagets nätverksstruktur) och NebulaCC-gatewayen. Tredjeparts IPSec-programvara krävs för att upprätta VPN-anslutningen eftersom nuvarande operativsystem saknar en inbyggd IPSec-klient. Denna genomgång hjälper till att konfigurera VPN-installationen på IPSec VPN-klienten (version 3.8.204.61.32).

Enheter som stöds

NSG-serien (50/100/200/300)
USG FLEX-serien (100/100W/200/500/700)

Nebula CC VPN-inställning

Obs: På Nebula Control Center finns det ett krav att det måste finnas en användardatabas i bakgrunden för att med IPSec-klienten autentisera mot. För att detta ska fungera måste vi i klienten ställa in "X-Auth" och "Config Mode".

Klicka in i det nya Nebula CC användargränssnittet och gå till:

Security gateway (or USG FLEX) → Configure → Remote access VPN

Ange klientens VPN-server som en IPSec-klient. Om din NSG/USG FLEX är placerad bakom NAT-gatewayen, måste du skriva NAT-traversal.

Skapa ett VPN-klientkonto för autentisering. Typen är Nebula Cloud Autentisering. Se till att skapa en användare i respektive undermeny

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN-klientkonfiguration

Den senaste versionen av Zyxel IPSec VPN-klienten kan laddas ner från här . När klienten har installerats, starta programmet och öppna Konfigurationspanel . Klicka på mappen "IKE V1" under VPN-konfiguration , när mappen är vald, tryck på "Ctrl + N"-tangenterna på tangentbordet för att lägga till en "Ikev1Gateway"-regel. Gör följande ändringar i regeln:

1. Fjärrkontroll Gateway
   
   • Gränssnitt – Välj det gränssnitt som datorn ska använda för att upprätta VPN-anslutningen. Ställ in detta på Några om VPN-klienten kommer att tillåtas använda vilken anslutning som helst på datorn.
   • Fjärr Gateway – Skriv in FQDN/DDNS/IP för NebulaCC-gatewayen som du kommer att ansluta till.
2. Autentisering
   
   • Välj alternativet "Fördelad nyckel".
   • Skriv in den fördelade nyckeln som används i NebulaCC IPSec-konfigurationen och "Bekräfta" nyckeln.
3. X-Auth
   
   • Aktivera – Den här rutan ska vara markerad.
   • X-Auth Popup – Den här rutan ska bara markeras om du ville bli tillfrågad om användarnamn och lösenord vid anslutning
     • Logga in – Ange NebulaCC VPN-kontots användarnamn. Endast om "X-Auth Popup" är avmarkerad.
     • Lösenord – Ange lösenordet för NebulaCC VPN-konto. Endast om "X-Auth Popup" är avmarkerad.
4. Kryptografi (exempel på installation)
   • Kryptering – Välj AES256 från rullgardinsmenyn.
   • Autentisering – Välj SHA-256 från rullgardinsmenyn.
   • Nyckelgrupp – Välj DH14 (1024) från rullgardinsmenyn.

Från "Ikev1Gateway" klicka på Protokoll fliken och gör följande ändring:

Aktivera Mode Config alternativ.
Medan "Ikev1Gateway" är markerad, tryck på "Ctrl + N"-tangenterna på tangentbordet igen för att lägga till "Ikev1Tunnel"-delen av anslutningen. Gör följande ändringar:

1. Adress
   
   • VPN-klientadress – Lämna det här alternativet som det är. (0.0.0.0 som standard)
   • Adresstyp – Välj Subnätadress från rullgardinsmenyn.
   • Fjärr-LAN-adress – Skriv in NebulaCC lokala LAN IP-schema.
   • Subnet Mask – Skriv in NebulaCC lokal LAN-subnätmask.
2. ESP
   
   • Kryptering – Välj AES256 från rullgardinsmenyn.
   • Autentisering – Välj SHA-256 från rullgardinsmenyn.
   • Läge – Välj Tunnel från rullgardinsmenyn.
3. PFS
   
   • Lämna det här alternativet omarkerat.
4. Livstid
   
   • Livslängden är den tid, i sekunder, innan klienten omförhandlar algoritmerna.

När alla inställningar har gjorts, klicka på Konfiguration alternativet i verktygsfältet och välj Spara . Detta kommer att spara alla ändringar som gjorts till klienten.

För att upprätta VPN-anslutningen till NebulaCC-gatewayen, högerklicka på alternativet "Ikev1Tunnel" och välj Öppna tunneln eller tryck på (Ctrl + O) på ditt tangentbord.

Verifiering

När VPN-anslutningen har upprättats kan du verifiera anslutningen genom att öppna ett kommandotolkfönster (eller PowerShell) och utfärda följande kommandon.

• ipconfig
  Detta kommando ger IP-adressen för VPN-gränssnittet.
  
• ping [fjärradress]
  Detta kommando låter dig köra ett pingtest till en enhet som finns på NebulaCC gateways LAN-nätverk.
  

På NCC bör du nu kunna se loggar som visar att VPN fungerar korrekt. I skärmdumpen nedan kan du se att förfrågningarna om huvudläge har nått USG, Fas 1 kunde etablerats och XAuth i Nebula Control Center fungerar bra.