Virtuellt privat nätverk, eller VPN i korthet, är en av de mest använda funktionerna på våra säkerhetsgatewayar, och med Nebula kan du konfigurera VPN på din USG FLEX på några minuter!
Sammanfattning
Denna artikel täcker alla vanliga VPN-scenarier, vare sig det är fjärråtkomst-VPN eller Site-to-Site VPN (inklusive VPN till icke-Nebula-noder). För att komma åt konfigurationsalternativen, logga in i Nebula Control Center med dina uppgifter på https://nebula.zyxel.com/ och navigera till följande meny beroende på vilken typ av VPN du vill skapa:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Innehållsförteckning
- Fjärråtkomst VPN: L2TP över IPSec
- Fjärråtkomst VPN: IPSec-klient
- Site-to-Site VPN: Nebula-noder
- Site-to-Site VPN: icke-Nebula-noder
- Site-to-Site VPN: VPN Orchestrator och avancerade konfigurationer
Fjärråtkomst VPN: L2TP över IPSec
För att konfigurera L2TP över IPSec VPN, navigera till menyn Fjärråtkomst VPN och aktivera alternativet L2TP över IPSec VPN. De enda obligatoriska fälten för att få din VPN att fungera är att fylla i din hemlighet (Preshared Key) och klientens VPN-subnät. Du bör använda ett subnät som inte redan används någon annanstans. Du kan även vilja ändra DNS-servrarna eller ställa in autentisering till en lokal server, till exempel, men detta är helt valfritt. "Standard"-knappen bredvid Policy öppnar en meny där du kan ställa in IPSec-förslag. Standardvärdena är utformade för att vara kompatibla med de flesta operativsystem.
Site-wide -> Configure -> Firewall -> Remote Access VPNNär du sparat din konfiguration kan du dra nytta av funktionen för VPN-provisionsskript – fyll i en lista med mottagare och klicka på knappen "Skicka e-post". Konfigurationsskriptet med instruktioner om hur du använder det skickas till de angivna adresserna.
Klientkonfiguration - Provisionsskriptläge
Nebula Pro erbjuder ett smidigt sätt att konfigurera Windows- eller macOS-klienter med ett VPN-provisionsskript. Detta kan skickas direkt till användarna:
När e-posten har skickats får användarna ett mail från info@nebula.zyxel.com som innehåller provisionsskripten:
Som namnet antyder är .batfilen avsedd för Windows, medan .mobileconfig-filen är avsedd för macOS. På grund av säkerhetsrestriktioner måste .batfilen byta namn till .bat innan körning. Genom att dubbelklicka på skriptet skapas en VPN-anslutning på ditt system. Vid första anslutningen måste användaren ange sina uppgifter. Dessa sparas efter första lyckade anslutningen.
Klientkonfiguration - Manuellt läge
Det är dock inte svårt att konfigurera VPN manuellt. På Windows, navigera till Inställningar > Nätverk & Internet > VPN och klicka på Lägg till VPN-anslutning.
Fyll i formuläret enligt de uppgifter som tillhandahålls av Nebula (du kan använda antingen IP-adress eller DDNS som automatiskt genereras av Nebula), och du är klar!
Se mer information i denna artikel:
Nebula CC - Konfigurera L2TP för din Nebula brandvägg
Fjärråtkomst VPN: IPSec-klient
På liknande sätt som L2TP över IPSec-konfigurationen sker IPSec VPN-konfigurationen också i menyn Fjärråtkomst VPN och börjar med kryssrutan för IPSec VPN-server. De enda obligatoriska fälten för att få din VPN att fungera är att fylla i en hemlighet (Preshared Key) och klientens VPN-subnät. Det enda att tänka på är att använda ett subnät som inte används någon annanstans. Du kan vilja ändra DNS-servrar eller ställa in autentisering till en lokal server, till exempel, men detta är valfritt. "Standard"-knappen bredvid Policy öppnar en meny där du kan ställa in IPSec-förslag. Standardvärdena är utformade för att ge hög säkerhet för dina IPSec-anslutningar. Du kan även aktivera tvåfaktorsautentisering för dina klienter för att ytterligare förbättra säkerheten med Google Authenticator.
Site-wide -> Configure -> Firewall -> Remote access VPN
Klientkonfiguration
Att konfigurera klienten är mycket enkelt. Först vill vi skapa IPSec-gatewayen och fylla i detaljerna på fliken Autentisering, som i följande exempel som använder standardkryptografivärden:
På fliken Protokoll är det viktigt att markera rutan "Mode Config":
Nu är vi redo att skapa en IPSec-anslutning. Fyll i mål-nätverksadressen, ESP/PFS-parametrar och du är redo att ansluta. Du kan även skapa flera nätverk och använda dem samtidigt:
Det var allt! Nu är du redo att ansluta på distans. Kom ihåg att IPSec-klienten alltid kan exportera konfigurationen när den är klar för att enkelt distribuera den på flera enheter.
Se mer information i denna artikel:
Nebula [VPN] - Hur man konfigurerar IKEv2 IPsec VPN
Site-to-Site VPN: Nebula-noder
Att konfigurera Site-to-Site VPN har aldrig varit enklare. Menyn Site-to-Site VPN börjar med WAN-gränssnittskonfiguration. Du kan välja ett enda WAN-gränssnitt som utgående eller lämna alternativet på auto för att ge redundans. I det fallet kommer du att bli tillfrågad vilket gränssnitt som ska föredras.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNKonfigurationen fortsätter sedan till dina lokala nätverk där lokala gränssnitt och fjärr-VPN-anslutningar finns tillgängliga för att delta i site-to-site VPN-anslutningen.
I nästa sektion kan du konfigurera avancerade inställningar. Till exempel kan du välja önskat VPN-område för ditt nätverk – mindre nätverk klarar sig bra med bara ett standard VPN-område. Större eller mer avancerade VPN-strukturer kan behöva använda fler VPN-områden. Mer information om VPN-område och Nebula VPN Orchestrator finns i sista kapitlet.
Alternativet NAT-traversal låter dig anpassa din WAN-IP-adress för ditt VPN. Detta är användbart i situationer där flera IP-adresser routas till din WAN-port och du vill använda en specifik adress för VPN.
Site-to-Site VPN: icke-Nebula-noder
Att lägga till en icke-Nebula-nod kräver naturligtvis en konfiguration både i Nebula Control Center och på den fristående enheten.
På Nebula-sidan krävs endast att fylla i viss information om anslutningen, särskilt namnet som identifierar enheten, dess publika IP-adress och ett fjärrprivat subnät som du tänker ansluta till samt den fördelade nyckeln. Valfritt kan du redigera IPSec-polisen för att passa dina behov och ange vilka platser som får åtkomst till denna router. Observera att egenskapen för privat subnät inte ska vara en nätverksadress utan en faktisk enhetsadress som används för anslutningskontroll i CIDR-format – till exempel den fjärranslutna VPN-servern själv.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNViktigt:
Särskilda tecken som -, +, ^, *, [, ], \, ", ? är inte tillåtna.
Detta kommer att ändras i framtiden.
I detta fall, på sidan av den fjärranslutna routern, ATP200, måste vi först skapa en VPN-gateway. Följande konfiguration låter dig återanvända denna gateway för så många noder du önskar. Med standard IPSec-förslag behöver du bara ändra förhandlingsläget till "Aggressiv" och ange den fördelade nyckeln.
Efter konfigurationen av VPN-gatewayen kommer VPN-anslutningen slutligen att tillåta oss att upprätta anslutningen mellan de två routrarna. Vänligen ställ in lokal och fjärrpolicy enligt din nätverkstopologi. Dessa värden måste överensstämma med konfigurationen i Nebula. Annars kommer förhandlingen att misslyckas.
Efter att ha sparat VPN-anslutningen bör anslutningen mellan routrarna upprättas inom några sekunder.
Se mer information i denna artikel:
Nebula VPN - Konfigurera Site-to-Site VPN till en icke-Nebula-nod
Site-to-Site VPN: VPN Orchestrator och avancerade konfigurationer
Nebula VPN Orchestrator är ett kraftfullt verktyg som låter dig konfigurera komplexa VPN-topologier med lätthet. NCC-plattformen möjliggör abstrakt konfiguration utan att konfigurera individuella VPN-anslutningar på varje gateway och ändrar smidigt topologin baserat på dina aktuella behov med bara några klick!
Nebula VPN-topologi förklarad
Nebula Orchestrator kan innehålla flera VPN-områden. Varje område kan vara antingen Site-to-Site-topologi eller Hub-and-Spoke-topologi. I Site-to-Site-topologier ansluter varje säkerhetsgateway till alla andra gateways inom VPN-området. I Hub-and-Spoke-topologier är det endast gatewayen som är utsedd som Hub som ansluter till andra gateways. Det är också möjligt att ha en eller flera Site-to-Site-områden och andra Hub-and-Spoke-områden.
Varje område kan ha upp till fem Hubbar om inte området innehåller en NSG – i så fall kan endast en enda Hub finnas i ett givet område. Om Hubben har sitt utgående gränssnitt inställt på "auto" kommer alla WAN-anslutningar att ringa VPN-anslutningar till Spoke-gateways samtidigt.
För att kommunicera mellan områden kan du aktivera områdeskommunikation för gatewayen. Site-to-Site-områden måste ha en utsedd områdesledare för att detta ska fungera. Områdesledarna eller Hub-gateways kommer att ringa VPN-tunnlar till andra områden och möjliggöra kommunikation mellan AC-gateways.
Konfiguration
VPN Orchestrator-konfigurationen finns i följande meny:
Organization-wide > VPN OrchestratorÖvre delen av skärmen visar en karta med en aktuell visualisering av VPN-nätverket – inklusive fel på grund av förlorad anslutning. Detta inkluderar även icke-nebula-nodanslutningar – dessa kan särskiljas med en streckad linje.
I Smart VPN-menyn kan du välja det önskade området du vill konfigurera eller skapa ett nytt och välja önskad topologi.
Baserat på ditt val kan du behöva utse Hubbar och Spokes i samma meny. Men i vilket fall som helst kommer du att kunna välja vilka gateways som ska ansluta till VPN, vilka subnät på dessa gateways som ska delta i VPN-anslutningarna och konfigurera enhetens områdeskommunikationsstatus.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.