Viktigt meddelande: |
Virtual Private Network, eller VPN, är en av de mest använda funktionerna på våra säkerhetsgateways, och med Nebula kan du konfigurera VPN på din USG FLEX på några minuter!
Synopsis
Denna artikel kommer att täcka alla vanliga VPN-scenarier, vare sig det är VPN för fjärråtkomst eller Site-to-Site VPN (inklusive VPN till icke-Nebula peers). För att komma åt konfigurationsalternativen, logga in på Nebula Control Center med dina autentiseringsuppgifter på https://nebula.zyxel.com/ och navigera till följande meny beroende på vilken typ av VPN du vill skapa:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
Innehållsförteckning
- VPN för fjärråtkomst: L2TP över IPSec
- VPN för fjärråtkomst: IPSec-klient
- VPN från plats till plats: Nebula peers
- Webbplats-till-plats-VPN: peers som inte är från Nebula
- Site-to-Site VPN: VPN Orchestrator och avancerade konfigurationer
VPN för fjärråtkomst: L2TP över IPSec
För att konfigurera L2TP över IPSec VPN, navigera till menyn Fjärråtkomst VPN och aktivera alternativet L2TP över IPSec VPN. De enda obligatoriska fälten för att VPN ska fungera är att fylla i din hemlighet (Preshared Key) och klientens VPN-subnät. Du behöver bara överväga att använda ett undernät som ännu inte används någon annanstans. Du kanske vill ändra DNS-servrarna eller ställa in autentiseringen till en lokal server, till exempel, men det är helt valfritt. Knappen "Standard" bredvid Policy öppnar en meny där du kan ställa in IPSec-förslag. Standardvärdena är utformade för att vara kompatibla med de flesta operativsystem.
Site-wide -> Configure -> Firewall -> Remote Access VPN
När du har sparat din konfiguration kan du använda funktionen VPN provision script - fyll i en lista med mottagare och klicka på knappen "Send Mail". Konfigurationsskriptet med instruktioner om hur du använder det kommer att skickas till de angivna adresserna.
Klientkonfiguration - Läge för tillhandahållandeskript
Nebula Pro erbjuder ett bekvämt sätt att konfigurera Windows- eller macOS-klienter med hjälp av ett VPN-provisioneringsskript. Detta kan skickas direkt till användarna:
När e-postmeddelandet har skickats kommer användarna att få ett e-postmeddelande från info@nebula.zyxel.com som innehåller provisioneringsskript:
Som namnet antyder är .batfile-filen avsedd för Windows, medan .mobileconfig-filen är avsedd för macOS. På grund av säkerhetsrestriktioner måste .batfile-filen döpas om till .bat innan den körs. Genom att dubbelklicka på skriptet skapas en VPN-anslutning på ditt system. Under den första anslutningen måste användaren ange sina autentiseringsuppgifter. Dessa sparas efter den första lyckade anslutningen.
Klientkonfiguration - manuellt läge
Det är dock ingen svår uppgift att konfigurera VPN manuellt. I Windows navigerar du till Inställningar > Nätverk & Internet > VPN och klickar på Lägg till VPN-anslutning.
Fyll i formuläret enligt de uppgifter som tillhandahålls av Nebula (Du kan använda antingen IP-adress eller DDNS som automatiskt genereras av Nebula), och du är klar!
Se mer information i den här artikeln:
Nebula CC - Konfigurera L2TP för din Nebula-brandvägg
VPN för fjärråtkomst: IPSec-klient
På samma sätt som L2TP över IPSec-konfigurationen sker IPSec VPN-konfigurationen också i menyn Remote Access VPN och börjar med kryssrutan IPSec VPN-server. De enda obligatoriska fälten för att få ditt VPN att fungera är att fylla i en hemlighet (Preshared Key) och Client VPN subnet. Det enda du bör tänka på är att använda ett subnät som ännu inte används någon annanstans. Du kanske vill ändra DNS-servrarna eller ställa in autentisering till en lokal server, till exempel, men det är valfritt. Knappen "Standard" bredvid Policy öppnar en meny där du kan ställa in IPSec-förslag. Standardvärdena är utformade för att ge hög säkerhet för dina IPSec-anslutningar. Du kan också aktivera tvåfaktorsautentisering för dina klienter för att förbättra säkerheten ytterligare med Google authenticator.
Webbplatsövergripande -> Konfigurera -> Brandvägg -> VPN för fjärråtkomst
Klientkonfiguration
Konfigurationen av klienten är mycket enkel. Först vill vi skapa IPSec Gateway och fylla i uppgifterna på fliken Autentisering, t.ex. i följande exempel, där standardvärden för kryptografi beaktas:
På fliken Protokoll är det viktigt att markera rutan "Mode Config":
Nu är vi redo att skapa en IPSec-anslutning. Fyll i målnätverksadressen, ESP/PFS-parametrarna och du är redo att ansluta. Du kan också skapa flera nätverk och få åtkomst till dem samtidigt:
Nu är det klart! Nu är du redo att ansluta på distans. Kom ihåg att IPSec-klienten alltid kan exportera konfigurationen när den är klar för att enkelt distribuera den på flera enheter.
Se mer information i den här artikeln:
Nebula [VPN] - Hur man konfigurerar IKEv2 IPsec VPN
VPN från plats till plats: Nebula-peers
Det har aldrig varit enklare att konfigurera ett Site-to-Site VPN. Menyn Site-to-Site VPN börjar med konfigurering av WAN-gränssnitt. Du kan välja ett enda WAN-gränssnitt som utgående eller lämna alternativet som auto för att tillhandahålla redundans. I så fall kommer du att bli tillfrågad om vilket gränssnitt som ska föredras.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Konfigurationen fortsätter sedan till dina lokala nätverk, där lokala gränssnitt och fjärr-VPN-anslutningar är tillgängliga för att delta i VPN-anslutningen site-to-site.
I nästa avsnitt kan du konfigurera de avancerade inställningarna. Du kan t.ex. välja önskat VPN-område för ditt nätverk - mindre nätverk klarar sig bra med bara ett standard-VPN-område. Större eller mer avancerade VPN-strukturer kan behöva använda fler VPN-områden. Mer information om VPN-områden och Nebula VPN Orchestrator finns i det sista kapitlet.
Med alternativet NAT-traversal kan du anpassa din WAN-IP-adress för ditt VPN. Detta är användbart i situationer där flera IP-adresser dirigeras till din WAN-port och du vill använda en specifik adress för VPN.
Se mer information i den här artikeln:
Nebula VPN - Konfigurera Site-to-Site VPN i Nebula mellan två Nebula Gateways
Webbplats-till-plats-VPN: peers som inte är från Nebula
Att lägga till en peer som inte är från Nebula kräver naturligtvis en konfiguration på Nebula Control Center och den fristående enheten.
På Nebula-sidan är det bara nödvändigt att fylla i viss information om anslutningen, särskilt det namn som kommer att identifiera enheten, dess offentliga IP-adress och ett privat fjärrundernät som du tänker ansluta till den fördelade nyckeln. Du kan också redigera IPSec-policyn så att den passar dina behov och ange vilka webbplatser som ska få åtkomst till routern. Observera att egenskapen privat subnät inte ska vara en nätverksadress utan en faktisk enhetsadress som används för anslutningskontroll i CIDR-format - till exempel själva VPN-servern på distans.
Site-wide -> Configure -> Firewall -> Site-to-Site VPN
Viktigt att tänka på:
Specialtecken som -, +, ^, *, [, ], \, ", ? är inte tillåtna.
Detta kommer att ändras i framtiden.
I det här fallet måste vi på sidan av fjärroutern, ATP200, först skapa en VPN-gateway. Följande konfiguration gör att du kan återanvända denna gateway för så många peers som du vill. Med standardförslaget för IPSec behöver du bara ändra förhandlingsläget till "Aggressive" och den fördelade nyckeln är nödvändig.
Efter konfigurationen av VPN-gatewayen kommer VPN-anslutningen slutligen att göra det möjligt för oss att upprätta anslutningen mellan de två routrarna. Ställ in den lokala och fjärrpolicyn enligt din nätverkstopologi. Dessa värden måste matcha konfigurationen i Nebula. Annars kommer förhandlingen att misslyckas.
När VPN-anslutningen har sparats bör anslutningen mellan routrarna upprättas inom några sekunder.
Se mer information i den här artikeln:
Nebula VPN - Konfigurera Site-to-Site VPN till en icke-Nebula-Peer
Site-to-Site VPN: VPN Orchestrator och avancerade konfigurationer
Nebula VPN Orchestrator är ett kraftfullt verktyg som gör det enkelt att konfigurera komplexa VPN-topologier. NCC-plattformen möjliggör abstrakt konfiguration utan att konfigurera enskilda VPN-anslutningar på varje gateway och sömlöst ändra topologin baserat på dina nuvarande krav med bara några få klick!
Nebula VPN-topologi förklarad
Nebula Orchestrator kan innehålla flera VPN-områden. Varje område kan vara antingen Site-to-Site-topologi eller Hub-and-Spoke-topologi. I Site-to-Site-topologier ansluter varje säkerhetsgateway till alla andra gateways inom VPN-området. I Hub-and-Spoke-topologier ansluter den enda gateway som är utsedd till Hub till andra gateways. Det är också möjligt att ha ett eller flera Site-to-Site-områden och andra Hub-and-Spoke-områden.
Varje område kan ha upp till fem hubbar om inte området innehåller en NSG - i så fall kan bara en enda hubb finnas i ett visst område. Om hubbens utgående gränssnitt är inställt på "auto" kommer alla WAN-anslutningar att ringa upp VPN-anslutningarna till Spoke-gatewayen samtidigt.
Om du vill kommunicera mellan områden kan du aktivera områdeskommunikation för gatewayen. Site-to-Site-områden måste ha en utsedd områdesledare för att detta ska fungera. Area Leaders eller Hub-gateways kommer att ringa upp VPN-tunnlar till andra områden och möjliggöra kommunikation mellan AC-gateways.
Konfiguration
VPN Orchestrator-konfigurationen finns i följande meny:
Organization-wide > VPN Orchestrator
Den övre delen av skärmen visar en karta med en aktuell visualisering av VPN-nätverket - inklusive fel på grund av anslutningsförlust. Detta inkluderar även peer-anslutningar som inte är från Nebula - dessa kan särskiljas med en streckad linje.
I menyn Smart VPN kan du välja önskat område som du vill konfigurera eller skapa ett nytt och välja önskad topologi.
Baserat på ditt val kan du behöva ange Hubs och Spokes i samma meny. Men i vilket fall som helst kommer du att kunna välja vilka gateways som ska ansluta till VPN, vilka subnät på dessa gateways som ska delta i VPN-anslutningarna och konfigurera enhetens status för områdeskommunikation.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.