Zyxel Nebula Uzaktan Erişim VPN - IKEv2 IPsec Uzaktan Erişim VPN nasıl yapılandırılır

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metin doğru şekilde çevrilmemiş olabilir. Çevrilmiş versiyondaki bilgilerin doğruluğu konusunda sorularınız veya tutarsızlıklarınız varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Makale, VPN erişimi için Nebula Cloud kullanıcılarının oluşturulması ve SecuExtender istemcisinin yapılandırılması dahil olmak üzere Nebula'da IKEv2 VPN kurulumu hakkında ayrıntılı bir kılavuz sağlar. Önceden paylaşılan anahtarlar için resmi desteğin olmaması gibi IKEv2'nin sınırlamalarını ana hatlarıyla belirtir ve IPsec VPN sunucusunu etkinleştirmek, istemci VPN alt ağlarını yapılandırmak ve Nebula Cloud Authentication, Active Directory ve Google Authenticator aracılığıyla iki faktörlü kimlik doğrulama gibi kimlik doğrulama seçeneklerini ayarlamak için adım adım talimatlar sağlar. Makalede ayrıca VPN kullanıcıları oluşturma, yapılandırma dosyaları gönderme ve VPN bağlantılarını doğrulama konuları ele alınmakta, sorun giderme ipuçları ve gelişmiş güvenlik için ek ayarlar sunulmaktadır.

Bu makale, Nebula'da IKEv2 VPN ile neler yapabileceğinizi anlamanıza yardımcı olacaktır. IKEv2'nin nasıl kurulacağını, VPN erişimi için Nebula Cloud kullanıcılarının nasıl oluşturulacağını ve SecuExtender istemcisinin nasıl yapılandırılacağını açıklar.

IKEv2 Sınırlamaları

Nebula şu anda resmi olarak kullanımı desteklemiyor:

  • Ön paylaşımlı anahtar ile IKEv2

Nebula'da IKEv2'yi Yapılandırma

  • "IPsec VPN sunucusunu" etkinleştirin 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • "IPsec VPN sunucusunu" etkinleştirin
  • İstemci VPN alt ağını girin (bu, VPN istemcilerinin alacağı alt ağdır ve Nebula kuruluşunuzdaki başka herhangi bir alt ağla veya uzak VPN alt ağlarıyla çakışAMAZ (xx.xx.xx.xx/xx "örn. 192.168.50.0/24" olarak yazılmalıdır)
  • IKEv2 sürümünü seçin
  • Gerekirse, VPN istemcileri için ad sunucularını (DNS sunucuları) sağlayın. Dahili DHCP/DNS sunucuları kullanıyorsanız, dahili DNS sunucusunu belirtin ve ikinci ad sunucusu girişi olarak Google DNS (8.8.8.8) kullanın. Bu kurulum, VPN istemcileriyle olası DNS ve iletişim sorunlarını önlemeye yardımcı olur.
  • Nebula Bulut Kimlik Doğrulaması- biz örneğimizde kullanıyoruz. Ancakkimlik doğrulama için seçenekleriniz var. Nebula Bulut Kimlik Doğrulama, kendi Active Directory veya RADIUS sunucunuzu kullanabilir veya hatta Google Authenticator Uygulaması aracılığıyla iki faktörlü kimlik doğrulama kullanabilirsiniz. Bu, "Captive Portal ile iki faktörlü kimlik doğrulama" özelliği açılarak ayarlanabilir. Bir kullanıcı VPN'e bağlandığında, Google Authenticator ile oturum açmaya yönlendirilecektir. Ayrıca, giriş bilgilerini içeren bir e-posta yoluyla iki faktörlü kimlik doğrulama için kaydolabilirler.
  • SecuExtender IKEv2 VPN yapılandırma hükmü - SecuExtender IKEv2 VPN için VPN yapılandırma dosyasını göndermek için kullanmak istediğiniz e-posta(lar)ı seçin (burada e-posta ekleyebilir ve kaldırabilirsiniz, ancak "kaydet" düğmesine basana kadar etkili olmaz).
  • "Kaydet"e tıklayın

  • Bir sonraki adım "Politika"yı değiştirmektir, bunu yapmak için "Varsayılan"a tıklayın ve Faz 1 ve Faz 2 ayarlarını aşağıdaki gibi yapılandırın ("Kaydet" düğmesine tıklayarak ayarları kaydetmeyi unutmayın):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Politikaları değiştirdikten sonra, "Kaydet" düğmesine tıklayarak değişiklikleri kaydetmeyi unutmayın.

Not: MacOS, AES256 ve SHA256'nın deneyimlerimize göre harika çalıştığı daha yüksek şifreleme ve kimlik doğrulama gerektirebilir

Nebula Bulut Kullanıcıları Oluşturma

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Yeni bir VPN kullanıcısı "Ekle"ye tıklayın
  • Kimlik bilgilerini göndermek ve ayrıca oturum açmak için kullanılabilecek "E-posta"yı doldurun (seçildiyse).
  • "Kullanıcı Adı" ve "Şifre "yi doldurun
  • VPN Erişimi - VPN kullanıcısının VPN'e erişebilmesi ve kullanıcı kimlik bilgileriyle başarılı bir şekilde kimlik doğrulaması yapabilmesi için etkinleştirilmelidir
  • Yetkili - hangi sitelere erişime izin vermek istediğinizi seçin
  • Login by - kullanıcının VPN / 802.1x'e kullanıcı adı, e-posta adresi veya her ikisini kullanarak giriş yapıp yapamayacağını seçin
  • İki Faktörlü Kimlik Doğrulama. - Bu kullanıcı için İki Faktörlü Kimlik Doğrulamanın ayarlanmasını istemiyorsanız kutuyuişaretleyin
  • Kullanıcıya e-posta gönder - kimlik bilgilerini kullanıcıya e-posta ile göndermek isteyip istemediğinizi seçin
  • Not: Değişikliklerden sonra her "kaydet" (veya "kullanıcı oluştur") tuşuna bastığınızda, kullanıcı bir e-posta alacaktır. Dolayısıyla, bu kullanıcı için ayarları değiştirirseniz, kullanıcıyı yapılandırmayı bitirene kadar kutunun işaretini kaldırmak isteyebilirsiniz

Bilinmesi ilginç olan ek ayarlar:

  • Dinamik Kişisel Ön Paylaşımlı Anahtar (Profesyonel Paket Özelliği ), VPN kullanıcılarınızı ve ağınızı daha güvenli hale getirebilen WiFi (VPN değil) için dinamik parola yönetimidir. Her kullanıcı için benzersiz bir parola oluşturur, böylece bir kullanıcı saldırıya uğrarsa daha kolay izole edilebilir.
  • 802.1X - Ağ kimlik doğrulaması için (VPN değil), bu, kullanıcıların Nebula Bulut kimlik doğrulamasını kullanarak 802.1x ile ağı kullanarak kimlik doğrulaması yapmasını sağlayabilir.
  • VLANataması - VLAN ataması, ağa girdiğinde kullanıcıya statik bir VLAN yapılandıran bir Professional Pack özelliğidir.

SecuExtender İstemcisini Yapılandırma

  • .tgb dosyasını (VPN yapılandırması) e-posta ile gönderme
Site-wide -Configure Firewall -> Remote access VPN
  • E-postanızı (veya kullanıcıların e-postalarını) ekleyerek VPN yapılandırmasını e-postanıza gönderin ve ardından mevcut değilse "Yeni ekle "ye basın. Ardından "E-posta gönder "e tıklayın ve e-postanızı (ve spam klasörünüzü) kontrol edin

  • .tgb dosyasını SecuExtender'a yükleyin

mceclip4.png

  • Açılır pencereyi gösteremiyorsanız, lütfen SecuExtender IPsec VPN istemcisini (aşağıdaki resimde gösterilen pencere) görmek için masaüstünde SecuExtender'ı açın ve ardından e-postadaki .tgb dosyasını tekrar açın


  • Bağlantı kontrolü

Yapılandırmayı VPN istemcisine aktardıktan sonra, lütfen "RemoteAccessVPN" üzerine çift tıklayın, ardından "Oturum Aç" ve "Parola" girin ve "Tamam"a tıklayın

  • Bazı sorunlarla karşılaşırsanız, lütfen SecuExtender'daki faz 1 ve faz 2 ayarlarını iki kez kontrol edin ve Nebula IKEv2 VPN ayarlarında aynı şifreleme ve kimlik doğrulamasına sahip olduğunuzdan emin olun

  • Bölünmüş tünellemeyi devre dışı bırakma

VPN tünelinden geçen tüm trafikle ilgili sorun yaşıyorsanız (hem internet hem de VPN trafiği), lütfen bu makaleye bakın:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • VPN Bağlantısını Doğrulama

VPN bağlantısı kurulduktan sonra bir komut istemi penceresi (veya PowerShell) açıp aşağıdaki komutları vererek bağlantıyı doğrulayabilirsiniz.

  • ipconfig

Bu komut VPN arayüzü için IP adresi sağlayacaktır.

mceclip4.png

  • ping [uzak_adres]

Bu komut, NebulaCC ağ geçitleri LAN ağında bulunan bir cihaza ping testi yapmanızı sağlayacaktır.

mceclip5.png

  • NCC'de artık VPN'in düzgün çalıştığını gösteren günlükleri görebiliyor olmalısınız. Aşağıdaki ekran görüntüsünde, Ana Mod isteklerinin USG'ye ulaştığını, Faz 1'in başarıyla kurulabildiğini ve Nebula Kontrol Merkezindeki XAuth'un düzgün çalıştığını görebilirsiniz.

mceclip0.png

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
0 kişi içerisinden 0 kişi bunun yardımcı olduğunu düşündü
Paylaş