Bu kılavuz, Nebula Güvenlik Gateway (NSG) kullanan Nebula CC IPSec Uzaktan Erişim VPN (C2S) özelliği ile VPN bağlantısı için Zyxel IPSec VPN İstemcisinin (sürüm 3.8.204.61.32) yapılandırılmasına yardımcı olacaktır.

İçindekiler

1. genel bakış
2. Desteklenen cihazlar
3. Nebula Kontrol Merkezi Kurulumu
4. VPN İstemci Kurulumu (SecuExtender IPSEC VPN İstemcisi)

genel bakış

Bir VPN (Sanal Özel Ağ), kiralık hat masrafı olmadan siteler arasında güvenli iletişim sağlar. VPN'ler, trafiği TCP/IP iletişimini kullanan güvenli olmayan bir ağın interneti üzerinden güvenli bir şekilde taşımak için kullanılır. Uzaktan erişimli bir VPN (istemciden siteye), seyahat eden çalışanlara veya uzaktan çalışanlara, şirket ağ kaynaklarına güvenli erişim sağlar. Şirket ağına, L2TP'ye, PPTP'ye, SSL'ye, OpenVPN'e vb. güvenli bir bağlantı kurmak için kullanılabilecek çok sayıda VPN protokolü/teknolojisi vardır. Bu kılavuz, harici ana bilgisayarlar arasında güvenli bir VPN tüneli oluşturmak için IPSec protokolüne atıfta bulunacaktır ( şirket ağ yapısı dışında internete bağlanan kullanıcılar) ve NebulaCC ağ geçidi. Mevcut işletim sistemlerinde yerleşik bir IPSec istemcisi bulunmadığından, VPN bağlantısını kurmak için üçüncü taraf IPSec yazılımı gerekir. Bu izlenecek yol, IPSec VPN istemcisinde (sürüm 3.8.204.61.32) VPN kurulumunu yapılandırmaya yardımcı olacaktır.

Desteklenen cihazlar

NSG Serisi (50/100/200/300)
USG FLEX Serisi (100/100W/200/500/700)

Nebula CC VPN Kurulumu

Not: Nebula Kontrol Merkezinde, arka planda IPSec-Client'in kimlik doğrulaması yaptığı bir kullanıcı veritabanı olması gerekliliği vardır. Bunun çalışması için istemcide "X-Auth" ve "Config Mode" ayarlarını yapmamız gerekecek.

Yeni Nebula CC kullanıcı arayüzüne tıklayın ve şuraya gidin:

Security gateway (or USG FLEX) → Configure → Remote access VPN

İstemci VPN sunucusunu bir IPSec istemcisi olarak belirtin. NSG/USG FLEX'iniz NAT ağ geçidinin arkasında bulunuyorsa, NAT traversal yazmanız gerekir.

Kimlik doğrulama için bir VPN istemci hesabı oluşturun. Tür, Nebula Cloud Kimlik Doğrulamasıdır. İlgili alt menüde bir kullanıcı oluşturduğunuzdan emin olun.

Security Gateway (or USG FLEX) -> Site-Wide -> Configure -> Cloud Authentication

Zyxel VPN İstemci Kurulumu

Zyxel IPSec VPN istemcisinin en son sürümü şu adresten indirilebilir: burada İstemci yüklendikten sonra programı başlatın ve Yapılandırma Paneli . Altındaki "IKE V1" klasörüne tıklayın VPN Yapılandırması , klasör seçildikten sonra "Ikev1Gateway" kuralı eklemek için klavyedeki "Ctrl + N" tuşlarına basın. Kuralda aşağıdaki değişiklikleri yapın:

1. Uzak Gateway
   
   • Arayüz – Bilgisayarın VPN bağlantısını kurmak için kullanacağı arayüzü seçin. Bunu şuna ayarla: Hiç VPN istemcisinin bilgisayarda bulunan herhangi bir bağlantıyı kullanmasına izin verilecekse.
   • Uzak Gateway – Bağlanacağınız NebulaCC ağ geçidinin FQDN/DDNS/IP'sini yazın.
2. kimlik doğrulama
   
   • "Önceden Paylaşılan Anahtar" seçeneğini seçin.
   • NebulaCC IPSec yapılandırmasında kullanılan önceden paylaşılan anahtarı yazın ve anahtarı "Onayla".
3. X-Auth
   
   • Etkinleştir – Bu kutu işaretlenmelidir.
   • X-Auth Açılır Penceresi – Bu kutu yalnızca, bağlantı kurulduğunda kullanıcı adı ve parolanın sorulmasını istiyorsanız işaretlenmelidir.
     • Giriş – NebulaCC VPN hesabı kullanıcı adını girin. Yalnızca "X-Auth Açılır Penceresi" işaretlenmemişse.
     • Şifre – NebulaCC VPN hesabı şifresini girin. Yalnızca "X-Auth Açılır Penceresi" işaretlenmemişse.
4. Kriptografi (Örnek Kurulum)
   • Şifreleme – Açılır listeden AES256'yı seçin.
   • Kimlik Doğrulama – Seçin SHA-256 açılır listeden
   • Anahtar Grup – Seçin DH14 (1024) açılır listeden

"Ikev1Gateway"den "Ikev1Gateway"e tıklayın Protokol sekmesine gidin ve aşağıdaki değişikliği yapın:

Etkinleştir Mod Yapılandırması seçenek.
"Ikev1Gateway" vurgulanmışken, bağlantının "Ikev1Tunnel" kısmını eklemek için klavyedeki "Ctrl + N" tuşlarına tekrar basın. Aşağıdaki değişiklikleri yapın:

1. Adres
   
   • VPN İstemci Adresi – Bu seçeneği olduğu gibi bırakın. (varsayılan olarak 0.0.0.0)
   • Adres Türü – Seçin Alt Ağ Adresi açılır listeden
   • Uzak LAN Adresi – NebulaCC yerel LAN IP şemasını yazın.
   • Alt Ağ Maskesi – NebulaCC yerel LAN alt ağ maskesini yazın.
2. ESP
   
   • Şifreleme – AES256'yı seçin açılır listeden
   • Kimlik Doğrulama – Seçin SHA-256 açılır listeden
   • Mod – Seç Tünel açılır listeden
3. PFS
   
   • Bu seçeneği işaretlemeden bırakın.
4. Ömür
   
   • Ömür, istemcinin algoritmaları yeniden müzakere etmesinden önceki saniye cinsinden süre miktarıdır.

Tüm ayarlar yapıldıktan sonra, Yapılandırma araç çubuğundaki seçeneği seçin ve kaydet . Bu, istemcide yapılan tüm değişiklikleri kaydedecektir.

NebulaCC ağ geçidine VPN bağlantısı kurmak için "Ikev1Tunnel" seçeneğine sağ tıklayın ve seçin Açık Tünel veya klavyenizdeki (Ctrl + O) tuşlarına basın.

Doğrulama

VPN bağlantısı kurulduktan sonra, bir komut istemi penceresi (veya PowerShell) açıp aşağıdaki komutları vererek bağlantıyı doğrulayabilirsiniz.

• ipconfig
  Bu komut, VPN arayüzü için IP adresini sağlayacaktır.
  
• ping [uzak_adres]
  Bu komut, NebulaCC ağ geçitleri LAN ağında bulunan bir cihaza ping testi çalıştırmanıza izin verecektir.
  

NCC'de artık VPN'in düzgün çalıştığını gösteren günlükleri görebilmeniz gerekir. Aşağıdaki ekran görüntüsünde, Ana Mod isteklerinin USG'ye ulaştığını, Aşama 1'in başarıyla oluşturulabildiğini ve Nebula Kontrol Merkezindeki XAuth'un düzgün çalıştığını görebilirsiniz.