Sanal Özel Ağ, kısaca VPN, güvenlik ağ geçitlerimizde en yaygın kullanılan özelliklerden biridir ve Nebula ile USG FLEX'inizde VPN'i birkaç dakika içinde yapılandırabilirsiniz!
Özet
Bu makale, Uzaktan Erişim VPN veya Site-to-Site VPN (VPN olmayan Nebula eşleri dahil) olsun, tüm yaygın VPN senaryolarını kapsayacaktır. Yapılandırma seçeneklerine erişmek için lütfen Nebula Kontrol Merkezi'ne kimlik bilgilerinizle https://nebula.zyxel.com/ adresinden giriş yapın ve oluşturmak istediğiniz VPN türüne bağlı olarak aşağıdaki menüye gidin:
USG FLEX > Configure > Site-to-Site VPN
USG FLEX > Configure > Remote access VPN
İçindekiler
- Uzaktan Erişim VPN: L2TP üzerinden IPSec
- Uzaktan Erişim VPN: IPSec istemcisi
- Site-to-Site VPN: Nebula eşleri
- Site-to-Site VPN: Nebula olmayan eşler
- Site-to-Site VPN: VPN Orchestrator ve gelişmiş yapılandırmalar
Uzaktan Erişim VPN: L2TP üzerinden IPSec
L2TP üzerinden IPSec VPN yapılandırmak için, lütfen Uzaktan erişim VPN menüsüne gidin ve L2TP üzerinden IPSec VPN seçeneğini etkinleştirin. VPN'inizin çalışması için doldurmanız gereken tek zorunlu alanlar gizli anahtarınız (Preshared Key) ve İstemci VPN alt ağıdır. Henüz başka bir yerde kullanılmayan bir alt ağ kullanmanız yeterlidir. DNS sunucularını değiştirmek veya kimlik doğrulamayı yerel bir sunucuya ayarlamak isteyebilirsiniz, ancak bu tamamen isteğe bağlıdır. Politika yanındaki "Varsayılan" düğmesi, IPSec tekliflerini ayarlamanıza olanak tanıyan bir menü açar. Varsayılan değerler çoğu işletim sistemiyle uyumlu olacak şekilde tasarlanmıştır.
Site-wide -> Configure -> Firewall -> Remote Access VPNYapılandırmanızı kaydettikten sonra, VPN sağlama betiği özelliğinden yararlanabilirsiniz - alıcı listesini doldurun ve "Mail Gönder" düğmesine tıklayın. Yapılandırma betiği ve nasıl kullanılacağına dair talimatlar belirtilen adreslere gönderilecektir.
İstemci yapılandırması - Sağlama betiği modu
Nebula Pro, Windows veya macOS istemcilerini VPN sağlama betiği kullanarak kolayca yapılandırmanızı sağlar. Bu betik doğrudan kullanıcılara gönderilebilir:
Mail gönderildikten sonra, kullanıcılar info@nebula.zyxel.com adresinden sağlama betiklerini içeren bir mail alacaklar:
İsimlerinden de anlaşılacağı gibi, .bat dosyası Windows içindir, .mobileconfig dosyası ise macOS içindir. Güvenlik kısıtlamaları nedeniyle, .bat dosyasının çalıştırılmadan önce .bat olarak yeniden adlandırılması gerekir. Betiğe çift tıklamak sisteminizde bir VPN bağlantısı oluşturacaktır. İlk bağlantı sırasında kullanıcı kimlik bilgilerini sağlamalıdır. Bu bilgiler ilk başarılı bağlantıdan sonra kaydedilecektir.
İstemci yapılandırması - Manuel mod
VPN'i manuel olarak yapılandırmak zor bir iş değildir. Windows'ta lütfen Ayarlar > Ağ ve İnternet > VPN menüsüne gidin ve VPN Bağlantısı Ekle'ye tıklayın.
Nebula tarafından sağlanan kimlik bilgilerine göre formu doldurun (IP adresini veya Nebula tarafından otomatik oluşturulan DDNS adresini kullanabilirsiniz) ve hazırsınız!
Daha fazla bilgi için bu makaleye bakınız:
Nebula CC - Nebula Güvenlik Duvarınız için L2TP Yapılandırma
Uzaktan Erişim VPN: IPSec istemcisi
L2TP üzerinden IPSec yapılandırmasına benzer şekilde, IPSec VPN yapılandırması da Uzaktan Erişim VPN menüsünde gerçekleşir ve IPSec VPN sunucu onay kutusuyla başlar. VPN'inizin çalışması için doldurmanız gereken tek zorunlu alanlar gizli anahtar (Preshared Key) ve İstemci VPN alt ağıdır. Tek dikkat edilmesi gereken henüz başka bir yerde kullanılmayan bir alt ağ kullanmaktır. DNS sunucularını değiştirmek veya kimlik doğrulamayı yerel bir sunucuya ayarlamak isteyebilirsiniz, ancak bu isteğe bağlıdır. Politika yanındaki "Varsayılan" düğmesi, IPSec tekliflerini ayarlamanıza olanak tanıyan bir menü açar. Varsayılan değerler IPSec bağlantılarınız için yüksek güvenlik sağlamak üzere tasarlanmıştır. Güvenliği daha da artırmak için Google Authenticator ile iki faktörlü kimlik doğrulamayı da etkinleştirebilirsiniz.
Site-wide -> Configure -> Firewall -> Remote access VPN
İstemci yapılandırması
İstemciyi yapılandırmak çok basittir. Öncelikle, IPSec Ağ Geçidi oluşturmak ve Kimlik Doğrulama sekmesinde aşağıdaki örnekteki gibi, varsayılan kriptografi değerlerini dikkate alarak ayrıntıları doldurmak isteriz:
Protokol sekmesinde, "Mod Yapılandırması" kutusunu işaretlemek önemlidir:
Artık bir IPSec bağlantısı oluşturmak için hazırsınız. Lütfen hedef ağ adresini, ESP/PFS parametrelerini doldurun ve bağlanmaya hazır olun. Aynı anda birden fazla ağ oluşturabilir ve bunlara erişebilirsiniz:
Hepsi bu kadar! Artık uzaktan bağlanmaya hazırsınız. IPSec istemcisinin, yapılandırma tamamlandıktan sonra yapılandırmayı kolayca birden fazla cihaza dağıtmak için dışa aktarabileceğini unutmayın.
Daha fazla bilgi için bu makaleye bakınız:
Nebula [VPN] - IKEv2 IPsec VPN Nasıl Yapılandırılır
Site-to-Site VPN: Nebula eşleri
Site-to-Site VPN yapılandırmak hiç bu kadar kolay olmamıştı. Site-to-Site VPN menüsü WAN arayüzü yapılandırmasıyla başlar. Giden olarak tek bir WAN arayüzü seçebilir veya yedeklilik sağlamak için otomatik seçeneğini bırakabilirsiniz. Bu durumda, hangi arayüzün tercih edileceği sorulacaktır.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNYapılandırma, yerel ağlarınıza devam eder; burada yerel arayüzler ve uzak VPN bağlantıları, site-to-site VPN bağlantısına katılmaya hazırdır.
Sonraki bölümde, gelişmiş ayarları yapılandırabilirsiniz. Örneğin, ağınız için istenen VPN Alanını seçebilirsiniz - küçük ağlar için sadece bir Varsayılan VPN alanı yeterli olacaktır. Daha büyük veya daha karmaşık VPN yapıları birden fazla VPN Alanı kullanmayı gerektirebilir. VPN Alanı ve Nebula VPN Orchestrator hakkında daha fazla bilgiye son bölümden ulaşabilirsiniz.
NAT geçişi seçeneği, VPN için WAN IP adresinizi özelleştirmenize olanak tanır. Bu, WAN portunuza birden fazla IP yönlendirilmişse ve VPN için belirli bir adres kullanmak istiyorsanız faydalıdır.
Site-to-Site VPN: Nebula olmayan eşler
Nebula olmayan bir eş eklemek doğal olarak hem Nebula Kontrol Merkezi hem de bağımsız cihazda yapılandırma gerektirir.
Nebula tarafında, bağlantıyla ilgili bazı bilgileri doldurmanız gerekir; özellikle cihazı tanımlayacak ad, genel IP adresi ve bağlanmayı düşündüğünüz uzak özel alt ağ ile ön paylaşımlı anahtar. İsteğe bağlı olarak, ihtiyaçlarınıza uygun olacak şekilde IPSec politikasını düzenleyebilir ve hangi sitelerin bu yönlendiriciye erişeceğini ayarlayabilirsiniz. Lütfen özel alt ağ özelliğinin bir ağ adresi olmaması gerektiğini, bağlantı kontrolü amacıyla kullanılan gerçek bir cihaz adresi olması gerektiğini unutmayın; CIDR formatında - örneğin, uzak VPN sunucusu kendisi.
Site-wide -> Configure -> Firewall -> Site-to-Site VPNÖnemli:
Özel karakterler gibi -, +, ^, *, [, ], \, ", ? izin verilmez.
Bu gelecekte değişecektir.
Bu durumda, uzak yönlendirici tarafında, ATP200, önce bir VPN ağ geçidi oluşturmanız gerekir. Aşağıdaki yapılandırma, bu ağ geçidini istediğiniz kadar eş için yeniden kullanmanıza izin verecektir. Varsayılan IPSec teklifi ile sadece müzakere modunu "Agresif" olarak değiştirin ve ön paylaşımlı anahtarı girin.
VPN Ağ Geçidi yapılandırmasından sonra, VPN bağlantısı sonunda iki yönlendirici arasındaki bağlantıyı kuracaktır. Yerel ve uzak politikayı ağ topolojinize göre ayarlayın. Bu değerler Nebula yapılandırması ile eşleşmelidir. Aksi takdirde, müzakere başarısız olur.
VPN bağlantısını kaydettikten sonra, yönlendiriciler arasındaki bağlantı birkaç saniye içinde kurulmalıdır.
Daha fazla bilgi için bu makaleye bakınız:
Nebula VPN - Nebula Olmayan Eş ile Site-to-Site VPN Yapılandırma
Site-to-Site VPN: VPN Orchestrator ve gelişmiş yapılandırmalar
Nebula VPN Orchestrator, karmaşık VPN topolojilerini kolayca yapılandırmanızı sağlayan güçlü bir araçtır. NCC platformu, her ağ geçidinde ayrı VPN bağlantıları yapılandırmadan soyut yapılandırma yapmanıza ve mevcut gereksinimlerinize göre topolojiyi sadece birkaç tıklamayla sorunsuzca değiştirmenize olanak tanır!
Nebula VPN topolojisi açıklaması
Nebula Orchestrator birden fazla VPN Alanı içerebilir. Her alan Site-to-Site topolojisi veya Hub-and-Spoke topolojisi olabilir. Site-to-Site topolojilerinde, her güvenlik ağ geçidi VPN alanındaki diğer tüm ağ geçitlerine bağlanır. Hub-and-Spoke topolojilerinde, sadece Hub olarak belirlenen ağ geçidi diğer ağ geçitlerine bağlanır. Bir veya daha fazla Site-to-Site alanı ve diğer Hub-and-Spoke alanlarının bir arada olması da mümkündür.
Her alan, içinde bir NSG yoksa beş adede kadar Hub içerebilir - bu durumda, bir alanda yalnızca bir Hub olabilir. Hub'ın giden arayüzü "otomatik" olarak ayarlandıysa, tüm WAN bağlantıları VPN bağlantılarını Spoke ağ geçitlerine aynı anda yapacaktır.
Alanlar arasında iletişim kurmak için, ağ geçidi için Alan İletişimini etkinleştirebilirsiniz. Site-to-Site alanlarının bunun çalışması için atanmış bir Alan Lideri olması gerekir. Alan Liderleri veya Hub ağ geçitleri diğer alanlara VPN tünelleri açacak ve AC ağ geçitleri arasında iletişime izin verecektir.
Yapılandırma
VPN Orchestrator yapılandırması aşağıdaki menüde bulunabilir:
Organization-wide > VPN OrchestratorEkranın üst kısmı, bağlantı kaybı nedeniyle oluşan hatalar dahil olmak üzere VPN ağının güncel görselleştirmesini gösteren bir harita gösterir. Bu, Nebula olmayan eş bağlantılarını da içerir - bunlar kesikli çizgiyle ayırt edilir.
Akıllı VPN menüsünde, yapılandırmak istediğiniz alanı seçebilir veya yeni bir alan oluşturup istediğiniz topolojiyi seçebilirsiniz.
Seçiminize bağlı olarak, aynı menüde Hub ve Spoke'ları atamanız gerekebilir. Ancak her durumda, VPN'ye bağlanacak ağ geçitlerini, bu ağ geçitlerindeki hangi alt ağların VPN bağlantılarına katılacağını ve cihazın Alan İletişim durumunu seçebileceksiniz.
Organization-wide -> Organization-wide manage -> VPN Orchastrator
Yorumlar
0 yorumYorum yazmak için lütfen oturum açın: oturum aç.