Nebula [VPN] - Sanal Özel Ağa (VPN) Genel Bakış

Sanal Özel Ağ veya kısaca VPN, güvenlik ağ geçitlerimizde en sık kullanılan özelliklerden biridir ve Nebula ile USG FLEX'inizde VPN'i birkaç dakika içinde yapılandırabilirsiniz!

Sinopsis

Bu makale, Uzaktan erişim VPN'i veya Siteden Siteye VPN (Nebula dışı eşlere VPN dahil) gibi tüm yaygın VPN senaryolarını kapsayacaktır. Yapılandırma seçeneklerine erişmek için lütfen https://nebula.zyxel.com/ adresindeki kimlik bilgilerinizi kullanarak Nebula Kontrol Merkezi'nde oturum açın ve oluşturmak istediğiniz VPN türüne bağlı olarak aşağıdaki menüye gidin:

İçindekiler

1. Uzaktan Erişim VPN: IPSec üzerinden L2TP
2. Uzaktan Erişim VPN: IPSec istemcisi
3. Siteden Siteye VPN: Nebula eşleri
4. Siteden Siteye VPN: Nebula dışı eşler
5. Siteden Siteye VPN: VPN Orkestratörü ve gelişmiş yapılandırmalar

Uzaktan Erişim VPN: IPSec üzerinden L2TP

IPSec VPN üzerinden L2TP'yi yapılandırmak için lütfen Uzaktan erişim VPN menüsüne gidin ve IPSec VPN üzerinden L2TP seçeneğini etkinleştirin. VPN'inizi çalışır hale getirmek için tek zorunlu alanlar gizli (Önceden Paylaşılan Anahtar) ve İstemci VPN alt ağınızı doldurmaktır. Sadece henüz başka bir yerde kullanılmayan bir alt ağ kullanmayı düşünmeniz gerekir. Örneğin DNS sunucularını değiştirmek veya kimlik doğrulamayı yerel bir sunucuya ayarlamak isteyebilirsiniz, ancak bu tamamen isteğe bağlıdır. Politika'nın yanındaki "Varsayılan" düğmesi, IPSec önerilerini ayarlamanıza olanak tanıyan bir menü açar. Varsayılan değerler çoğu işletim sistemiyle uyumlu olacak şekilde tasarlanmıştır.

Site-wide -> Configure -> Firewall -> Remote Access VPN

Yapılandırmanızı kaydettikten sonra, VPN sağlama komut dosyası özelliğinden yararlanabilirsiniz - alıcıların bir listesini doldurun ve "Posta Gönder" düğmesine tıklayın. Yapılandırma komut dosyası, nasıl kullanılacağına ilişkin talimatlarla birlikte verilen adreslere gönderilecektir.

İstemci yapılandırması - Provizyon komut dosyası modu

Nebula Pro, bir VPN sağlama komut dosyası kullanarak Windows veya macOS istemcilerini yapılandırmak için uygun bir yol sunar. Bu doğrudan kullanıcılara gönderilebilir:

Posta gönderildikten sonra, kullanıcılar info@nebula.zyxel.com adresinden provizyon komut dosyalarını içeren bir posta alacaklardır:

Adından da anlaşılacağı gibi, .batfile dosyası Windows için, .mobileconfig dosyası ise macOS için tasarlanmıştır. Güvenlik kısıtlamaları nedeniyle, .batfile dosyasının yürütülmeden önce .bat olarak yeniden adlandırılması gerekir. Komut dosyasına çift tıklamak sisteminizde bir VPN bağlantısı oluşturacaktır. İlk bağlantı sırasında kullanıcının kimlik bilgilerini vermesi gerekir. Bunlar ilk başarılı bağlantıdan sonra kaydedilecektir.

İstemci yapılandırması - Manuel mod

Bununla birlikte, VPN'i manuel olarak yapılandırmak zor bir görev değildir. Windows'ta lütfen Ayarlar > Ağ ve İnternet > VPN 'e gidin ve VPN Bağlantısı Ekle'ye tıklayın.

Nebula tarafından sağlanan kimlik bilgilerine göre formu doldurun (Nebula tarafından otomatik olarak oluşturulan IP adresini veya DDNS'yi kullanabilirsiniz) ve hazırsınız!

Daha fazla bilgi için bu makaleye bakınız:

Nebula CC - Nebula Güvenlik Duvarınız için L2TP'yi Yapılandırma

Uzaktan Erişim VPN: IPSec istemcisi

IPSec üzerinden L2TP yapılandırmasına benzer bir şekilde, IPSec VPN yapılandırması da Uzaktan Erişim VPN menüsünde yer alır ve IPSec VPN sunucusu onay kutusuyla başlar. VPN'inizi çalışır hale getirmek için tek zorunlu alanlar bir gizli (Önceden Paylaşılan Anahtar) ve İstemci VPN alt ağını doldurmaktır. Dikkat edilmesi gereken tek şey, henüz başka hiçbir yerde kullanılmayan bir alt ağ kullanmaktır. Örneğin DNS sunucularını değiştirmek veya kimlik doğrulamayı yerel bir sunucuya ayarlamak isteyebilirsiniz, ancak bu isteğe bağlıdır. Politika'nın yanındaki "Varsayılan" düğmesi, IPSec önerilerini ayarlamanıza olanak tanıyan bir menü açar. Varsayılan değerler IPSec bağlantılarınıza yüksek güvenlik sağlamak üzere tasarlanmıştır. Güvenliği daha da artırmak için istemcileriniz için Google kimlik doğrulayıcı tarafından iki faktörlü kimlik doğrulamayı da etkinleştirebilirsiniz.

Site genelinde -> Yapılandır -> Güvenlik Duvarı -> Uzaktan erişim VPN

İstemci yapılandırması

İstemciyi yapılandırmak çok basittir. İlk olarak, IPSec Ağ Geçidini oluşturmak ve Kimlik Doğrulama sekmesindeki ayrıntıları, varsayılan şifreleme değerlerini dikkate alan aşağıdaki örnekte olduğu gibi doldurmak istiyoruz:

Protokol sekmesinde, "Mod Yapılandırması" kutusunu seçmek önemlidir:

Şimdi bir IPSec bağlantısı oluşturmaya hazırız. Lütfen hedef ağ adresini, ESP/PFS parametrelerini doldurun ve bağlanmaya hazırsınız. Ayrıca birden fazla ağ oluşturabilir ve bunlara aynı anda erişebilirsiniz:

İşte bu kadar! Artık uzaktan bağlanmaya hazırsınız. IPSec istemcisinin yapılandırmayı tamamladıktan sonra birden fazla cihaza kolayca dağıtmak için her zaman dışa aktarabileceğini unutmayın.

Daha fazla bilgi için bu makaleye bakınız:

Nebula [VPN] - IKEv2 IPsec VPN nasıl yapılandırılır

Siteden Siteye VPN: Nebula eşleri

Bir Siteden Siteye VPN yapılandırmak hiç bu kadar kolay olmamıştı. Siteden Siteye VPN menüsü WAN arayüzü yapılandırması ile başlar. Giden olarak tek bir WAN arayüzü seçebilir veya yedeklilik sağlamak için seçeneği otomatik olarak bırakabilirsiniz. Bu durumda, hangi arayüzün tercih edilmesi gerektiği sorulacaktır.

Yapılandırma daha sonra yerel arayüzlerin ve uzak VPN bağlantılarının siteden siteye VPN bağlantısına katılmak için kullanılabilir olduğu yerel ağlarınızda devam eder.

Bir sonraki bölümde, gelişmiş ayarları yapılandırabilirsiniz. Örneğin, ağınız için istediğiniz VPN Alanını seçebilirsiniz - daha küçük ağlar sadece bir Varsayılan VPN alanı ile iyi olacaktır. Daha büyük veya daha ayrıntılı VPN yapılarının daha fazla VPN Alanı kullanması gerekebilir. VPN Alanı ve Nebula VPN Orchestrator ile ilgili daha fazla bilgiyi son bölümde bulabilirsiniz.

NAT traversal seçeneği, VPN'iniz için WAN IP adresinizi özelleştirmenize olanak tanır. Bu, WAN portunuza birden fazla IP'nin yönlendirildiği ve VPN için belirli bir adres kullanmak istediğiniz durumlarda kullanışlıdır.

Daha fazla bilgi için bu makaleye bakınız:

Nebula VPN - Nebula'da iki Nebula Ağ Geçidi arasında Siteden Siteye VPN Yapılandırma

Siteden Siteye VPN: Nebula dışı eşler

Nebula olmayan bir eşin eklenmesi doğal olarak Nebula Kontrol Merkezi ve bağımsız cihaz üzerinde bir yapılandırma gerektirir.

Nebula tarafında, yalnızca bağlantı hakkında bazı bilgileri, özellikle cihazı tanımlayacak adı, genel IP adresini ve önceden paylaşılan anahtara bağlanmayı düşündüğünüz uzak bir özel alt ağı doldurmanız gerekir. İsteğe bağlı olarak, IPSec ilkesini ihtiyaçlarınıza uyacak şekilde düzenleyebilir ve hangi sitelerin bu yönlendiriciye erişeceğini ayarlayabilirsiniz. Özel alt ağ özelliğinin bir ağ adresi değil, CIDR biçiminde bağlantı kontrolü amacıyla kullanılan gerçek bir cihaz adresi olması gerektiğini lütfen unutmayın - örneğin, uzak VPN sunucusunun kendisi.

Önemli:
-, +, ^, *, [, ], \, ", ? gibi özel karakterlere izin verilmez.
Bu durum gelecekte değişecektir.

Bu durumda, uzak yönlendirici ATP200 tarafında, önce bir VPN ağ geçidi oluşturmamız gerekecektir. Aşağıdaki yapılandırma, bu ağ geçidini istediğiniz kadar eş için yeniden kullanmanıza izin verecektir. Varsayılan IPSec teklifiyle, yalnızca müzakere modunu "Agresif" olarak değiştirin ve önceden paylaşılan anahtar gereklidir.

VPN Ağ Geçidinin yapılandırılmasından sonra, VPN bağlantısı nihayet iki yönlendirici arasında bağlantı kurmamıza izin verecektir. Lütfen yerel ve uzak politikayı ağ topolojinize göre ayarlayın. Bu değerler Nebula'daki yapılandırma ile eşleşmelidir. Aksi takdirde, müzakere başarısız olacaktır.

VPN bağlantısını kaydettikten sonra, yönlendiriciler arasındaki bağlantı birkaç saniye içinde kurulmalıdır.

Daha fazla bilgi için bu makaleye bakınız:

Nebula VPN - Siteden Siteye VPN'i Nebula Dışı Bir Eşe Yapılandırma

Siteden Siteye VPN: VPN Orkestratörü ve gelişmiş yapılandırmalar

Nebula VPN Orchestrator, karmaşık VPN topolojilerini kolaylıkla yapılandırmanızı sağlayan güçlü bir araçtır. NCC platformu, her ağ geçidinde ayrı VPN bağlantıları yapılandırmadan soyut yapılandırmaya izin verir ve yalnızca birkaç tıklama ile mevcut gereksinimlerinize göre topolojiyi sorunsuz bir şekilde değiştirir!

Nebula VPN topolojisi açıklandı

Nebula Orchestrator birden fazla VPN Alanı içerebilir. Her alan Siteden Siteye topoloji veya Hub-and-Spoke topoloji olabilir. Siteden Siteye topolojilerde, her güvenlik ağ geçidi VPN alanı içindeki diğer tüm ağ geçitlerine bağlanır. Hub-and-Spoke topolojilerinde, Hub olarak belirlenen tek ağ geçidi diğer ağ geçitlerine bağlanır. Bir veya daha fazla Siteden Siteye alan ve diğer Hub-and-Spoke alanlarına sahip olmak da mümkündür.

Alan bir NSG içermediği sürece her alan beş Hub'a kadar sahip olabilir - bu durumda, belirli bir alanda yalnızca tek bir Hub olabilir. Hub'ın giden arayüzü "otomatik" olarak ayarlanmışsa, tüm WAN bağlantıları VPN bağlantılarını Spoke ağ geçitlerine aynı anda çevirecektir.

Alanlar arasında iletişim kurmak için ağ geçidi için Alan İletişimini etkinleştirebilirsiniz. Bunun çalışması için Siteden Siteye alanların belirlenmiş bir Alan Liderine sahip olması gerekir. Alan Liderleri veya Hub ağ geçitleri diğer alanlara VPN tünelleri çevirecek ve AC ağ geçitleri arasında bir iletişime izin verecektir.

Konfigürasyon

VPN Orchestrator yapılandırması aşağıdaki menüde bulunabilir:

Ekranın üst kısmı, bağlantı kaybından kaynaklanan arızalar da dahil olmak üzere VPN ağının güncel görselleştirmesini içeren bir harita gösterir. Bu aynı zamanda bulutsu olmayan eş bağlantıları da içerir - bunlar kesikli bir çizgi ile ayırt edilebilir.

Smart VPN menüsünde, yapılandırmak istediğiniz alanı seçebilir veya yeni bir alan oluşturabilir ve istediğiniz topolojiyi seçebilirsiniz.

Seçiminize bağlı olarak aynı menüde Hub ve Spokes belirlemeniz gerekebilir. Ancak her durumda, hangi ağ geçitlerinin VPN'e bağlanacağını, bu ağ geçitleri üzerindeki hangi alt ağların VPN bağlantılarına katılacağını seçebilecek ve cihazın Alan İletişimi durumunu yapılandırabileceksiniz.

Organization-wide -> Organization-wide manage -> VPN Orchastrator