第2步:配置 SonicWall IPSec 通道

Jamf Connect 說明文件
解決方案
應用程式
Jamf Connect
內容類型
技術說明文件
工具程式與服務
ft:locale
zh-TW

Important:

與任何路由器變更一樣,Jamf 強烈建議您謹慎配置這些設定,並且儘可能在預生產環境中進行配置,以避免意外的服務中斷。

  1. 配置 Jamf Security Cloud VPN 原則:
    1. 使用管理員認證登入您的 SonicWall 路由器。
    2. 導覽至 VPN > Settings (設定)
    3. VPN Policies (VPN 原則) 區段下,按一下 Add (新增)
    4. General (一般) 索引標籤中,針對 Authentication Method (認證方法) 選取 "IKE using Preshared Secret (使用預共用密碼的 IKE)"
    5. 對於 Name (名稱) 輸入容易識別的名稱。
    6. IPsec主要閘道名稱或位址IPsec次要閘道名稱或位址設為0.0.0.0
    7. Shared Secret (共用密碼)Confirm Shared Secret (確認共用密碼)IKE Authentication (IKE 認證) 下,貼上在 Jamf Security Cloud 中設定 IPSec 互連時所建立的預共用金鑰。
    8. 對於 Local IKE ID (本機 IKE ID),選取 Domain Name (網域名稱),然後輸入在 Jamf Security Cloud 中設定 IPSec 互連時所指定的 Customer IKE Domain ID (客戶 IKE 網域 ID) 值。
    9. 對於對等IKE ID,選取網域名稱,然後輸入wpa.wandera.com
    10. 按一下視窗頂端的 Network (網路) 索引標籤。
    11. Local Networks (區域網路) 下,選取定義伺服器、應用程式或工作負載所在子網的位址物件或位址群組。
      Important:

      如果在Jamf Security Cloud內,於IPSec互連精靈中將客戶子網路設為0.0.0.0/0,則可以選取任何位址物件或位址群組。

      否則在 Local Networks (區域網路) 中選取的網路必須符合 Jamf Security Cloud 中定義的所有客戶子網路。

    12. 對於 Destination Networks (目的地網路),選取 Create new address object (建立新位址物件)
    13. 在出現的視窗中,配置下列資訊:
      • 名字Jamf端網路的名稱;例如,JamfClientIPs
      • 區域指派通常這應該是 VPN,但您也可能需要根據路由器配置來指定不同的區域。
      • 類型選取 Network (網路)
      • 網路Jamf Security Cloud 中,指定 Jamf 子網路配置中定義的網路位址。範例Jamf建議192.168.233.0/24,但您可以從IPSec互連的檢視圖解資訊取得此值。
      • 網路遮罩指定 Jamf Security Cloud 中所提交的上述網路的子網。/24子網路代表255.255.255.0
    14. 儲存網路物件,並選取它作為 VPN 原則視窗中的 Destination Network (目的地網路)
    15. 選取 "Proposals (提案)" 功能表項。
    16. IKE (Phase 1) (IKE (階段 1)) 下,按如下方式配置欄位:
      • ExchangeIKEv2 模式
      • DH 群組群組 14
      • 加密AES-256
      • 認證SHA512
      • 生命週期 (秒)28800
    17. IPSec (Phase 2) (IPSec (階段 2)) 下,按如下方式設定欄位:
      • 通訊協定ESP
      • 加密AES-256
      • 啟用完整轉寄密碼是 (已核取)
      • DH 群組群組 14
      • 生命週期 (秒)28800
    18. 選取畫面頂端的 Advanced (進階) 索引標籤。
    19. 核取 Enable Keep Alive (啟用保持活動狀態)
    20. 確保將 VPN Policy Bound To (VPN 原則綁定至) 設為 "Zone WAN (區域 WAN)" (或依據您的防火牆配置,用來連線到外部連線的其他區域)。
    21. 按一下 OK (確定) 以建立 VPN 原則。
    22. 針對出現的 VPN 原則核取 Enabled (已啟用) 方塊。

      如果配置成功,Currently Active VPN (目前作用中 VPN) 通道區段將出現 VPN 原則。

  2. 若將IPsec主要閘道名稱或位址欄位設為0.0.0.0,則必須配置傳入IKEv2加密︰
    Important:

    變更此配置可能會影響從任何 IP 位址連線的現有 IKEv2 通道。固定的 IP 通道將不會受影響。在進行此變更前,請檢閱您的其他 VPN 連線。

    1. 導覽至 VPN > Advanced Settings (進階設定)
    2. IKEv2 Settings (IKEv2 設定) 下,按一下 Configure (配置)
    3. 在出現的視窗中,進行下列設定以符合 Jamf Security Cloud 中的等效設定:
      • DH 群組群組 14
      • 加密AES-256
      • 認證SHA512
    4. 按一下 OK (確定) 以儲存配置。
  3. 建立和配置存取規則:
    Note:

    • 如果 SonicOS 沒有自動建立,您可能需要定義一個存取原則,在流量流經 VPN 通道之前,允許從 Jamf Security Cloud 網路到您的伺服器和應用程式的流量。

    • 這些設定假定您使用一般區域配置。根據需要修改您的存取規則詳細資訊。

    1. 導覽至 Firewall (防火牆) > Access Rules (存取規則)
    2. 按一下新增
    3. 在出現的視窗中,按如下方式配置 VPN:
      • 動作允許
      • 來源區域VPN
      • 目的區域LAN
      • 服務任何
      • 來源挑選您稍早建立的Jamf位址物件;例如,JamfClientIPs
      • 目的地挑選上面定義的 VPN 原則中配置的網路位址物件/群組。
      • 允許的使用者全部
      • 安排始終開啟
    4. 按一下 OK (確定) 以儲存 VPN 規則。

安全連線建立完畢。建立連線最多可能需要 10 分鐘。

如果 VPN 未出現在「作用中 VPN」 通道區段,請查看登入 SonicWall 介面中的記錄並按 VPN 篩選。

常見錯誤包括:

  • IPSec/IKEv2 通道的 Jamf 與 SonicOS 之間的加密選項不符。

  • 如果啟用 Country Restriction (國家/地區限制) 功能,Jamf IP 可能會被歸類為未知,從而導致它們被拒絕。將 Jamf IP 位址物件新增至「國家/地區和殭屍網路排除」位址群組物件以解決此問題。