在Jamf Security Cloud中配置通用IPSec閘道

商務版Jamf Trusted Access解決方案指南
Solution
Application
Content Type
技術說明文件
解決方案指南
Utilities & Services
ft:locale
zh-TW

如果我們沒有為您的防火牆、網路閘道或雲端提供者供應商提供特定說明,但您的裝置支援站到站IPSec VPN設定,則以下配置步驟將幫助您設定VPN的Jamf Security Cloud端。

  1. Jamf Security Cloud 導覽至 Integrations (整合) > Access gateways (存取閘道)
  2. 專屬IPSec閘道區段的專屬閘道標籤頁上,按一下建立閘道
  3. 自訂IPSec下,按一下建立閘道
  4. General (一般) 下,添加下列資訊:
    • IPSec name(IPSec名稱)您的存取原則中將顯示的此連線名稱
    • IPSec 網路供應商將用於連線 Jamf Security Cloud 的網路裝置
    • VPN技術聯絡人姓名部署互連閘道的人員姓名
    • VPN技術聯絡人電子郵件部署互連閘道之人員的電子郵件地址
  5. 按一下下一步
  6. Provisioning (佈建) 下,新增下列資訊:
    • 輸出地區表示 Jamf Security Cloud 應該從其中啟動 IPSec 通道的區域。通常,這應該儘可能靠近 IPSec 互連裝置的地理位置。
    • Jamf Security Cloud Cloud IPSec 源 IP 位址根據您的網路裝置支援動態定址的能力,從以下選項中進行選擇:
      • Dynamic Addressing (動態定址)連線將來自屬於特定可用區域的任何一個IP位址;例如,54.220.161.57(A 區)或18.202.42.169(B 區)。
      • Single IP Address (單一 IP 位址)從下拉式清單中指定單一 IP Address (IP 位址),此互連來自 Jamf Security Cloud 的所有 IPSec 流量都將源自此IP位址。此選項可能會提供較低的可用性,但根據您的網路裝置功能可能是不可缺少的。
  7. 按一下下一步
  8. Connectivity and authentication(連線和認證)下:
    1. 新增您的IPSec gateway IP address(IPSec閘道IP位址)

      這是將接聽來自 Jamf Security Cloud 的傳入 IPSec 連線的 公用 IP 位址。

    2. 新增Your IKE domain ID(您的IKE網域ID)

      這是用於識別和建立此 IPSec 通道的唯一識別碼。一般而言,這應是完整網域名稱,並包含jamf.mycompany.com之類的值。您必須在 VPN 配置中使用此準確值。

    3. (Optional) 預設會將 Jamf Security Cloud IKE domain ID(Jamf Security Cloud IKE 網域ID)設為 wpa.wandera.com。如果您的路由器或防火牆不支援將完整網域名稱(FQDN)作為 IPSec 網域 ID,則必須將預設值取代為佈建步驟中的Jamf Security Cloud雲端 IPSec 來源出埠 IP 位址之一。
    4. 按一下 Generate secret (產生密碼)
    5. 按一下 Copy secret (複製密碼)

      這將複製認證密碼,它是用於此IPSec安全性關聯的預共用密鑰 (PSK)。

    6. 將密碼貼到安全位置,例如密碼管理員應用程式中的備註。
    7. 核取該方塊以確認您已儲存認證密碼。
  9. 按一下下一步
  10. Proposals and Cyphers(提案和加密)下:
    1. 選取 Key Exchange Protocol (密鑰交換通訊協定) (Jamf強烈建議您使用 IKEv2 以獲得最高安全性、相容性和效能)。
    2. 視需要修改 Phase 1 (階段 1)Phase 2 (階段 2) 配置。

      您必須在您的 VPN 通道配置端中完全匹配這些配置,以避免協商錯誤。

    3. 按一下 Next (下一步)
  11. Encryption Domain(加密網域)下:
    1. 使用IP位址選擇器定義Jamf Security CloudCloud子網路。

      選擇器將可用IP限制為Address Allocation for Private Internets(RFC1918)(私人網際網路的位址分配(RFC1918))中定義的類別。

    2. 記下所產生的 Pingable ICMP test address (可 Ping ICMP 測試位址)

      您可以使用此 IP 位址來驗證是否可從您所在的端點連線通道的 Jamf Security Cloud 端點。

    3. 指定 Customer subnets (客戶子網路)

      這些是 CIDR 格式的網路子網路 (通常是您的應用程式伺服器),如果所有 Zero Trust 原則都允許遠端 Jamf Trust 使用者裝置,他們將能夠透過此互連來連線這些子網路。如果您對要輸入的值不確定,或希望透過此通道來路由所有IP,請將此欄位設為0.0.0.0/0

      Note:

      加密網域是通道任一端的 IP 位址 (網路子網路),應加密並能夠彼此路由。它們可以是單一主機或多個網路。

  12. 按一下 Next (下一步),然後檢閱 VPN 配置細節。
  13. 按一下 Save and create (儲存並建立)

配置成功後,它將出現在Jamf Security Cloud中的專屬IPSec閘道清單檢視中。

若要檢視特定私人閘道的詳細記錄檔,請前往Integrations(整合) > Access Gateways(存取閘道) > (specific gateway)(特定閘道) > Logs(記錄檔)。這些記錄檔可讓您監控IPsec連線的狀態並解決環境中的任何問題。