Hub & Spoke IPSec VPN

Posted by pawel in NETWORK, VPN

Artykuł przedstawia konfigurację IPSEC VPN w sytuacji gdy zasoby sieci lokalnych trzech lokalizacji (A, B, C) są połączone poprzez kanały IPSEC VPN. Specyficzne dla przedstawionego modelu jest to, że jedna z lokalizacji (C) jest wybrana jako pośrednicząca w przekazywania ruchu pomiędzy sieciami lokalnymi (A, B). Kanały VPN są złożone tylko pomiędzy poszczególnymi lokalizacjami a lokalizacją pośredniczącą.

HUB_AND_SPOKE

W przedstawionym przykładzie NETASQ UTM w lokalizacji C pełni role koncentratora (HUB) połączeń VPN. Ruch pomiędzy lokalizacjami (SPOKES) jest kontrolowany na urządzeniu w lokalizacji C. Brak bezpośredniego kanału VPN pomiędzy lokalizacją A  a lokalizacją B. W praktyce można stworzyć „zapasowy” tunel pomiędzy lokalizacjami A <->B  i aktywować go (automatycznie lub manulanie) w sytuacji gdy lokalizacja C będzie niedostępna (np. awaria łączy, uszkodzenie urządzenia w lokalizacji C).

Podstawowe obiekty wykorzystywane w konfiguracji VPN i FW:

fw_out_a – zewnętrzny adres IP urządzenia w lokalizacji A (endpoint A, vpn gateway A) – obiekt typu host

net_lan_a – obiekt reprezentuje sieć(i) lokalną w lokalizacji A  – obiekt typu network lub grupa sieci

fw_out_b – zewnętrzny adres IP urządzenia w lokalizacji B (endpoint B, vpn gateway B) – obiekt typu host

net_lan_b – obiekt reprezentuje sieć(i) lokalną w lokalizacji B – obiekt typu network lub grupa sieci

fw_out_c – zewnętrzny adres  IP urządzenia w lokalizacji C (endpoint C, vnp gateway C) – obiekt typu host

net_lan_c – obiekt reprezentuje sieć(i) lokalną w lokalizacji C – obiekt typu network lub grupa sieci

A
Konfiguracja
IPSEC VPN

Tworzymy definicję dla dwóch tuneli, tunel 1 pomiędzy sieciami lokalnymi A<->C oraz drugi pomiędzy sieciami lokalnymi A<->B.  Obydwa tunele jako zdalną lokalizację mają zdefiniowaną lokalizację C.

vpn_a

zl1_out_c

Firewall

net_a

B
Konfiguracja
IPSEC VPN

Tworzymy definicję dla dwóch tuneli, tunel 1 pomiędzy sieciami lokalnymi B<->C oraz drugi pomiędzy sieciami lokalnymi B<->A.  Obydwa tunele jako zdalną lokalizację mają zdefiniowaną lokalizację C.

vpn_b

zl2_out_c

Firewall

net_b

C
Konfiguracja
IPSEC VPN

vpn_c

zl1_out_a

zl2_out_b

Firewall

net_c

Definicja profili IPSEC tj. IPSEC_1, IPSEC_2, IPSEC_3, IPSEC_4 muszą mieć  identyczne parametry we wszystkich trzech lokalizacjach.

Definicje profili IKE tj. IKE_1, IKE_2 muszą mieć identyczne parametry i hasła (w przypadku PSK) we wszystkich trzech lokalizacjach.

Zastosowanie w przykładzie różnych profili IKE i IPSEC ma za zadanie dokładne zobrazowanie sposobu powiązania profili przy budowie poszczególnych skojarzeń bezpieczeństwa (SA). W praktyce może okazać się, że z powodzeniem możemy uprościć konfigurację poprzez zastosowanie identycznych definicji dla wszystkich profili IKE i IPSEC np.:

IKE_1=IKE_2=IKE (GoodEncryption – profil domyślny IKE)

IPSEC_1=IPSEC_2=IPSEC_3=IPSEC_4=IPSEC (GoodEncryption – profil domyślny IPSEC)

W artykule opisałem model składający się z trzech lokalizacji, jednak w analogiczny sposób można dodawać kolejne lokalizacje.

- Paweł Grzelewski

24 Kwi 2014


Najnowszy firmware SNS: 3.7.2 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)