Najprostsza konfiguracja VPN IPsec

Opublikowany przez pawel w NETWORK, VPN

Pytania dotyczące konfiguracji w NETASQ-u połączenia mobilnego IPSEC, najlepiej z wykorzystaniem darmowego SHREW, pojawiają się praktycznie każdego dnia. Postanowiłem definitywnie rozstrzygnąć ten temat opisując najprostszą z możliwych konfiguracji, bez tokenów,  bez certyfikatów, bez LDAP, bez żadnych zawiłości i tricków konfiguracyjnych. Przesłanie jest proste, wysyłasz SMS-a za 6,15 zł i dostajesz gotowca, opisującego od A do Z, krok po kroku co ustawić aby na 100% zadziałało (ale gwarancji dać nie mogę, bo praktyka pokazuje, że rzeczywistość czasami pokonuje moją wyobraźnię :). Ponieważ konfiguracja jest pozbawiona jakichkolwiek bardziej finezyjnych rozwiązań sieciowych cała energia została skierowana w kierunku maksymalnie precyzyjnego opisania poszczególnych kroków (konfiguracji ipsec, reguł zapory, konfiguracji klienta vpn). Oczywiście, klientem do połączeń IPSEC będzie program SHREW.

basic_ipsec

Zadanie jakie zrealizujemy będzie polegało na zbudowaniu konfiguracji pozwalającej na zdalne połączenie użytkownika mobilnego do zasobów sieci lokalnej (Network_In) chronionej przez urządzenie NETASQ UTM. W celu zminimalizowania kroków konfiguracyjnych nie będziemy się zajmować możliwością podłączenia do zasobów użytkownika mobilnego (chociaż tego rodzaju tunel zapewnia łączność w obu kierunkach).

 

Konfiguracja tunelu pokazana została w poniższym materiale filmowym:

Można podać więcej identyfikatorów (FQDN)  i powiązanych z nimi haseł. Należy pamiętać aby w sytuacji gdy nie powołaliśmy użytkowników nie podawać jako identyfikatora adresu email.

Kolejnym etapem jest konfiguracja reguł zapory. Konfigurację tą można podzielić na dwa bloki: konfigurację reguł niezbędnych do autoryzacji i działania samego tunelu IPSEC oraz reguł zarządzających ruchem „wewnątrz utworzonego tunelu”. Reguły należy umieścić na początku listy reguł:

fw_basic_ipsec

Pozostaje zainstalować i skonfigurować oprogramowanie klienta IPsec VPN SHREW. Program pobieramy ze strony: http://www.shrew.net (oprogramowanie występuje w wersji płatnej i bezpłatnej). Sama instalacja jest trywialna i nie wymaga praktycznie żadnego komentarza.

[/betterpay]

Za pomocą polecenia ping możemy skontrolować działanie (drożność) tunelu:

300x10-null

Artykuł nie ma na celu propagowanie takiego sposobu autentykacji dla tuneli mobilnych. Autentykacja tuneli mobilnych powinna być realizowana z użyciem certyfikatów.

- Paweł Grzelewski

24 Kwi 2014


Najnowszy firmware SNS: 3.7.1 (Release Note)
Najnowszy firmware SNSv2: 2.12.2 (Release Note)