NETASQ Mobile IPSec

Posted by pawel in VPN

NETASQ IPSEC VPN ma zaprojektowany dedykowany profil dla połączeń realizowanych z urządzeń mobilnych z systemem iOS (Apple iPad, iPhone, iPod Touch). Opiszę jak skonfigurować takie połączenia, zarówno dla urządzeń iOS jak i komputerów z systemem Windows i Mac OS X. Przedstawione konfiguracje będą bazować na wbudowanym w system iOS kliencie VPN oraz oprogramowania TheGreenBow i SHREW w przypadku Windows i VPN Tracker 7 dla Mac OS X Maverics.

Zakładam, że na NETASQ-u jest:
  • powołana baza LDAP (lub urządzenie jest zintegrowane z AD)
  • utworzono użytkownika(ów)
  • wybrani użytkownicy mają zezwolenie na nawiązywanie połączeń IPSEC
  • jest powołane CA i wystawiono certyfikat dla serwera VPN oraz certyfikaty dla użytkowników mających mieć możliwość nawiązywania tuneli VPN
  • zostały wyeksportowane certyfikaty: użytkowników i CA (potrzebne dla iOS)

 

UWAGA

Należy pamietać aby FQDN podany przy tworzeniu certyfikatu serwera odpowiada rzeczywistej nazwie domenowej serwera, czyli jeżeli w certyfikacie zadeklarujemy FQDN jako vpn.firma.pl to połączenia do serwera będziemy wywoływali poprzez adres vpn.firma.pl.

ipsec-tunel

 Opis sytuacji

Klient mobilny (telefon, tablet, notebook) łączy się z zasobami sieci lokalnej (podsieć 192.168.99.0 255.255.255.0) poprzez tunel IPSEC VPN. Bramą połączenia tunelowanego (serwer VPN) jest urządzenie NETASQ UTM. Autoryzacja połączenia realizowana jest w oparciu o certyfikat i poświadczenia użytkownika (nazwa użytkownika i hasło). Adresy IP dla użytkownika mobilnego przyznawane są automatycznie przez mechanizm CONFIG MODE. Adresy przyznawane są z puli 172.16.60.0/255.255.255.248 (obiekt typu sieć o nazwie Virtual_VPN).

Konfiguracja SERWERA VPN

ipsec_1

Zdalna lokalizacja – definicja. Profile IPSEC nie wymagają modyfikacji (stosujemy profile domyślne).

ipsec_1_1

Shrew

Certyfikat (wyeksportowany z PKI NETASQ-a plik p12) należy wgrać do katalogu:

Program Files/ShrewSoft/VPN Client/certificates

a następnie wskazać ten plik w trzech polach (Server Certificate CA, Client Certificate File, Client Private Key File) zakładki Credentials opcji Authentication.

Podczas nawiązywania połączenia otrzymamy monit o podanie nazwy użytkownika i hasła (podajemy nazwę i hasło użytkownika z LDAP (AD)) a następnie hasła chroniącego plik p12.

TheGreeBow

VPN Tracker 7

iOS - opis dostępny na iNetasq.com [/betterpay]
10 Lut 2014


Najnowszy firmware SNS: 3.7.2 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)