Tunel VPN IPSec
Transkrypt
Tunel VPN IPSec
ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Topologia sieci: LAN 2 LAN 1 Internet … … Bramka 1 Bramka 2 Tunel VPN IPSec Adresacja: Bramka 1 WAN: 10.0.0.1/24 LAN: 192.168.10.1/24 Założenia: Pierwsza faza Tryb Main Autoryzacja AES Szyfrowanie SHA1 DH2 Bramka 2 WAN: 10.0.0.2/24 LAN: 192.168.20.1/24 Druga faza Autoryzacja SHA-1 Szyfrowanie AES Bez PFS Bez Replay Tryb tunelowy, podprotokół ESP. Opis konfiguracji Przed przystąpieniem do konfiguracji tunelu upewnij się, że w konfiguracji firewall’a masz otwarty port UDP 500 w regule „WAN to WAN/ZyWALL”, który jest wykorzystywany podczas negocjacji połączenia przez protokół IKE. Standardowo port ten jest otwarty w konfiguracji firewall’a. Wchodzimy do menu Security, pozycja VPN, zakładka VPN Rule(IKE). Klikamy mały „plusik” w wierszu VPN Rule po prawej stronie ekranu. Na ekranie zostanie wyświetlone okno do definicji obu końców tunelu, sposobów autoryzacji i szyfrowania danych na potrzeby zestawienie IKE SA. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 W polu Name wpisujemy nazwę tunelu (np. Warszawa_Łódź). Jeśli po drodze nie mamy routera dokonującego translacji adresów NAT, opcję NAT Traversal pozostawiamy pustą. W sekcji Gateway Policy Information wpisujemy w polu My Address adres przypisany do interfejsu WAN (na bramie 1, 10.0.0.1), zaś w polu Remote Gateway Address adres WAN zdalnej bramy (bramy 2, 10.0.0.2). W sekcji Authentication Key wybieramy rodzaj autoryzacji. W naszym przypadku używamy wspólnego hasła, zaznaczamy pole Pre-shered Key i wpisujemy wymyślone hasło np. 12345678. Następnie wybieramy typ identyfikatora na podstawie których będzie następowała autoryzacja obu końców tunelu. W naszym przykładzie autoryzacja będzie polegała na adresach e-mail. W polu Local ID Type wybieramy Email, zaś w polu Content wpisujemy adres e-mail (może być wymyślony). W sekcji IKE Proposal wybieramy parametry służące do przeprowadzenia pierwszej fazy tworzenia tunelu IKE SA. Zgodnie z założeniami wybieramy tryb Main, szyfrowanie AES, autoryzację opartą o funkcję skrótu SHA-1, oraz grupę DiffieHellman DH2. Potwierdzamy zmiany przyciskiem Apply. Analogicznie przeprowadzamy konfigurację pierwszej fazy tworzenia tunelu dla bramy 2. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Konfiguracja parametrów bramy 2 jest „odbiciem lustrzanym” konfiguracji bramy 1. Wartości w polach Local ID Type i Content na bramie 1, powinny odpowiadać wartością w polach Remote ID Type i Content na bramie 2. Identyczna konfiguracja powinna obejmować sekcję IKE Proposal oraz wspólne hasło Pre-Shared Key. Po zatwierdzeniu ustawień przyciskiem Apply powinniśmy potrzymać następujące definicje tuneli. 7,2, ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 7,2, Następnie przechodzimy do definicji reguł sieciowych. Klikamy na ikonie dwóch chmurek symbolizujących sieci Local i Remote. Zaznaczamy regułę jako aktywną, odhaczając pole Active oraz wpisujemy nazwę reguły (np. farmasrv_to_Lodz). Jeśli tunel ma być stale aktywny zaznaczamy Nailedup. Możemy uaktywnić przysłanie pakietów NetBIOS, umożliwiając rozgłaszanie nazw hostów w otoczeniu sieciowym Windows. Pole Check IPSec Tunnel Connectivity umożliwia testowanie połączenia przez wysyłanie „pinga” na określony adres w zdalnej sieci LAN. W sekcji Gateway Policy Information wybieramy tunel z którym ma ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 być skojarzona reguła sieciowa. Następnie definiujemy łączone podsieci. W sekcji Local Network definiujemy adresy IP mające dostęp do tunelu, znajdujące się za interfejsem LAN konfigurowanej bramy. Zaznaczamy całą sieć LAN podpiętą do interfejsu LAN bramy 1, 192.168.10.0. Podobnie czynimy dla zdalnej podsieci wybierając całą sieć podłączoną do interfejsu LAN Bramy 2, 192.168.20.0. Następnie zgodnie z założeniami definiujemy propozycję dla połączenia IPSec SA. Tryb enkapsulacji to tunnel, podprotokół ESP. Wybieramy metodę szyfrowania AES, oraz funkcję skrótu SHA-1. Dodatkowo określamy czas życia tunelu, w naszym przypadku wybieram 1 godzinę. Pola PFS, Enable Replay Detection oraz Enable Multiple Proposals pozostawiamy w naszym przykładzie puste. Potwierdzamy zmiany przyciskiem Apply. Analogicznie przeprowadzamy konfigurację reguł sieciowych dla bramy 2. Podczas konfiguracji Bramy 2 Sekcje Local Network oraz Remote Network powinny być odbiciem lustrzanym konfiguracji z bramy 1. Reszta ustawień pozostaje identyczna. W przypadku niezgodności tunel nie zostanie zestawiony. ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Poprawność działania tunelu możemy zaobserwować w zakładce SA Monitor. Brama 1 Brama 2