ZyWALL Remote Security

Transkrypt

Support NET
Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym
oprogramowaniem „ZyWALL Remote Security Client”, a
urządzeniem serii ZyWALL.
Przykład konfiguracji.
Konfiguracja aplikacji ZyXEL Remote Security Client:
Po standardowej instalacji programu ZyXEL Remote Security Client, po prawej stronie
paska zadań pojawi się ikona programu (duża literka S). Po dwukrotnym naciśnięciu
myszką na w/w ikonie uzyskamy dostęp do menu konfiguracyjnego programu.
W celu utworzenia nowego połączenia z menu Edycja wybieramy opcję Add a
następnie Connection. Po zaznaczeniu nowo powstałego połączenia i wybraniu z
menu Edycja opcji Rename jesteśmy w stanie nadać mu inną niż standardowa
nazwę.
Po zaznaczeniu naszego połączenia w prawej części okna Security Policy Editor
pojawią się główne opcje dotyczące konfiguracji naszego kanału IPSec VPN. W tym
miejscu musimy podać następujące dane:
Connection Security:
- Zaznaczamy opcję Secure.
- Gdy chcemy aby nasze połączenie nie było inicjowane automatycznie,
zaznaczamy opcję Only Connect Manually. Połączenie będzie nawiązywane
wyłącznie po wybraniu opcji Connect z menu programu.
Remote Party Identity and Addressing:
- Wskazujemy konkretny adres IP, zakres adresów IP albo całą podsieć LAN, do
której chcemy uzyskać dostęp za pośrednictwem tunelu IPSec VPN.
- Wybieramy protokół, który ma być tunelowany, ewentualnie wskazujemy
wszystkie możliwe protokoły.
- Zaznaczamy pole Connect using, i z rozwijanej listy wybieramy opcje
Secure Gateway Tunnel. W polu ID Type wybieramy IP Address, a
następnie podajemy adres IP zdalnej bramki VPN (w naszym wypadku jest to
adres IP interfejsu WAN ZyWALL’a 70).
autor: Bartłomiej Czekaj
e-mail: [email protected]
Network Administrator
Support NET
Naciskając znak +, który znajduje się przed nazwą naszego połączenia rozwijamy
listę zawierającą nazwy poszczególnych faz konfiguracji kanału IPSec VPN.
W lewej części okna Security Policy Editor zaznaczamy MyIdentity. Następnie z listy
Select Certificate wybieramy opcję None. Naciskamy przycisk Pre-Shared Key i
podajemy tajny klucz składający się z minimum 8 znaków (w naszym przykładzie:
12345678).
Support NET
Przechodzimy do sekcji Security Policy. W tym miejscu dokonujemy wyboru
jednego z dwóch trybów dotyczących pierwszej fazy połaczenia IPSec VPN.
Domyślnie wykorzystywany jest tryb Main Mode (strony ustalają potrzebne do
zestawienia kanału informacje w 6 etapach). Tryb Aggressive Mode jest szybszy
(informacje konieczne do zestawienia kanału uzgadniane są w 3 etapach).
Aggressive Mode jest wykorzystywany na liniach o gorszej jakości, gdzie występują
problemy z zestawieniem kanału IPSec VPN.
Support NET
Authentication (Phase 1) - W tym miejscu definiujemy szczegóły dotyczące
pierwszej fazy połączenia IPSec VPN:
- Z listy Authentication Method wybieramy opcję Pre-Shared Key.
- Z listy Encrypt Alg wybieramy DES.
- Z listy Hash Alg wybieramy MD5.
- W polu SA Life podajemy czas życia parametrów ustalonych w ramach
Security Association (algorytmów szyfrowania i metod uwierzytelniania). Czas
ten najlepiej podać w sekundach ponieważ w takich właśnie jednostkach jest
on ustalany na urządzeniach serii ZyWALL.
- Z listy Key Group wybieramy opcję Diffie-Hellman Group 1.
UWAGA!
Wszystkie powyższe parametry muszą być zgodne z ustawieniami przyjętymi podczas
konfiguracji urządzenia serii ZyWALL.
Support NET
Key Exchange (Phase 2) – Parametry dotyczące drugiej fazy tworzenia połączenia
IP Sec VPN
-
-
Określamy czas SA Life.
Decydujemy jakiego protokołu będziemy używać: ESP czy AH. Protokół ESP
(Encapsulate Security Payload) jest wykorzystywany do uwierzytelniania i
częściowego szyfrowania danych. Protokół AH (Authentication Header) służy
jedynie do uwierzytelniania danych.
Po wybraniu protokołu ESP określamy następujące parametry: Encrypt Alg –
np. DES, Hash Alg – np. SHA-1, Encapsulation - Tunnel.
UWAGA!
Wszystkie powyższe parametry muszą być zgodne z ustawieniami przyjętymi podczas
konfiguracji urządzenia serii ZyWALL.
Support NET
Konfiguracja urządzenia ZyWALL 5/35/70:
Po zalogowaniu się na urządzenie ZyWALL, korzystając z menu umieszczonego w
prawej części ekranu przechodzimy do okna konfiguracji połączeń VPN.
W pierwszym wierszu tabeli VPN Rules znajduje się przycisk Add Gateway Policy.
Dodajemy nową regułę i w wywołanym oknie podajemy następujące dane:
-
Nadajemy nazwę dla naszego połączenia.
W polu My Address podajemy adres IP przypisany do interfejsu WAN
ZyWALL’a.
W polu Pre-Shared Key – podajemy tajny klucz, który będzie wykorzystany
w procesie zestawiania połączenia.
W opcjach IKE Proposal – określamy parametry dotyczące pierwszej fazy
połączenia IPSec VPN. Określamy Negotiation Mode (Main albo Aggressive),
ustalamy Encryption Algorithm (DES, 3DES, AES), Authentication
Algorithm (MD5, SHA1), podajemy (w sekundach) czas życia S.A. i
określamy Key Group (DH1, DH2).
Support NET
Wszystkie określone na tym etapie parametry muszą być zgodne z konfiguracją
programu ZyXEL Remote Security Client tak jak ma to miejsce na załączonych
rysunkach.
Support NET
Po zapisaniu zmian w tabeli VPN Rules pojawi się nowa reguła o określonej przez
nas nazwie. Naciskamy przycisk Add Network Policy znajdujący się na końcu
wiersza zawierającego nazwę naszej reguły. Dzięki tej operacji uzyskamy dostęp do
okna VPN – NETWORK POLICY EDIT.
W oknie edycji Network Policy wprowadzamy następujące zmiany:
- Zaznaczamy pole Active i przypisujemy dowolną nazwę.
- Z rozwijanej listy oznaczonej jako Gateway Policy wybieramy nazwę
wcześniej utworzonej reguły VPN.
- W polu Local Network określamy adres IP, grupę adresów IP lub całą
podsieć przypisaną do interfejsu LAN ZyWALL’a. Określone w ten sposób
adresy będą mogły korzystać ze stworzonego kanału IPSec VPN.
- Jeżeli komputer z zainstalowanym oprogramowaniem ZyXEL Remote Security
Client jest podłączany do Internetu poprzez modem i ma dynamicznie
przydzielany publiczny adres IP w opcjach dotyczących sieci zdalnej (Remote
Network) nie dokonujemy żadnych zmian.
- Opcje IPSec Proposal konfigurujemy zgodnie z założeniami przyjętymi w
czasie konfiguracji aplikacji ZyXEL Remote Security Client. W naszym
przypadku: Encapsulation Mode – Tunnel, Active protocol – ESP,
Authentication Algorithm – SHA1, SA Life time – 28800,
Support NET
Połączenie VPN IPSec omówione w na podstawie powyższego przykładu może być
nawiązane jedynie od strony zdalnego klienta (komputera z zainstalowanym
oprogramowaniem ZyXEL Remote Security Client). Przebieg nawiązywania połączenia
możemy obserwować w logach urządzenia serii ZyWALL.
No. Time
Source IP
Destination IP
25|09/28/2005 12:29:09 |217.99.7.138
Rule [VPN_Client] Tunnel built successfully
26|09/28/2005 12:29:09 |217.99.7.138
The cookie pair is : 0x4759841AC946119C /
27|09/28/2005 12:29:09 |83.18.18.26
Adjust TCP MSS to 1398
|83.18.18.26
Note
|IKE
|83.18.18.26
|IKE
0x2808F86126999D90
|217.99.7.138
|IKE
Support NET
28|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
Recv:[HASH]
29|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
The cookie pair is : 0x4759841AC946119C / 0x2808F86126999D90
33|09/28/2005 12:29:09 |83.18.18.26
|217.99.7.138
|IKE
Send:[HASH][SA][NONCE][ID][ID]
34|09/28/2005 12:29:09 |83.18.18.26
|217.99.7.138
|IKE
35|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
Swap rule to rule [VPN_Client]
36|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
37|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
Swap rule to rule [VPN_Client]
38|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
39|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
Start Phase 2: Quick Mode
40|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
41|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
Recv:[HASH][SA][NONCE][ID][ID]
42|09/28/2005 12:29:09 |217.99.7.138
|83.18.18.26
|IKE
44|09/28/2005 12:29:08 |83.18.18.26
|217.99.7.138
|IKE
Phase 1 IKE SA process done
45|09/28/2005 12:29:08 |83.18.18.26
|217.99.7.138
|IKE
46|09/28/2005 12:29:08 |83.18.18.26
|217.99.7.138
|IKE
Send:[ID][HASH][NOTFY:INIT_CONTACT]26999D90
47|09/28/2005 12:29:08 |83.18.18.26
|217.99.7.138
|IKE
48|09/28/2005 12:29:08 |217.99.7.138
|83.18.18.26
|IKE
Recv:[ID][HASH][NOTFY:REPLAY_STATUS26999D90
49|09/28/2005 12:29:08 |217.99.7.138
|83.18.18.26
|IKE
51|09/28/2005 12:29:07 |83.18.18.26
|217.99.7.138
|IKE
Send:[KE][NONCE]
52|09/28/2005 12:29:07 |83.18.18.26
|217.99.7.138
|IKE
53|09/28/2005 12:29:07 |217.99.7.138
|83.18.18.26
|IKE
Recv:[KE][NONCE][VID][VID][VID][VID26999D90
54|09/28/2005 12:29:07 |217.99.7.138
|83.18.18.26
|IKE
55|09/28/2005 12:29:06 |83.18.18.26
|217.99.7.138
|IKE
Send:[SA][VID][VID]
56|09/28/2005 12:29:06 |83.18.18.26
|217.99.7.138
|IKE
57|09/28/2005 12:29:06 |217.99.7.138
|83.18.18.26
|IKE
Recv:[SA][VID][VID]
58|09/28/2005 12:29:06 |217.99.7.138
|83.18.18.26
|IKE
59|09/28/2005 12:29:06 |217.99.7.138
|83.18.18.26
|IKE
Recv Main Mode request from [217.99.7.138]
60|09/28/2005 12:29:06 |217.99.7.138
|83.18.18.26
|IKE
Rule [ZyWALL_Client] Receiving IKE request
End of Logs

ZyWALL Remote Security

Transkrypt

Podobne dokumenty

Informacje o konferencji

Indywidualne Konto Emerytalne w PZU Życie SA

Wyciąg z Taryfy prowizji i opłat za czynności i usługi bankowe

ZyXEL ZyWALL 1100 Ultraspeed VPN Firewall 1000x VPN

Nic się nie stało, Polacy… Tak powtarzają sobie kibice naszej

Plan festiwalu

Bariery i ułatwienia w nauczaniu i uczeniu się języka hiszpańskiego

„PO HISZPAŃSKU” - Instytut Kultury Europejskiej