Comments
Transcript
VPn iPSeC In questa guida viene mostrato il
Michelangelo Wave PRO V 3G F.A.Q. VPN IPSec In questa guida viene mostrato il procedimento per collegare tra di loro due reti lan, poste in sedi differenti, tramite un collegamento VPN IPsec. Questo collegamento permetterà alle diverse stazioni di rete (computer, stampanti di rete, NAS, ect) di comunicare tra di loro come se fossero in un unica rete locale. Connessione IPSec con IP Pubblici Statici Connessione VPN IPSec LAN to LAN Michelangelo Wave PRO V 3G IP: 88.54.26.122 INTERNET FireGate 30 Dual IP: 195.103.9.112 Rete 192.168.3x / 24 Rete 192.168.10x / 24 Per poter progettare un collegamento di questo tipo si deve necessariamente avere: • Due reti locali collegate ad internet tramite dispositivi che integrino un supporto VPN IPSec nativo. • Le due Lan devono necessariamente avere una classe di indirizzi IP differenti, ad esempio se la LAN 1 utilizza la classe di indirizzi IP 192.168.3.0 con subnetmask 255.255.255.0 la LAN 2 può utilizzare la classe di indirizzi IP diversi come 192.168.10.0 con subnetmask 255.255.255.0. In questo esempio si utilizza : 1. Per la rete LAN 1 un Michelangelo Wave PRO V 3G con connettività ADSL e indirizzo IP pubblico (88.54.26.122). 2. Per la rete LAN 2 un Firegate 30 Dual (Firewall Hardware con supporto VPN IPSec nativo) e un indirizzo IP pubblico (195.103.9.112) N.B: Questa guida fa riferimento ad impostazioni tipiche di sicurezza del tunnel VPN. Inoltre si basa sul presupposto che i due server VPN IPSec siano configurati con un indirizzo IP pubblico statico. Esistono diverse varianti alla configurazione di connessioni VPN IPSec, in base al livello di sicurezza desiderato, alla tipologia di indirizzi pubblici (statici o dinamici) assegnati ai server VPN, alla presenza o meno di reti sotto NAT (Server VPN con IP privato). Nel caso in cui la tipologia della rete non rispecchi quanto descritto in questa guida, vi invitiamo a contattate il supporto tecnico per richiedere la configurazione delle policy IPSec adatta per la vostra rete. 57 Michelangelo Wave PRO V 3G F.A.Q. La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente: Alcune considerazioni legata alla policy: Local/Remote Network:specifica gli indirizzi IP che potranno accedere al tunnel VPN. L’opzione Subnet consente di permettere l’accesso al tunnel VPN IPSec a tutte le stazioni di rete che costituiscono la LAN 1 e LAN 2. è possibile limitare l’accesso ad un range di IP oppure ad un singolo IP. È importante che la configurazione sia la stessa su entrambi i server VPN IPSec. Remote Secure Gateway: specifica l’indirizzo IP pubblico del server VPN IPSec remoto (nel nostro esempio l’IP pubblico assegnato alla WAN di Firegate 30 Dual). Pre-shared key: specifica la password che viene utilizzata durante la prima fase della negoziazione del tunnel IPSec. Deve essere impostata uguale su entrambi i dispositivi IPSec. Hash Function/IPSec Proposal: questi parametri permettono di definire il livello di sicurezza del tunnel. È fondamentale che siano impostata uguali su entrambi i dispositivi IPSec. Phase 1 (IKE)SA Lifetime/Phase 2 (IPSec): definiscono i tempi di rinegoziazione delle chiavi di crittografia IKE e IPSec. Consigliamo di configurare gli stessi tempi su entrambi i dispositivi. In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente: 58 Michelangelo Wave PRO V 3G F.A.Q. Nota 1: Dopo aver creato le policy VPN, verificate che siano attive. Nota 2: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos). Nota 3: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel. 59 Michelangelo Wave PRO V 3G F.A.Q. Variante A: Michelangelo Wave PRO V 3G in modalità backup In questo contesto, la problematica è dovuta al fatto che non si può sapere con certezza l’indirizzo IP pubblico che sta utilizzando Michelangelo Wave PRO V 3G. Infatti, se il router permette l’accesso ad internet tramite ADSL l’IP pubblico sarà 88.54.26.122 mentre se sta lavorando in modalità backup, tramite connessione 3G, il router si presenterà con un indirizzo IP pubblico dinamico. Per poter garantire l’instaurazione del tunnel VPN Ipsec è necessario che Michelangelo Wave PRO V 3G sia raggiungibile sempre e univocamente ad un indirizzo. Per questo motivo, la soluzione tipicamente utilizzata prevede la registrazione e utilizzo di un account DDNS nella sede gestita da Michelangelo Wave PRO V 3G. Connessione VPN IPSec LAN to LAN Michelangelo Wave PRO V 3G INTERNET IP: prova3.homelinux.org FireGate 30 Dual IP: 195.103.9.112 Rete 192.168.3x / 24 Configurazione Account DDNS su Michelangelo Wave PRO V 3G: La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente: 60 Rete 192.168.10x / 24 Michelangelo Wave PRO V 3G F.A.Q. Alcune considerazioni legata alla policy: Durante la prima fase della negoziazione della policy VPN, i due dispositivi VPN si scambiano alcune informazione per capire se effettivamente i due endpoint sono abilitati all’instaurazione del Tunnel. Uno di questi (Local ID type e Remote ID Type) è legato all’indirizzo IP pubblico con cui i server VPN si presentano al remoto. Selezionando il campo default, Michelangelo Wave PRO V 3G si presenta al remoto con l’attuale indirizzo IP pubblico di WAN. Rispetto alla situazione precedente, Michelangelo Wave PRO V 3G può accedere ad Internet con IP Pubblici diversi (in ADSL o in 3G). Per questo motivo è necessario cambiare la policy impostando il campo Local ID Type in una delle altre modalità disponibili: Domain Name: E.mail: IPv4 Address: si deve utilizzare una stringa con formato simile ad un dominio (digicom.it) si utilizza una stringa con formato simile ad un indirizzo E.mail ([email protected]) si utilizza una stringa in formato numerico simile ad un indirizzo IP (195.103.9.66) Non è importante quale di queste modalità utilizzare, mentre è fondamentale che entrambi i dispositivi VPN siano configurati con la stessa modalità e stringa. In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente: 61 Michelangelo Wave PRO V 3G F.A.Q. Nota 1: L’indirizzo del gateway VPN IPSec remoto è stato sostituito con l’URL provadyndns.dyndns.org Nota 2: Il campo Remote ID è stato impostato nella modalità FQDN basato sulla stringa digicom.it Nota 3: Dopo aver creato le policy VPN, verificate che siano attive. Nota 4: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos) Nota 5: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel. 62 Michelangelo Wave PRO V 3G F.A.Q. Variante B: Firegate 30 Dual dietro NAT e Michelangelo Wave PRO V 3G in modalità backup In questo contesto, l’ulteriore problematica introdotta è dovuta al fatto che il secondo Server VPN IPSec, Firegate 30 Dual, si trova dietro ad un router xDSL con NAT attivo. Firegate 30 Dual è quindi configurato con un indirizzo IP di WAN privato. Questo scenario impone che il router xDSL che fornisce l’accesso ad Internet deve supportare il protocollo VPN PassThrough e deve essere configurato per inoltrare le richieste VPN IPSec in ingresso (porta 500 in UDP e protocollo IKE numero 50) verso il Firegate 30 Dual. Questa configurazione viene eseguita generalmente tramite il menù Virtual Server (chiamato anche Port Forwarding). Connessione VPN IPSec LAN to LAN Michelangelo Wave PRO V 3G INTERNET IP: 195.103.9.112 FireGate 30 Dual IP: prova3.homelinux.org Rete 192.168.3x / 24 Rete 192.168.5x / 24 Rete 192.168.10x / 24 In questa guida, non ci soffermiamo sulla configurazione del modem xDSL. Deve comunque essere utilizzato un router VPN Pass Through e deve avere la porta 500 UDP reediretta verso l’IP di WAN del Firegate 30 Dual. Configurazione Account DDNS su Michelangelo Wave PRO V 3G: La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente: 63 Michelangelo Wave PRO V 3G F.A.Q. Alcune considerazioni legata alla policy: Utilizzando Michelangelo Wave PRO V 3G in modalità backup, valgono le considerazioni indicate nel paragrafo precedente. Lo stesso ragionamento deve ora essere utilizzato per quanto riguarda la sede con il Firegate 30 Dual. Infatti, firegate 30 si trova in una rete con NAT attivo, e non deve presentarsi al Michelangelo Wave PRO V 3G con il suo indirizzo di WAN, in quanto sarebbe un indirizzo IP privato e quindi non valido. Per questo motivo è necessario cambiare la policy IPSec del Firegate 30 impostando il campo Local ID Type in una delle altre modalità disponibili, già descritte nel paragrafo precedente. In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente: 64 Michelangelo Wave PRO V 3G F.A.Q. Nota 1: L’indirizzo del gateway VPN IPSec remoto è stato sostituito con l’URL provadyndns.dyndns.org Nota 2: Il campo Locale ID è stato impostato nella modalità FQUN basato sulla stringa [email protected] Nota 3: Il campo Remote ID è stato impostato nella modalità FQDN basato sulla stringa digicom.it Nota 4: I campi Local e Remote ID possono essere configurati anche nella stessa modalità e con la stessa stringa. È fondamentale che però siano configurati uguali sui due dispositivi IPSec. Nota 5: Dopo aver creato le policy VPN, verificate che siano attive. Nota 6: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos). Nota 7: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel. 65