...

VPn iPSeC In questa guida viene mostrato il

by user

on
Category: Documents
15

views

Report

Comments

Transcript

VPn iPSeC In questa guida viene mostrato il
Michelangelo Wave PRO V 3G
F.A.Q.
VPN IPSec
In questa guida viene mostrato il procedimento per collegare tra di loro due reti lan, poste in sedi differenti, tramite un collegamento
VPN IPsec. Questo collegamento permetterà alle diverse stazioni di rete (computer, stampanti di rete, NAS, ect) di comunicare
tra di loro come se fossero in un unica rete locale.
Connessione IPSec con IP Pubblici Statici
Connessione VPN IPSec LAN to LAN
Michelangelo
Wave PRO V 3G
IP: 88.54.26.122
INTERNET
FireGate 30 Dual
IP: 195.103.9.112
Rete 192.168.3x / 24
Rete 192.168.10x / 24
Per poter progettare un collegamento di questo tipo si deve necessariamente avere:
• Due reti locali collegate ad internet tramite dispositivi che integrino un supporto VPN IPSec nativo.
• Le due Lan devono necessariamente avere una classe di indirizzi IP differenti, ad esempio se la LAN 1 utilizza la classe di
indirizzi IP 192.168.3.0 con subnetmask 255.255.255.0 la LAN 2 può utilizzare la classe di indirizzi IP diversi come 192.168.10.0
con subnetmask 255.255.255.0.
In questo esempio si utilizza :
1. Per la rete LAN 1 un Michelangelo Wave PRO V 3G con connettività ADSL e indirizzo IP pubblico (88.54.26.122).
2. Per la rete LAN 2 un Firegate 30 Dual (Firewall Hardware con supporto VPN IPSec nativo) e un indirizzo IP pubblico
(195.103.9.112)
N.B: Questa guida fa riferimento ad impostazioni tipiche di sicurezza del tunnel VPN. Inoltre si basa sul
presupposto che i due server VPN IPSec siano configurati con un indirizzo IP pubblico statico. Esistono
diverse varianti alla configurazione di connessioni VPN IPSec, in base al livello di sicurezza desiderato,
alla tipologia di indirizzi pubblici (statici o dinamici) assegnati ai server VPN, alla presenza o meno di reti
sotto NAT (Server VPN con IP privato). Nel caso in cui la tipologia della rete non rispecchi quanto descritto
in questa guida, vi invitiamo a contattate il supporto tecnico per richiedere la configurazione delle policy
IPSec adatta per la vostra rete.
57
Michelangelo Wave PRO V 3G
F.A.Q.
La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente:
Alcune considerazioni legata alla policy:
Local/Remote Network:specifica gli indirizzi IP che potranno accedere al tunnel VPN. L’opzione Subnet consente di permettere
l’accesso al tunnel VPN IPSec a tutte le stazioni di rete che costituiscono la LAN 1 e LAN 2. è possibile
limitare l’accesso ad un range di IP oppure ad un singolo IP. È importante che la configurazione sia la
stessa su entrambi i server VPN IPSec.
Remote Secure Gateway: specifica l’indirizzo IP pubblico del server VPN IPSec remoto (nel nostro esempio l’IP pubblico assegnato
alla WAN di Firegate 30 Dual).
Pre-shared key:
specifica la password che viene utilizzata durante la prima fase della negoziazione del tunnel IPSec.
Deve essere impostata uguale su entrambi i dispositivi IPSec.
Hash Function/IPSec Proposal: questi parametri permettono di definire il livello di sicurezza del tunnel. È fondamentale che
siano impostata uguali su entrambi i dispositivi IPSec.
Phase 1 (IKE)SA Lifetime/Phase 2 (IPSec): definiscono i tempi di rinegoziazione delle chiavi di crittografia IKE e IPSec. Consigliamo
di configurare gli stessi tempi su entrambi i dispositivi.
In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente:
58
Michelangelo Wave PRO V 3G
F.A.Q.
Nota 1: Dopo aver creato le policy VPN, verificate che siano attive.
Nota 2: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù
Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio
tramite ping da prompt di ms-dos).
Nota 3: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente
effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.
59
Michelangelo Wave PRO V 3G
F.A.Q.
Variante A: Michelangelo Wave PRO V 3G in modalità backup
In questo contesto, la problematica è dovuta al fatto che non si può sapere con certezza l’indirizzo IP pubblico che sta utilizzando
Michelangelo Wave PRO V 3G. Infatti, se il router permette l’accesso ad internet tramite ADSL l’IP pubblico sarà 88.54.26.122 mentre
se sta lavorando in modalità backup, tramite connessione 3G, il router si presenterà con un indirizzo IP pubblico dinamico.
Per poter garantire l’instaurazione del tunnel VPN Ipsec è necessario che Michelangelo Wave PRO V 3G sia raggiungibile sempre
e univocamente ad un indirizzo. Per questo motivo, la soluzione tipicamente utilizzata prevede la registrazione e utilizzo di un
account DDNS nella sede gestita da Michelangelo Wave PRO V 3G.
Connessione VPN IPSec LAN to LAN
Michelangelo
Wave PRO V 3G
INTERNET
IP: prova3.homelinux.org
FireGate 30 Dual
IP: 195.103.9.112
Rete 192.168.3x / 24
Configurazione Account DDNS su Michelangelo Wave PRO V 3G:
La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente:
60
Rete 192.168.10x / 24
Michelangelo Wave PRO V 3G
F.A.Q.
Alcune considerazioni legata alla policy:
Durante la prima fase della negoziazione della policy VPN, i due dispositivi VPN si scambiano alcune informazione per capire se
effettivamente i due endpoint sono abilitati all’instaurazione del Tunnel. Uno di questi (Local ID type e Remote ID Type) è legato
all’indirizzo IP pubblico con cui i server VPN si presentano al remoto. Selezionando il campo default, Michelangelo Wave PRO V
3G si presenta al remoto con l’attuale indirizzo IP pubblico di WAN.
Rispetto alla situazione precedente, Michelangelo Wave PRO V 3G può accedere ad Internet con IP Pubblici diversi (in ADSL o in 3G).
Per questo motivo è necessario cambiare la policy impostando il campo Local ID Type in una delle altre modalità disponibili:
Domain Name:
E.mail:
IPv4 Address:
si deve utilizzare una stringa con formato simile ad un dominio (digicom.it)
si utilizza una stringa con formato simile ad un indirizzo E.mail ([email protected])
si utilizza una stringa in formato numerico simile ad un indirizzo IP (195.103.9.66)
Non è importante quale di queste modalità utilizzare, mentre è fondamentale che entrambi i dispositivi VPN siano configurati con
la stessa modalità e stringa.
In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente:
61
Michelangelo Wave PRO V 3G
F.A.Q.
Nota 1: L’indirizzo del gateway VPN IPSec remoto è stato sostituito con l’URL provadyndns.dyndns.org
Nota 2: Il campo Remote ID è stato impostato nella modalità FQDN basato sulla stringa digicom.it
Nota 3: Dopo aver creato le policy VPN, verificate che siano attive.
Nota 4: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù
Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio
tramite ping da prompt di ms-dos)
Nota 5: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente
effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.
62
Michelangelo Wave PRO V 3G
F.A.Q.
Variante B: Firegate 30 Dual dietro NAT e Michelangelo Wave PRO V 3G in modalità
backup
In questo contesto, l’ulteriore problematica introdotta è dovuta al fatto che il secondo Server VPN IPSec, Firegate 30 Dual, si trova
dietro ad un router xDSL con NAT attivo. Firegate 30 Dual è quindi configurato con un indirizzo IP di WAN privato.
Questo scenario impone che il router xDSL che fornisce l’accesso ad Internet deve supportare il protocollo VPN PassThrough e deve
essere configurato per inoltrare le richieste VPN IPSec in ingresso (porta 500 in UDP e protocollo IKE numero 50) verso il Firegate
30 Dual. Questa configurazione viene eseguita generalmente tramite il menù Virtual Server (chiamato anche Port Forwarding).
Connessione VPN IPSec LAN to LAN
Michelangelo
Wave PRO V 3G
INTERNET
IP: 195.103.9.112
FireGate 30 Dual
IP: prova3.homelinux.org
Rete 192.168.3x / 24
Rete 192.168.5x / 24
Rete 192.168.10x / 24
In questa guida, non ci soffermiamo sulla configurazione del modem xDSL. Deve comunque essere utilizzato un router VPN Pass
Through e deve avere la porta 500 UDP reediretta verso l’IP di WAN del Firegate 30 Dual.
Configurazione Account DDNS su Michelangelo Wave PRO V 3G:
La configurazione della policy VPN di Michelangelo Wave PRO V 3G è la seguente:
63
Michelangelo Wave PRO V 3G
F.A.Q.
Alcune considerazioni legata alla policy:
Utilizzando Michelangelo Wave PRO V 3G in modalità backup, valgono le considerazioni indicate nel paragrafo precedente.
Lo stesso ragionamento deve ora essere utilizzato per quanto riguarda la sede con il Firegate 30 Dual. Infatti, firegate 30 si trova
in una rete con NAT attivo, e non deve presentarsi al Michelangelo Wave PRO V 3G con il suo indirizzo di WAN, in quanto sarebbe
un indirizzo IP privato e quindi non valido. Per questo motivo è necessario cambiare la policy IPSec del Firegate 30 impostando il
campo Local ID Type in una delle altre modalità disponibili, già descritte nel paragrafo precedente.
In seguito a queste considerazioni, la policy VPN IPSec di Firegate 30 Dual sarà la seguente:
64
Michelangelo Wave PRO V 3G
F.A.Q.
Nota 1: L’indirizzo del gateway VPN IPSec remoto è stato sostituito con l’URL provadyndns.dyndns.org
Nota 2: Il campo Locale ID è stato impostato nella modalità FQUN basato sulla stringa [email protected]
Nota 3: Il campo Remote ID è stato impostato nella modalità FQDN basato sulla stringa digicom.it
Nota 4: I campi Local e Remote ID possono essere configurati anche nella stessa modalità e con la stessa
stringa. È fondamentale che però siano configurati uguali sui due dispositivi IPSec.
Nota 5: Dopo aver creato le policy VPN, verificate che siano attive.
Nota 6: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al menù
Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio
tramite ping da prompt di ms-dos).
Nota 7: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. È sufficiente
effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.
65
Fly UP