Konfiguracja tunelu IPSec VPN IKEv2 (metoda PSK) z wykorzystaniem urządzeń mobilnych Android

Poniższa instrukcja przedstawia konfigurację tunelu IPSec VPN w wersji IKEv2 pomiędzy urządzeniem Stormshield, a urządzeniem mobilnym z systemem Android z wykorzystaniem metody uwierzytelnienia PSK. Instrukcja została napisana w oparciu o firmware Stormshield v.4.3.31 oraz urządzenie z systemem Android 13.

 

1. Utworzenie tunelu IPSec VPN

Po zalogowaniu się do urządzenia przechodzimy do zakładki Konfiguracja, a następnie do sekcji Połączenia VPN > IPsec VPN > Mobilne – Użytkownicy.

Kolejno wybieramy opcję +Dodaj > Nowa polityka Config.

Wyświetli się kreator tworzenia nowej polityki Config Mode. Uzupełnienie konfiguratora zaczynamy od stworzenia nowej zdalnej konfiguracji (peer).

 

1.1. Tworzenie Mobilnego Peer’a

Wyświetli się kolejny kreator „Utwórz mobilny peer”. W pierwszym oknie nadajemy nazwę oraz wybieramy wersję IKEv2. Przechodzimy dalej klikając Następny.

W kolejnym oknie wybieramy typ uwierzytelnienia – Klucz współdzielony (hasło) i przechodzimy dalej klikając Następny.

Następny krok to tworzenie kluczy współdzielonych (PSK). Możemy dodać klucze/hasła/PSK w tym miejscu lub później w konfiguracji. Przechodzimy dalej klikając Następny.

Na koniec zobaczymy podsumowanie i klikamy Zakończ.

 

1.2. Uzupełnienie zasobów lokalnych oraz zdalnej sieci

Nasza nowo stworzona zdalna lokalizacja (PEER) podstawi się w kreatorze VPN. W zasobach lokalnych wskazujemy obiekt all. W Zdalne sieci tworzymy nowy obiekt.

Możemy wykorzystać obiekt typu zakres lub obiekt typu sieć. Będą to adresy przyznawane stacją po podłączeniu VPN. Poniżej przykład zakresu dla VPN. Wskazana sieć, bądź zakres, muszą być unikalne i nie być wykorzystywane na urządzeniu Stormshield.

Utworzony obiekt podstawi się w kreatorze. Klikamy Zakończ.

 

1.3. Edycja trybu Config – wskazanie serwera DNS.

Zostanie utworzona polityka VPN. Ważne by zmienić jej status na włączone. Następnie wybieramy opcje Edytuj tryb Config (wybrany).

W edytorze trybu Config wskazujemy serwer DNS z jakiego mają korzystać stacje po podłączeniu VPN. Zapisujemy ustawienia klikając Zastosuj.

Zapisujemy całą konfigurację IPsec klikając Zastosuj na dole ekranu.

Aktywujemy politykę.

 

2. Użytkownik VPN.

Do łączenia VPN wykorzystamy użytkownika. Jeżeli nie masz skonfigurowanej żadnej bazy użytkowników przejdź do instrukcji https://stormshield.pl/pomoc/baza-wiedzy/tag/ldap

Nasz użytkownik w bazie (Użytkownicy > Użytkownicy i grupy) musi mieć skonfigurowany adres e-mail. Adres ten nie musi istnieć, będzie on wykorzystywany jako identyfikator.

 

2.1. Uprawnienia użytkownika

Aby móc połączyć się za pomocą VPN użytkowni wymaga zezwolenia dostępu dla Polityki IPsec VPN. Możemy je skonfigurować globalnie dla wszystkich użytkowników Użytkownicy > Polityki Dostępu > Domyślne Reguły Dostępu > Polityka IPsec.

Lub skonfigurować szczegółową regułę dla użytkownika bądź grupy w zakładce Szczegółowy dostęp.

Po kliknięciu +Dodaj w nowym oknie wybieramy użytkownika bądź grupę i zatwierdzamy klikając OK.

Powstanie reguła. Włączamy reguły i zmieniamy uprawnienie w kolumnie IPSEC.

 

3. PSK dla użytkownika

Hasło (PSK) do połączenia dla naszego użytkownika tworzymy w konfiguracji Połączenia VPN > IPsec VPN > Certyfikaty i klucze współdzielone > Tunel: Klucze Spółdzielone (PSK) > DODAJ.

Tworzymy nowy PSK.

Identyfikatorem użytkownika będzie jego adres mailowy. Hasło wpisujemy podwójnie i upewniamy się że opcja Edytuj w ASCII jest zaznaczona.

Na liście pojawia się nasz klucz PSK, który jest dopuszczony do połączenia IPSec VPN.

 

4. Urządzenie Android.

Na urządzeniu z systemem Android przechodzimy do ustawień systemowych i szukamy opcji VPN.

Następnie dodajemy profil VPN.

Kolejno nadajemy nazwę profilowi. Ustawiamy typ na IKEv2/IPSec PSK. Wskazujemy adres IP serwera lub nazwę serwera pod który ma się łączyć klient. Podajemy identyfikator (adres e-mail). Na koniec podajemy nasz klucz PSK. Uwaga na puste znaki (spacje) automatycznie uzupełniane przez system (często w adresie e-mail).

Po utworzeniu naszego profilu klikamy na niego i wybieramy opcje Połącz.

Gdy połączenie się zestawi będzie informacja Połączono: