Konfiguracja tunelu IPSec VPN z wykorzystaniem klienta Shrew VPN pod systemem Windows (metoda XAuth)
firmware 3.x IPSec VPN client-2-site IKEv1 Shrew VPN XAuth
1. Konfiguracja urządzenia Stormshield
Po zalogowaniu się do urządzenia przechodzimy do menu Obiekty -> Certyfikaty – PKI.
Następnie wybieramy opcję Dodaj -> Dodaj główny urząd certyfikacyjny (root CA), a następnie przechodzimy przez kreator konfiguracji w celu dodania głównego urzędu certyfikacyjnego.
Po utworzeniu CA ustawiamy go jako główny urząd certyfikacyjny
Następnie wybieramy opcję Dodaj -> Dodaj certyfikat serwera. W pierwszym kroku wypełniamy pole FQDN (domena, pod którą dostępne będzie urządzenie NETASQ/Stormshield np. netasq.firma.pl). Jeżeli zamierzamy umożliwić użytkownikom dostęp do VPN przez adres IP wartość wpisana w polu FQDN nie będzie miała znaczenia.
Kreator poprosi nas o wskazanie nadrzędnego CA utworzonego w poprzednim kroku oraz hasło.
Następnie przechodzimy do menu POŁĄCZENIA VPN -> IPSec VPN.
W zakładce Klienci mobilni i zdalne lokalizacje wybieramy opcję Dodaj -> klient mobilny.
Jako metodę uwierzytelnienia wskazujemy Certyfikat + Xauth (iPhone)
Następnie wskazujemy wygenerowany przez nas certyfikat serwera.
Po wykonaniu powyższych czynności upewnij się, czy urząd certyfikacji który został wykorzystany do podpisania certyfikatu serwera jest uznany w konfiguracji jako bezpieczny. Sprawdzić to możemy przechodząc do zakładki Certyfikaty i klucze współdzielone.
Następnie przechodzimy do Konfiguracja tuneli IPSec i w zakładce Konfiguracja klientów mobilnych wybieramy Dodaj -> Nowa polityka Config mode:
W wyświetlonym kreatorze jako lokalizację zdalną wybieramy wcześniej utworzonego klienta mobilnego. W sekcji Sieć lokalna wskazujemy obiekt Network_bridge (lub inną sieć, do której chcemy mieć dostęp po spięciu tunelu). Natomiast w części Sieć zdalna tworzymy obiekt typu Zakres, którego adresy będą przydzielane klientom VPN
Następnie w nowoutworzonej polityce w kolumnie Profil IPSec wskazujemy profil Mobile (jeżeli ten profil nie jest dostępny można go utworzyć w module IPSec VPN, w zakładce Profile IPSec. Zapisujemy utworzony profil według parametrów zamieszonych na końcu niniejszej instrukcji).
Profil Mobile musimy również wskazać w zakładce Klienci mobilni i zdalne lokalizacje, w części Profil IKE (faza1), jak na poniższym zrzucie ekranu.
Po wykonaniu konfiguracji tunelu IPSec, musimy utworzyć certyfikat dla użytkownika. Wykonujemy to w Użytkownicy -> Użytkownicy i grupy. Jeżeli nie mamy jeszcze żadnych użytkowników, ani nie mamy skonfigurowanej bazy LDAP, przejdź do instrukcji Tworzenie lokalnej bazy LDAP.
Następnie wybieramy użytkownika, któremu chcemy umożliwić dostęp przez VPN i przechodzimy do zakładki Certyfikat i wybrać opcję Wygeneruj certyfikat.
Podczas generowania certyfikatu dla użytkownika zostaniemy poproszeni o nadanie hasła dla certyfikatu oraz podanie hasła CA, które zdefiniowaliśmy przy tworzeniu nowego CA.
Następnym krokiem po utworzeniu certyfikatu użytkownika będzie pobranie utworzonego wcześniej certyfikatu użytkownika. W tym celu przechodzimy do Obiekty -> Certyfikaty –PKI. Aby pobrać certyfikat użytkownika rozwijamy w drzewku CA oraz wskazujemy certyfikat użytkownika. Pobrać go możemy wybierając opcję Pobierz -> plik P12.
Następnie należy umożliwić dostęp wszystkim naszym użytkownikom poprzez tunel IPSec VPN. W tym celu przechodzimy w menu głównym do Użytkownicy -> Polityki dostępu i zmieniamy ustawienia dostępu dla tuneli IPSec VPN.
Jeżeli natomiast chcemy umożliwić dostęp poprzez IPSec VPN tylko wybranym użytkownikom to w takim wypadku przechodzimy do zakładki Szczegółowy Dostęp i dodajemy odpowiednią regułę.
Na koniec należy przypuścić połączenia VPN oraz ruch w ramach utworzonego tunelu za pomocą następujących reguł w module Firewall (Polityki ochrony -> Firewall i NAT):
Obiekt Firewall_out przedstawiony na powyższym zrzucie ekranowym reprezentuje adres publiczny urządzenia.
2. Konfiguracja klienta Shrew VPN
W klienci Shrew VPN należy utworzyć nowy profil:
W zakładce General wskazujemy adres IP lub nazwę domenową, pod którą będzie dostępna usługa VPN:
W zakładce Authentication wybieramy metodę Mutual RSA + XAuth, a następnie w zakładkach Local Identity i Remote Identity wybieramy opcję ASN. 1 Distinguished Name. Natomiast w zakładce Credentials we wszystkich polach wskazujemy wyeksportowany z urządzenia plik z certyfikatem użytkownika w formacie P12:
Następnie w zakładkach Phase 1 i Phase 2 wskazujemy parametry zgodne z ustawieniami profili Mobile na urządzeniu. Poprawne parametry znajdują się na poniższych zrzutach ekranowych:
Na koniec przechodzimy do zakładki Policy, gdzie należy ustawić parametr Policy Generation Level na require, zaznaczyć opcje Maintain Persistent Security Associations oraz Optain Topology Automatically or Tunnel All:
Po wykonaniu powyższych kroków możemy zapisać konfiguracją za pomocą przycisku Save i spróbować zestawić tunel VPN, klikając dwukrotnie w utworzoną przez nas konfigurację. Podczas połączenia zostaniemy poproszeni o podanie poświadczeń użytkownika oraz hasła, które nadaliśmy podczas pobierania certyfikatu użytkownika.
Parametry profilu Mobile (IKE)
Parametry profilu Mobile (IPSec)
UWAGA
Firma DAGMA, dystrybutor rozwiązań STORMSHIELD w Polsce, dokłada wszelkich starań, aby zapewnić dostęp do materiałów i instrukcji produktów firm trzecich oraz możliwości ich integracji z rozwiązaniami firmy STORMSHIELD jednak nie odpowiada za świadczenie wsparcia technicznego dla tych produktów.
Rozwiązanie Shrew VPN nie jest produktem firmy STORMSHIELD.
Podobne zagadnienia: