Konfiguracja tunelu IPSec VPN z wykorzystaniem klienta Stormshield VPN Client pod systemem Windows (metoda Pre-Shared Key)

firmware 3.x IPSec VPN client-2-site IKEv1 Stormshield VPN Client Pre-Shared Key

 

1. Konfiguracja urządzenia Stormshield

Po zalogowaniu do urządzenia przechodzimy do zakładki Połączenia VPN -> IPSec VPN, gdzie w sekcji Konfiguracja tuneli IPSec -> Konfiguracja klientów mobilnych wybieramy opcję Dodaj -> Nowa polityka Config mode:

Po wybraniu powyższej opcji naszym oczom powinien ukazać się kreator, w którym zdefiniujemy następujące parametry:

  • Lokalizacja zdalna (opcja Stwórz klienta mobilnego IKEv1) – konfiguracja uwierzytelniania dla klientów mobilnych (łączących się poprzez klienta VPN),
  • Sieć lokalna – sieć wewnętrzna, która będzie udostępniana w ramach tunelu VPN (np. Network_Bridge - 192.168.100.0/24),
  • Sieć zdalna – sieć lub zakres adresów, które będą przydzielane dla klientów mobilnych (łączących się poprzez klienta VPN – obiekt o nazwie Siec_VPN):

Podczas definiowania klienta mobilnego (opcja Stwórz klienta mobilnego IKEv1) nadajemy nazwę dla nowego połączenia (przykładowo IPSec_PSK), jako metodę uwierzytelniania wybieramy opcję Klucz współdzielony (hasło):

W następnym kroku definiujemy użytkowników mobilnych oraz ich klucze współdzielone. W tym celu wybieramy opcję Dodaj. W polu Identyfikator użytkownika podajemy adres mailowy, który musi się pokrywać z adresem użytkownika istniejącego w bazie LDAP (jeżeli nie mamy jeszcze utworzonej bazy użytkowników, przejdź do instrukcji Tworzenie lokalnej bazy LDAP) oraz klucz współdzielony (hasło, które będzie wykorzystywane do logowania użytkownika poprzez klienta VPN:

Po zdefiniowaniu klienta mobilnego wskazujemy naszą sieć lokalną (w naszym przypadku będzie to 192.168.100.0/24) oraz zakres adresów przydzielanych klientom mobilnym (172.16.0.1-172.16.0.19):

Po zakończeniu pracy kreatora nasza konfiguracja powinna wyglądać jak na poniższym zrzucie ekranowym. Po zweryfikowaniu ustawień zapisujemy konfigurację:

Następnie należy umożliwić dostęp wszystkim naszym użytkownikom poprzez tunel IPSec VPN. W tym celu proszę przejść w menu głównym do Użytkownicy -> Polityki dostępu i zmienić ustawienia dostępu dla tuneli IPSec VPN.

Jeżeli natomiast chcemy umożliwić dostęp poprzez IPSec VPN tylko wybranym użytkownikom to w takim wypadku przechodzimy do zakładki Szczegółowy Dostęp i dodajemy odpowiednią regułę.

Na koniec należy przypuścić połączenia VPN oraz ruch w ramach utworzonego tunelu za pomocą następujących reguł w module Firewall (Polityki ochrony -> Firewall i NAT):

Obiekt Firewall_out przedstawiony na powyższym zrzucie ekranowym reprezentuje adres publiczny urządzenia.

2. Konfiguracja klienta Stormshield VPN Client

Oprogramowanie Stormshield VPN Client jest dostępne do pobrania ze strefy klienta (https://mystormshield.eu). Do aktywacji oprogramowania wymagana jest dodatkowa licencja.

Po przeprowadzonej instalacji w kliencie VPN uruchamiamy kreator konfiguracji:

W kreatorze wybieramy opcję Brama IkeV1, podajemy adres publiczny urządzenia Stormshield, hasło współdzielone (nadane dla użytkownika podczas konfiguracji urządzenia) oraz adres sieci wewnętrznej udostępnianej przez urządzenie Stormshield (w naszym przypadku będzie to 192.168.100.0):

Po stworzeniu wstępnej konfiguracji weryfikujemy w zakładce Uwierzytelnienie parametry pierwszej fazy połączenia. Parametry dotyczące IKE powinny być identyczne jak w profilu StrongEncryption w konfiguracji urządzenia. W zakładce Protokół zaznaczamy opcje Tryb Konfiguracji i Tryb Agresywny. W polu Lokalne ID wybieramy parametr Email i podajemy adres mailowy użytkownika mobilnego. W zakładce Brama zmieniamy czas życia na 21600:

Następnie weryfikujemy parametry drugiej fazy połączenia. Parametry dotyczące IPSec powinny być identyczne jak w konfiguracji profilu StrongEncryption w konfiguracji urządzenia. W tej zakładce weryfikujemy również czy adres sieci udostępnianej przez urządzenie Stormshield oraz jej maska są poprawne:

Po wprowadzonych zmianach zapisujemy konfigurację profilu (za pomocą opcji Konfiguracje -> Zapisz lub skrótu CTRL+S).

Po zapisaniu konfiguracji tunel może zostać uruchomiony bezpośrednio z klienta. W przypadku poprawnie nawiązanego połączenia powinniśmy widzieć następujące okno:

Parametry profilu StrongEncryption (IKE):

Parametry profilu StrongEncryption (IPSEC):