Konfiguracja tunelu IPSec VPN z wykorzystaniem klienta Stormshield VPN Client pod systemem Windows (metoda XAuth)

firmware 3.x IPSec VPN client-2-site IKEv1 Stormshield VPN Client XAuth

 

1. Konfiguracja urządzenia Stormshield

Po zalogowaniu się do urządzenia przechodzimy do menu Obiekty -> Certyfikaty – PKI.

Następnie wybieramy opcję Dodaj -> Dodaj główny urząd certyfikacyjny (root CA), a następnie przechodzimy przez kreator konfiguracji w celu dodania głównego urzędu certyfikacyjnego.

Po utworzeniu CA ustawiamy go jako główny urząd certyfikacyjny

Następnie wybieramy opcję Dodaj -> Dodaj certyfikat serwera. W pierwszym kroku wypełniamy pole FQDN (domena, pod którą dostępne będzie urządzenie NETASQ/Stormshield np. netasq.firma.pl). Jeżeli zamierzamy umożliwić użytkownikom dostęp do VPN przez adres IP wartość wpisana w polu FQDN nie będzie miała znaczenia.

Kreator poprosi nas o wskazanie nadrzędnego CA utworzonego w poprzednim kroku oraz hasło.

Następnie przechodzimy do menu POŁĄCZENIA VPN -> IPSec VPN.

W zakładce Klienci mobilni i zdalne lokalizacje wybieramy opcję Dodaj -> klient mobilny.

Jako metodę uwierzytelnienia wskazujemy Certyfikat + Xauth (iPhone)

Następnie wskazujemy wygenerowany przez nas certyfikat serwera.

Po wykonaniu powyższych czynności upewnij się, czy urząd certyfikacji który został wykorzystany do podpisania certyfikatu serwera jest uznany w konfiguracji jako bezpieczny. Sprawdzić to możemy przechodząc do zakładki Certyfikaty i klucze współdzielone.

Następnie przechodzimy do Konfiguracja tuneli IPSec i w zakładce Konfiguracja klientów mobilnych wybieramy Dodaj -> Nowa polityka Config mode:

W wyświetlonym kreatorze jako lokalizację zdalną wybieramy wcześniej utworzonego klienta mobilnego. W sekcji Sieć lokalna wskazujemy obiekt Network_bridge (lub inną sieć, do której chcemy mieć dostęp po spięciu tunelu). Natomiast w części Sieć zdalna tworzymy obiekt typu Zakres, którego adresy będą przydzielane klientom VPN

Następnie w nowoutworzonej polityce w kolumnie Profil IPSec wskazujemy profil Mobile (jeżeli ten profil nie jest dostępny można go utworzyć w module IPSec VPN, w zakładce Profile IPSec. Zapisujemy utworzony profil według parametrów zamieszonych na końcu niniejszej instrukcji).

Profil Mobile musimy również wskazać w zakładce Klienci mobilni i zdalne lokalizacje, w części Profil IKE (faza1), jak na poniższym zrzucie ekranu.

Po wykonaniu konfiguracji tunelu IPSec, musimy utworzyć certyfikat dla użytkownika. Wykonujemy to w Użytkownicy -> Użytkownicy i grupy. Jeżeli nie mamy jeszcze żadnych użytkowników, ani nie mamy skonfigurowanej bazy LDAP, przejdź do instrukcji Tworzenie lokalnej bazy LDAP.

Następnie wybieramy użytkownika, któremu chcemy umożliwić dostęp przez VPN i przechodzimy do zakładki Certyfikat i wybrać opcję Wygeneruj certyfikat.

Podczas generowania certyfikatu dla użytkownika zostaniemy poproszeni o nadanie hasła dla certyfikatu oraz podanie hasła CA, które zdefiniowaliśmy przy tworzeniu nowego CA.

Następnym krokiem po utworzeniu certyfikatu użytkownika będzie pobranie utworzonego wcześniej certyfikatu użytkownika. W tym celu przechodzimy do Obiekty -> Certyfikaty – PKI. Aby pobrać certyfikat użytkownika rozwijamy w drzewku CA oraz wskazujemy certyfikat użytkownika. Pobrać go możemy wybierając opcję Pobierz -> plik P12.

Następnie należy umożliwić dostęp wszystkim naszym użytkownikom poprzez tunel IPSec VPN. W tym celu przechodzimy w menu głównym do Użytkownicy -> Polityki dostępu i zmieniamy ustawienia dostępu dla tuneli IPSec VPN.

Jeżeli natomiast chcemy umożliwić dostęp poprzez IPSec VPN tylko wybranym użytkownikom to w takim wypadku przechodzimy do zakładki Szczegółowy Dostęp i dodajemy odpowiednią regułę.

Na koniec należy przypuścić połączenia VPN oraz ruch w ramach utworzonego tunelu za pomocą następujących reguł w module Firewall (Polityki ochrony -> Firewall i NAT):

Obiekt Firewall_out przedstawiony na powyższym zrzucie ekranowym reprezentuje adres publiczny urządzenia.

2. Konfiguracja klienta Stormshield VPN Client

W kliencie Stormshield VPN Client dodajemy nowy profil fazy pierwszej, przechodząc do sekcji Konfiguracja VPN -> IKE V1 -> Nowa faza 1.

Następnie przechodzimy do właściwości nowoutworzonego profilu, gdzie w zakładce Uwierzytelnianie, gdzie wskazujemy:

  1. adres publiczny urządzenia Stormshield
  2. parametry IKE (zgodnie z poniższym zrzutem ekranowym)
  3. metodę uwierzytelnienia: Certyfikat
  4. X-Auth: włączony
  5. login oraz hasło użytkownika

Następnie w zakładce Certyfikat wybieramy opcję Importuj certyfikat, za pomocą której wskazujemy pobrany wcześniej certyfikat użytkownika (plik .P12):

Przy imporcie podajemy hasło nadane podczas pobierania certyfikatu dla użytkownika

Następnie przechodzimy do zakładki Protokół, gdzie włączamy parametr tryb konfiguracji (config mode).

W zakładce Brama zmieniamy czas życia na wartość 28800.

W następnym kroku tworzymy nową fazę drugą, klikając prawym przyciskiem myszy na „Ikev1Gateway” w prawej części okna:

We właściwościach fazy drugiej w zakładce IPSec, zgodnie z poniższym zrzutem ekranowym wskazujemy:

  • adres zdalnej sieci LAN oraz jej maskę (w naszym przypadku 192.168.100.0/255.255.255.0),
  • parametry ESP (AES256, SHA-256, Tunel),
  • odznaczamy opcję PFS,
  • ustawiamy czas życia IPSec: 28800

W ostatnim kroku zapisujemy konfigurację w menu Konfiguracja -> Zapisz:

W celu nawiązania połączenia VPN wybieramy ikonę klienta Stormshield VPN Client i z menu kontekstowego klikamy dwukrotnie na ikonę Stormshield VPN Client w zasobniku, a następnie klikamy w otwórz, obok utworzonej przez nas konfiguracji:

Poprawnie zestawiony tunel będzie wyglądał następująco:

Parametry profilu Mobile (IKE):

Parametry profilu Mobile (IPSec):