Tunelowanie całego ruchu użytkowników zdalnych z wykorzystaniem protokołu SSL VPN oraz dedykowanego klienta pod systemem Microsoft® Windows

firmware 3.x SSL VPN

 

1. Konfiguracja tunelu SSL VPN

W menu z lewej strony wybieramy Połączenia VPN -> SSL VPN i wypełniamy pola analogicznie jak na poniższym zrzucie ekranu:

W pierwszym polu należy podać nasz zewnętrzny adres IP, na którym będzie nasłuchiwać usługa (TCP).

W drugim polu podajemy zasoby, które mają być udostępnione. Z uwagi na to, że chcemy tunelować cały ruch sieciowy, w miejscu tym wskazujemy obiekt Any.

W trzecim polu podajemy sieć, w ramach której urządzenie będzie przydzielało adresy IP dla użytkowników podłączających się poprzez SSL VPN w ramach protokołu UDP – należy przy tym pamiętać, że sieć nie może zawierać się w żadnej z adresacji sieci wewnętrznych.

W polu czwartym podajemy sieć, w ramach której urządzenie będzie przydzielało adresy IP dla użytkowników podłączających się poprzez SSL VPN w ramach protokołu TCP – tutaj również używamy sieci, która nie zawiera się w żadnej z adresacji sieci wewnętrznych oraz nie zawiera się w sieci SSL VPN (UDP).

W polu piątym wskazujemy interfejs zewnętrzny naszego urządzenia UTM, na którym będzie nasłuchiwać usługa (UDP).

Jeżeli chcemy, żeby klienci po zestawieniu tunelu wykorzystywali wskazany przez nas serwer DNS, to wskazujemy go w polu Preferowany serwer DNS oraz musimy rozwinąć ustawienia zaawansowane i zaznaczyć opcję „Użyj serwerów DNS zapewnionych przez zaporę”.

UWAGA!

Jeżeli wskażemy serwer DNS, który nie jest osiągalny poprzez tunel SSL VPN, to musimy odznaczyć opcję „Blokuj zewnętrzne serwery DNS” w ustawieniach zaawansowanych.

Po wypełnieniu powyższych pól zapisujemy wprowadzone zmiany za pomocą przycisku Zastosuj.

Zaraz po zapisaniu powinniśmy otrzymać informację dotyczącą wyłączonego portalu uwierzytelniania. Jest on wymagany do działania klienta Stormshield SSL VPN w trybie automatycznym. Jeżeli nie chcesz z niego korzystać, pomiń następny krok. Różnica pomiędzy trybem automatycznym a ręcznym znajduje się w 5 punkcie instrukcji.

Klikamy Włącz VPN i przejdź do ustawień portalu, co spowoduje przeniesienie do zakładki Użytkownicy -> Portal Uwierzytelniania -> Portal Uwierzytelniania. Jeżeli jednak kliknęliśmy opcję Włącz VPN, to przechodzimy do wyżej wspomnianej zakładki.

2. Konfiguracja portalu uwierzytelniania

W miejscu tym wskazujemy Interfejsy, na których ma nasłuchiwać nasz portal autoryzacji. Klikamy Dodaj, a następnie z listy interfejsów wybieramy nasz interfejs OUT oraz wskazujemy mu profil External.

Jeżeli w kolumnie Domyślna metoda lub baza LDAP widzimy LDAP (none), jak na poniższym zrzucie ekranu, to oznacza, że nie mamy podłączonej żadnej bazy użytkowników. Aby dowiedzieć się, jak podłączyć lokalną bazę użytkowników, przejdź do instrukcji Tworzenie lokalnej bazy LDAP.

3. Konfiguracja polityk dostępu

Gdy już mamy skonfigurowany portal autoryzacji oraz tunel SSL VPN to teraz musimy zdefiniować czy wszyscy użytkownicy mogą zestawiać tunel, czy tylko wybrani. Konfigurujemy to w zakładce Użytkownicy -> Polityki dostępu. Globalne pozwolenie na zestawianie tunelu włączamy w zakładce Domyślne reguły dostępu:

Jeżeli chcemy jednak pozwolić jedynie konkretnemu użytkownikowi na zestawienie tunelu, to przechodzimy do zakładki Szczegółowy dostęp. Dodajemy użytkownika i w kolumnie Tunel SSL VPN wybieramy dopuszczony.

4. Konfiguracja polityki Firewall i NAT

Ostatnią rzeczą, którą musimy zrobić po stronie urządzenia Stormshield to utworzenie reguł Firewall i NAT.

W pierwszej kolejności utworzymy reguły, przepuszczające ruch z sieci VPN:

UWAGA! Stworzenie powyższej reguły w module Firewall ma na celu początkowe przepuszczenie całego ruchu. Ze względu na bezpieczeństwo nie jest ona zalecana przy dalszej konfiguracji urządzenia! Zaleca się stworzenie reguł przepuszczających tylko wybrany ruch oraz stosowanie polityk filtrowania.

Następnie przechodzimy do zakładki NAT, gdzie utworzymy regułę wykonującą translację adresów prywatnych SSLVPN, na nasz adres publiczny, w momencie ich komunikacji z siecią Internet.

5. Konfiguracja dedykowanego klienta Stormshield SSL VPN

Klienta Stormshield SSL VPN możemy skonfigurować w dwóch trybach. W trybie automatycznym oraz w trybie ręcznym. Tryb automatyczny jest trybem domyślnym i wymaga od nas włączenia portalu autoryzacji, do którego łączy się klient podczas zestawiania tunelu, w celu pobrania konfiguracji. W trybie ręcznym musimy sami ręcznie pobrać konfigurację i zaimportować ją do klienta.

Plik instalacyjny klienta Stormshield SSL VPN jest dostępny do pobrania w strefie klienta (https://mystormshield.eu) w zakładce Downloads.

a) Konfiguracja w trybie automatycznym.

Po zainstalowaniu klienta, aby nawiązać połączenie zdalne, wystarczy, że włączymy zainstalowaną aplikację i wypełnimy pola:

  1. Firewall Address – podajemy adres publiczny, na którym włączyliśmy nasłuchiwanie usługi (taki sam jak w konfiguracji urządzenia w punkcie 1).
  2. Username – login użytkownika.
  3. Password – hasło użytkownika.

b) Konfiguracja w trybie ręcznym.

Jeżeli nie chcemy korzystać z portalu autoryzacji, wtedy musimy skonfigurować klienta w trybie ręcznym. Do tego będzie nam potrzebna konfiguracja dla SSL VPN. Aby ją pobrać, przechodzimy na urządzeniu do zakładki Połączenia VPN -> SSL VPN, gdzie w części Zaawansowane, pobieramy konfigurację, klikając Eksportuj konfigurację.

Po pobraniu klikamy prawym przyciskiem na ikonę klienta Stormshield SSL VPN i odznaczamy opcję Automatic.

Następnie raz jeszcze klikamy prawym przyciskiem myszy i klikamy w opcję Add a site, która jest dostępna w zakładce Sites.

Znajdujemy pobraną przez nas konfigurację i klikamy Otwórz.

Zostaniemy poproszeni o nadanie nazwy dla naszego tunelu:

Teraz możemy połączyć się z naszą siecią wewnętrzną w bezpieczny sposób, klikając dwukrotnie na ikonę klienta w zasobniku i podając nazwę użytkownika oraz hasło.

Jeżeli dodaliśmy więcej niż jedną konfigurację, to wskazujemy lokalizację, z którą chcemy zestawić tunel, w zakładce Sites.