Konfiguracja tunelu IPSec VPN z wykorzystaniem klienta Shrew VPN pod systemem Windows (metoda XAuth)

1. Konfiguracja urządzenia Stormshield

Pierwszym krokiem ,który należy wykonać po zalogowaniu się do urządzenia jest przejście do sekcji Konfiguracja, gdzie będziemy wykonywać wszystkie zmiany

Następnie przechodzimy do Obiekty -> Certyfikaty – PKI, gdzie wybieramy opcję Dodaj -> Urząd główny, a następnie przechodzimy przez kreator konfiguracji w celu dodania głównego urzędu certyfikacyjnego.

Po utworzeniu CA ustawiamy go jako domyślny urząd certyfikacyjny

Następnie wybieramy opcję Dodaj -> Dodaj certyfikat serwera. W pierwszym kroku wypełniamy pole FQDN (domena, pod którą dostępne będzie urządzenie Stormshield np. netasq.firma.pl). Jeżeli zamierzamy umożliwić użytkownikom dostęp do VPN przez adres IP wartość wpisana w polu FQDN nie będzie miała znaczenia.

Kreator poprosi nas o wskazanie nadrzędnego CA utworzonego w poprzednim kroku oraz hasło.

Następnie przechodzimy do menu POŁĄCZENIA VPN -> IPSec VPN.

W zakładce Klienci mobilni i zdalne lokalizacje wybieramy opcję Dodaj -> klient mobilny IKEv1.

Jako metodę uwierzytelnienia wskazujemy Certyfikat + Xauth (iPhone)

Następnie wskazujemy wygenerowany przez nas Urząd certyfikacyjny oraz Certyfikat serwera.

Po wykonaniu powyższych czynności upewnij się, czy urząd certyfikacji który został wykorzystany do podpisania certyfikatu serwera jest uznany w konfiguracji jako bezpieczny. Sprawdzić to możemy przechodząc do zakładki Certyfikaty i klucze współdzielone.

Następnie przechodzimy do Konfiguracja tuneli IPSec i w zakładce Konfiguracja klientów mobilnych wybieramy Dodaj -> Nowa polityka Config mode:

W wyświetlonym kreatorze jako lokalizację zdalną wybieramy wcześniej utworzonego klienta mobilnego. W sekcji Sieć lokalna wskazujemy obiekt Network_in (lub inną sieć, do której chcemy mieć dostęp po spięciu tunelu). Natomiast w części Sieć zdalna tworzymy obiekt typu Zakres, którego adresy będą przydzielane klientom VPN

Następnie w nowoutworzonej polityce w kolumnie Profil IPSec wskazujemy profil Mobile (jeżeli ten profil nie jest dostępny można go utworzyć w module IPSec VPN, w zakładce Profile IPSec. Zapisujemy utworzony profil według parametrów zamieszonych na końcu niniejszej instrukcji).

Profil Mobile musimy również wskazać w zakładce Klienci mobilni i zdalne lokalizacje, w części Profil IKE (faza1), jak na poniższym zrzucie ekranu.

Po wykonaniu konfiguracji tunelu IPSec, musimy utworzyć certyfikat dla użytkownika. Wykonujemy to w Użytkownicy -> Użytkownicy i grupy. Jeżeli nie mamy jeszcze żadnych użytkowników, ani nie mamy skonfigurowanej bazy LDAP, przejdź do instrukcji Tworzenie lokalnej bazy LDAP. Podczas tworzenia użytkownika należy pamiętać o wypełnieniu pola Adres E-mail. Ponieważ to na podstawie tego parametru, urządzenie rozpoznaje użytkowników.

Następnie wybieramy użytkownika, któremu chcemy umożliwić dostęp przez VPN i przechodzimy do zakładki Certyfikat i wybrać opcję Wygeneruj certyfikat.

Podczas generowania certyfikatu dla użytkownika zostaniemy poproszeni o nadanie hasła dla certyfikatu oraz podanie hasła CA, które zdefiniowaliśmy przy tworzeniu nowego CA.

Następnym krokiem po utworzeniu certyfikatu użytkownika będzie pobranie jego pobranie . W tym celu przechodzimy do Obiekty -> Certyfikaty – PKI. Aby pobrać certyfikat użytkownika rozwijamy w drzewku CA oraz wskazujemy certyfikat użytkownika. Pobrać go możemy wybierając opcję Pobierz -> plik P12.

Następnie należy umożliwić dostęp wszystkim naszym użytkownikom poprzez tunel IPSec VPN. W tym celu przechodzimy w menu głównym do Użytkownicy -> Polityki dostępu i zmieniamy ustawienia dostępu dla tuneli IPSec VPN.

Jeżeli natomiast chcemy umożliwić dostęp poprzez IPSec VPN tylko wybranym użytkownikom to w takim wypadku przechodzimy do zakładki Szczegółowy Dostęp i dodajemy odpowiednią regułę.

Na koniec należy przypuścić połączenia VPN oraz ruch w ramach utworzonego tunelu za pomocą następujących reguł w module Firewall (Polityki ochrony -> Firewall i NAT):

Obiekt Firewall_out przedstawiony na powyższym zrzucie ekranowym reprezentuje adres publiczny urządzenia.

2. Konfiguracja klienta Shrew VPN

W klienci Shrew VPN należy utworzyć nowy profil:

W zakładce General wskazujemy adres IP lub nazwę domenową, pod którą będzie dostępna usługa VPN:

W zakładce Authentication wybieramy metodę Mutual RSA + XAuth, a następnie w zakładkach Local Identity i Remote Identity wybieramy opcję ASN. 1 Distinguished Name. Natomiast w zakładce Credentials we wszystkich polach wskazujemy wyeksportowany z urządzenia plik z certyfikatem użytkownika w formacie P12:

Następnie w zakładkach Phase 1 i Phase 2 wskazujemy parametry zgodne z ustawieniami profili Mobile na urządzeniu. Poprawne parametry znajdują się na poniższych zrzutach ekranowych:

Na koniec przechodzimy do zakładki Policy, gdzie należy ustawić parametr Policy Generation Level na require, zaznaczyć opcje Maintain Persistent Security Associations oraz Optain Topology Automatically or Tunnel All:

Po wykonaniu powyższych kroków możemy zapisać konfiguracją za pomocą przycisku Save i spróbować zestawić tunel VPN, klikając dwukrotnie w utworzoną przez nas konfigurację. Podczas połączenia zostaniemy poproszeni o podanie poświadczeń użytkownika oraz hasła, które nadaliśmy podczas pobierania certyfikatu użytkownika.

Parametry profilu Mobile (IKE)

Parametry profilu Mobile (IPSec)