Tworzenie tuneli IPSec VPN pomiędzy lokalizacjami (Mesh)

IPSec firmware 4.x Centralne zarządzanie VPN Mesh

 

23 kwietnia 2020

W celu zestawienia tuneli IPSec VPN pomiędzy urządzeniami w ramach konsoli Stormshield Management Center (SMC) konieczne będzie wykonanie następujących kroków:

  • utworzenie obiektów globalnych reprezentujących sieci w poszczególnych lokalizacjach,
  • zdefiniowanie połączenia VPN pomiędzy oddziałami,
  • dodanie globalnych reguł Firewall w celu zapewnienia komunikacji pomiędzy oddziałami.

W poniższym przykładzie połączone tunelem VPN zostaną lokalizacje, w których będą występowały następujące sieci:

  • lokalizacja Alpha - sieć: 192.168.100.0/24 (255.255.255.0),
  • lokalizacja Beta – sieć: 192.168.101.0/24 (255.255.255.0),
  • lokalizacja Omega – sieć: 192.168.108.0/24 (255.255.255.0).

W pierwszym korku logujemy się do konsoli Stormshield Management Center (SMC), przechodzimy do zakładki Obiekty i tworzymy globalne obiekty reprezentujące wyżej wymienione sieci. Nowoutworzone obiekty powinny zostać przypisane do wszystkich urządzeń pośredniczących w komunikacji VPN:

Po wykonaniu powyższego kroku powinniśmy mieć utworzone następujące obiekty:

  • LAN-Alpha (192.168.1.0/24) przypisany do urządzeń Alpha, Beta, Omega,
  • LAN-Beta (192.168.2.0/24) przypisany do urządzeń Alpha, Beta, Omega,
  • LAN-Omega (192.168.3.0/24) przypisany do urządzeń Alpha, Beta, Omega.

W następnym kroku przechodzimy do zakładki Konfiguracja -> Topologie VPN i dodajemy nową topologię typu Siatka:

Następnie określamy nazwę połączenia oraz metodę autoryzacji (w przypadku opcji Klucza współdzielonego istnieje możliwość wygenerowania bezpiecznego hasła):

Po wybraniu metody autoryzacji wskazujemy lokalizacje, między którymi będzie nawiązywane połączenie VPN (Alpha, Beta, Omega):

W kolejnym kroku wskazujemy sieci, które będą występowały w poszczególnych lokalizacjach, za pomocą dwukrotnego kliknięcia w jedną z lokalizacji:

  • dla urządzenia Alpha będzie to sieć LAN-Alpha,
  • dla urządzenia Beta będzie to sieć LAN-Beta,
  • dla urządzenia Omega będzie to sieć LAN-Omega.

Po zdefiniowaniu tuneli VPN przechodzimy do sekcji Wdrażanie Konfiguracji i po wybraniu wszystkich interesujących nas urządzeń wysyłamy zdefiniowaną wcześniej konfigurację:

Po wysłaniu konfiguracji w sekcji Monitoring -> VPN możemy zobaczyć status połączeń VPN pomiędzy lokalizacjami:

Po nawiązaniu połączenia VPN pomiędzy lokalizacjami do poprawnego działania połączeń konieczne będzie przepuszczenie ruchu pomiędzy sieciami w ramach modułu Firewall.

W tym celu przechodzimy do sekcji Konfiguracja -> Zapory i Foldery, gdzie w zakładce Reguły Filtrowania dodajemy nową regułę:

Reguła pozwalająca na swobodny ruch pomiędzy wszystkimi sieciami powinna wyglądać następująco:

Po utworzeniu globalnej reguły i zapisaniu konfiguracji ponownie przechodzimy do sekcji Wdrażanie Konfiguracji i po wybraniu wszystkich interesujących nas urządzeń ponownie wysyłamy wszystkie zmiany w konfiguracji:

Jeżeli chcemy zobaczyć na naszych urządzeniach reguły globalne to musimy przejść do Konfiguracji, za pomocą przycisku w prawym, górnym rogu ekranu, a następnie zaznaczamy opcję „Wyświetlaj globalne polityki ochrony (Filtering, NAT oraz IPSec VPN)”