Ingate Firewall 4.9.2

Transkript

1 Ingate Firewall Steg för steg-guide Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Per Johnsson

2

3 Ingate Firewall 4.9.2: Steg för steg-guide by Lisa Hallingström by Paul Donald by Bogdan Musat by Adnan Khalid by Per Johnsson Mångfaldigande av innehållet i denna dokumentation, helt eller delvis, är enligt lagen om upphovsrätt förbjudet utan medgivande från Ingate Systems AB. Förbudet gäller varje form av mångfaldigande genom tryckning, kopiering, stencilering, bandinspelning etc. Copyright 2010/2011 Ingate Systems AB Vårt företag är anslutet till REPA.

4

5 Table of Contents Del I. Inledning till Ingate Firewall...i 1. Inledning Installation av Ingate Firewall Inställningar i Ingate Firewall...9 Del II. Steg för steg VPN-uppkopplingar steg för steg PPTP-uppkopplingar genom brandväggen steg för steg SIP-grundkonfiguration steg för steg Avancerad SIP-konfiguration steg för steg How To SIP Trunking Using the SIP Trunk Page Lösenordsbyte steg för steg Nätverkstopologi och trafikkonfiguration steg för steg Index i

6 ii

7 Del I. Inledning till Ingate Firewall

8

9 Chapter 1. Inledning En gång för länge sedan insåg några män att de ville dela med sig av sina datorsystem, så de drog kablar genom landet för att koppla ihop sina datorer med varandra. De ville bilda en gemenskap, där användare kunde dela på datorerna i olika tidszoner och där CPU-tiden kunde flöda fritt dem emellan. Hackers skapade nätverket och såg att det var gott. Användarna jublade och kopplade sig från kust till kust för att använda varandras system, skicka meddelanden till SF-LOVERS och njuta av livet på nätet. Nätverket växte över åren och allt fler bidrog med sina system för det gemensamma goda. Turismen frodades, envar sin egen turingturist. Alla jagade CPU-tid på andras system. Lösenorden var inte uppfunna. Ingen visste vad en cracker var. Plötsligt var nätverket så stort, systemen så många, att antalet hackers inte räckte till. Användare fann sig ensamma på systemen, utlämnade till sig själva och sin företagsledning. Någon blev plötsligt rädd att andra skulle förstöra något och spärrade ute turister, införde lösenord och hindrade andra att komma åt det som tidigare varit gemensamma resurser. Misstänksamheten spred sig: Allt fler användare kände sig nödgade att införa identitetskontroller på systemen. Snart var det inte längre någon, förutom några få benhårda hackers, som tyckte att det var något märkvärdigt med lösenord och kryptering. Med misstänksamheten kom också illviljan. Några började försöka utnyttja identitetskontroller och säkerhetssystem för egna syften, i det att de försökte övertyga systemen om att de var andra användare. Dessa kom att kallas "crackers" eller "systemknäckare", illvilliga personer som ville komma åt system för egna syften, utan att se, eller ens vilja ha tillbaka, den gamla känslan av gemenskap. Säkerhetskontrollerna utvecklades. Snart fanns protokoll på nätverket för att försöka förhöra fjärran system om användare av särskilda nätprogram (IDENT), smarta kort (CP/8), engångslösenord (S/Key) och liknande saker (SSH, PGP). I denna utveckling kom också "brandväggar" att utvecklas. Vad är en brandvägg? En brandvägg i nätverkssammanhang fungerar precis som en brandvägg i byggnadsbranschen: genom att sakna hål hindrar den elden från att sprida sig vidare. I det här fallet är elden illasinnade individer och deras program. Ta en lagom stor dator, lägg till minst två nätverksgränssnitt och du har, med lämplig programvara, en bro mellan två nätverk som vidarebefordrar all trafik från det ena nätverket till det andra. Stoppa denna vidarebefordran och du har en brandvägg. Den brandvägg du just har byggt har dock en begränsad funktion, eftersom den lika mycket hindrar datapaket från att komma in som att komma ut. Detta betyder att anslutningen mellan det interna nätverket, som du vill skydda, och det externa nätet, som du vill nå, nu är meningslös ingen trafik mellan de båda kan äga rum. I stället för att helt strypa trafiken mellan det externa nätverket och det interna, utrustar man i stället brandväggen med programvara för att filtrera trafiken. På vägen ut släpper man vanligen igenom allt, medan man på vägen in är synnerligen restriktiv. 1

10 Chapter 1. Inledning Demilitariserade zoner I militära och politiska sammanhang finns det buffertzoner, demilitariserade zoner, mellan oroliga områden. Ett bra exempel på detta är den demilitariserade zonen mellan Nord- och Sydkorea. Demilitariserade zoner, DMZ, finns även i datornätsammanhang. Där betecknar de ett datornät som är åtkomligt från två andra datornät där de två näten inte har någon direktkontakt mellan varandra. Typiskt kan det ena nätet vara Internet och det andra nätet ett lokalt internt nät. Mellan Internet och det lokala nätet finns det ingen direktförbindelse men bägge dessa kan komma åt ett mellanliggande nät, en demilitariserad zon. Demilitariserade zoner används ofta för tjänsteservrar, t ex webbservrar, som ska vara åtkomliga från två separata nät. Demilitariserade zoner skapas enklast med hjälp av en brandvägg och kan t ex se ut enligt bilden nedan. En demilitariserad zon kan även byggas som ett nät kopplat mellan två brandväggar. Server Ingate Fir LAN 2

11 Chapter 2. Installation av Ingate Firewall Installation Det finns tre sätt att installera Ingate Firewall; med seriekabel, med Ingates startverktyg eller med magisk ping. Installation med startverktyget går att göra på distans (men bara från en maskin på samma logiska nätverk som brandväggen) och ger dig hjälp med nätverks- och SIP-konfiguration. Installation med magisk ping går att göra på distans (men bara från en maskin på samma logiska nätverk som brandväggen), men ger begränsad möjlighet för grundkonfigurationen. Installation med seriekabel kräver att man sitter på samma ställe som brandväggen, men ger större möjlighet att sätta grundkonfigurationen. Installation med startverktyg På den CD som finns med brandväggen finns startverktyget. Det går också att hämta den senaste versionen från Startverktyget hjälper dig att sätta en IP-adress samt med grundläggande nätverks- och SIP-konfiguration inklusive SIP Trunking. Installation med magisk ping Man kan använda magisk ping för att sätta en IP-adress på brandväggen. Magisk ping går till så här: Anslut brandväggens elsladd till ett uttag och slå på brandväggen. Vänta medan brandväggen startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera brandväggens MAC-adress som står på baksidan av maskinen. Lägg till en statisk post i din ARP-tabell med brandväggens MAC-adress och den IP-adress som brandväggens eth0 ska få. På en Windows-maskin gör du så här för att lägga till en statisk post i ARP-tabellen: Starta en kommandotolk (DOS-fönster). Skriv kommandot arp -s ipadress macadress där ipadress är den IP-adress du vill att eth0 ska få, och macadress är den MAC-adress som står på maskinen, men med alla kolon (:) utbytta mot bindestreck (-). Pinga denna IP-adress, så sätts den nya IP-adressen på eth0. Om detta lyckas kommer du att få svar på ping därifrån. Konfigurera resten via webbgränssnittet. 3

12 Chapter 2. Installation av Ingate Firewall Om du använder en dator med Windows 2000 eller XP kan du istället göra så här: Anslut brandväggens elsladd till ett uttag och slå på brandväggen. Vänta medan brandväggen startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera brandväggens MAC-adress som står på baksidan av maskinen. Kör igång programmet Ingate.exe som finns på den medföljande CD:n i mappen MagicPing. Skriv in brandväggens MAC-adress i den övre raden med rutor. Skriv in brandväggens IP-adress i den nedre raden med rutor. Tryck på Configure för att ge brandväggen denna IP-adress. Tryck på Login för att koppla upp dig till brandväggen och göra resten av konfigurationen via webbgränssnittet. Magisk ping sätter inget lösenord. Ange ett lösenord så fort som möjligt via webbgränssnittet. Innan man gjort några inställningar är det bara datorn som gjorde den magiska pingen som kan konfigurera brandväggen. Installation med seriekabel Installation med seriekabel innehåller dessa moment: Anslut brandväggen till din arbetsstation med den medskickade seriekabeln. Anslut brandväggens elsladd till ett uttag och slå på brandväggen. Vänta medan brandväggen startar. Kör installationsprogrammet enligt anvisningarna nedan. Anslut nätverkskablarna till nätverksgränssnitten. Konfigurera resten via administrationsgränssnittet. Anslut brandväggen till din arbetsstation (eller annan dator) med den medskickade seriekabeln. Anslut brandväggens elsladd till ett uttag, slå på brandväggen och vänta ett par minuter. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till brandväggen. 4

13 Chapter 2. Installation av Ingate Firewall Koppla upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Första gången du loggar in kommer det inte att krävas något lösenord, men det sätter du under installationen. Textgränssnittet går automatiskt igång när du har loggat in. Nätverksgränssnitten är märkta med eth0, eth1 osv. Detta är gränssnittens fysiska namn och används vid vissa inställningar. När programmet frågar efter nätinställningar för insidan skriver du in namnet på det gränssnitt som är kopplat till det nät där den/de datorer finns som det ska gå att göra inställningar i brandväggen från, t.ex. eth0. Du måste använda gränssnittets fysiska namn. Skriv in den IP-adress som brandväggen ska ha på detta gränssnitt samt nätmasken för det nätet. Nätmasken kan i Ingate Firewall skrivas på två sätt: Första sättet ser ut på samma sätt som en IP-adress, exempelvis eller Se kapitel 3, Inställningar i Ingate Firewall, för mer information om nätmask. Andra sättet är som ett tal mellan 0 och 32. En IP-adress är på 32 bitar där talet för nätmasken anger hur många bitar som används för nätets adressering. Resterande bitar identifierar datorn på nätet. Nu kan du välja om några nätverksgränssnitt ska deaktiveras. Väljer du "y" är det bara det gränssnitt som du redan har angivit som aktiveras. De andra gränssnitten kan du aktivera senare när du gör återstående inställningar via administrationsgränssnittet från din arbetsstation. Denna inställning påverkar bara gränssnitt som tidigare varit aktiva; det går inte att aktivera gränssnitt med detta val. Sedan ska du ange från vilken eller vilka datorer som det ska gå att göra ändringar i brandväggens inställningar (konfigurationsdatorer). Skriv därefter ett lösenord för brandväggen. Detta är det lösenord som du använder i din webbläsare för att som användaren admin titta på och ändra i brandväggens inställningar. Slutligen kan du välja att nollställa brandväggens övriga inställningar. Nedan ser du ett exempel på hur det kan se ut: Ingate Firewall Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> 5

14 Chapter 2. Installation av Ingate Firewall Välj 1. Basic configuration för att installera din Ingate Firewall. Basic unit installation program version Press return to keep the default value Network configuration inside: Physical device name[eth0]: IP address [ ]: Netmask/bits [ ]: Deactivate other interfaces? (y/n) [n] Computers from which configuration is allowed: You can select either a single computer or a network. Configure from a single computer? (y/n) [y] Om du väljer att enbart tillåta ändringar i brandväggens inställningar från en dator får du en fråga om IP-adress (nätmask sätts automatiskt): IP address [ ]: Om denna IP-adress inte ligger inom samma nät som brandväggens IP-adress frågas även efter en nätsluss. Skriv in den IP-adress nätslussen har på det nät som brandväggen sitter på. Skriv därefter in nätadressen och nätmasken för det nät där datorn som tillåts ändra inställningar finns. Static routing: The computer allowed to configure from is not on a network local to this unit. You must configure a static route to it. Give the IP address of the router on the network the unit is on. The IP address of the router [ ]: Network address [ ]: Netmask [ ]: Om du istället väljer att tillåta ändringar av inställningarna från fler datorer, dvs svarar nej på frågan Configure from a single computer? (y/n) [y] n frågar installationsprogrammet efter nätnumret. Konfigurationsdatorerna anges som ett subnät, dvs med ett nätnummer och en nätmask (exempelvis med nätmask , som betyder datorerna ). Alla datorer på detta subnät tillåts konfigurera brandväggen. Se i exemplet i kapitel 3, Inställningar i Ingate Firewall, för mer information om nätnummer och nätmask. 6

15 Chapter 2. Installation av Ingate Firewall Network number [ ]: Netmask/bits [ ]: Om nätet/delnätet inte ligger i direkt anslutning till brandväggen behöver du ange IP-adressen till den nätsluss som måste passeras för att nå detta nät. Därefter behöver du ange nätets adress och mask. Static routing: The network allowed to configure from is not on a network local to this unit. You must configure a static route to it. Give the IP address of the router on the network this unit is on. The IP address of the router [ ]: Network address [ ]: Netmask [ ]: När detta är gjort återstår att fylla i ett lösenord. Password []: Slutligen får du frågan om brandväggens inställningar ska nollställas. Other configuration Do you want to reset the rest of the configuration? (y/n) [n] Om man svarar n på frågan nollställs ingenting. Svarar man y finns det tre alternativ att välja mellan: 1. Nollställ så lite som möjligt. Detta är det alternativ som används om man svarar n på frågan ovan. Både preliminära och driftsinställningar uppdateras med de inställningar som angivits. 2. Återgå till fabriksinställningarna och läs sedan in de inställningar som angivits. Detta påverkar driftsinställningarna men inte de preliminära inställningarna. 3. Återgå till fabriksinställningarna och töm alla loggar. Läs sedan in de inställningar som angivits. Både preliminära och driftsinställningar påverkas. Välj uppdateringsmode, dvs vad som ska nollställas. Update mode (1-3) [1]: Nu är alla inställningar gjorda. Installationsprogrammet visar dina inställningar och frågar om de stämmer. yes sparar inställningarna. no kör installationsprogrammet från början. abort avslutar installationsprogrammet utan att spara. 7

16 Chapter 2. Installation av Ingate Firewall You have now entered the following configuration Network configuration inside: Physical device name: eth0 IP address: Netmask: Deactivate other interfaces: no Computer allowed to configure from: IP address: Password: eeyore The rest of the configuration is kept. Is this configuration correct (yes/no/abort)? yes Resterande inställningar görs från den eller de datorer som du angav till installationsprogrammet. Stänga av Ingate Firewall Spara inställningarna för din Ingate Firewall (som en säkerhetsåtgärd). Detta görs på sidan Spara/Läsa inställningar under Administration. När detta är gjort är det bara att stänga av den. Datorn som kör Ingate Firewall är specialgjord så att det bara är att stänga av den utan att det ger problem med filsystemen. Tänk på att låsa in din brandvägg Din brandvägg är en dator med speciell programvara i, och behöver därför skyddas mot fysisk tillgång liksom alla andra datorer som handhar viktiga funktioner. Det en inlåst brandvägg skyddas mot är bland annat följande: Det går inte att koppla upp sig mot konsolen. Det går inte att ändra lösenordet med hjälp av en omstart och knapparna på brandväggen. Se kapitel 3, Inställningar i Ingate Firewall, för mer information om vilka inställningar som måste göras. 8

17 Chapter 3. Inställningar i Ingate Firewall Du kommer åt din Ingate Firewall genom att skriva in dess namn eller IP-adress i din webbläsare. Inloggning Innan du kan göra några inställningar i din Ingate Firewall måste du först ange ditt administratörsnamn och -lösenord eller RADIUS-identitet och lösenord. Den fördefinierade användaren admin har alla administratörsrättigheter. Logga in igen Om du har en WWW-uppkoppling för inställningar av brandväggen som har varit inaktiv i mer än 10 minuter måste du på nytt ange samma lösenord och trycka på någon av knapparna Behåll ändringar nedan och Återställ ändringar nedan. På alla sidor där du har gjort ändringar får du vid ny inloggning upp två knappar, Behåll ändringar nedan och Återställ ändringar nedan. Behåll ändringar nedan kopplar upp dig mot brandväggen och sparar de inställningar du har gjort till de preliminära inställningarna. Återställ ändringar nedan kopplar upp dig mot brandväggen och kastar bort de inställningar som du har påbörjat på sidan. På sidor där du inte gjort några ändringar visas knappen Logga in igen. Skriv in lösenordet och tryck på den, så är du på nytt uppkopplad mot brandväggen. Kryptonyckeln i Ingate Firewall ändras var 24:e timme. Om du har en WWW-uppkoppling för inställningar av brandväggen när detta sker måste du på nytt ange lösenord. Det fungerar på ungefär samma sätt som om du har varit inaktiv i mer än 10 minuter (se ovan). 9

18 Chapter 3. Inställningar i Ingate Firewall Logga ut När man är färdig med att titta på eller göra nya inställningar bör man logga ut från brandväggen. Högst uppe till höger på varje webbsida finns en utloggningsknapp som avslutar sessionen. Observera att man inte automatiskt loggas ut bara för att man går till någon annan sida med sin webbläsare. Det är därför viktigt att logga ut för att webbläsaren ska radera sin lagrade information om användarnamn och lösenord. Snabbnavigering På alla sidor finns knappar för snabbnavigering till de andra huvudsidorna. Ovanför knappraden syns också brandväggens namn. Toppsidan Toppsidan är den första sida du kommer till när du loggat in på brandväggen. Från toppsidan kan du komma till Grundinställningar, Administration, Nätverk, Regler och reläer, Loggning och verktyg, SIP-tjänster, SIP-trafik, Failover, Virtuella Privata Nät och Quality of Service, och det går även att från toppsidan ta sig direkt till en specifik sida via länkarna under respektive kategori. Gå till toppsidan genom att klicka på logotypen längst upp till vänster på en sida. Administration Under Administration sparar du inställningar eller läser tillbaka inställningar. Här kan du även provköra dina inställningar och se om de fungerar som du har tänkt dig. Det går också att uppgradera och starta om brandväggen, ställa in datum, tid och språk samt definiera användare som får komma åt webbgränssnittet. 10

19 Grundinställningar Chapter 3. Inställningar i Ingate Firewall Under Grundinställningar ställer du in namnet på brandväggen och hur man får komma åt brandväggen för konfiguration. Här kan du också ställa in en DNS-server samt om versionskontrollen ska vara på eller ej. Du gör också de inställningar som krävs om brandväggen ska jobba mot en SNMP-, DynDNS- eller RADIUS-server samt anger om brandväggen ska agera DHCP-server. Nätverk Under Nätverk ställer du in maskinens IP-adresser, routningen för de olika näten samt definierar grupper av IP-adresser som sedan används i olika inställningar hos brandväggen. Här gör du också inställningar för NAT. Regler och reläer Under Regler och reläer skapas namn för de olika tjänster som ska släppas fram av brandväggen. Eventuellt måste också nya protokoll och tidsklasser definieras. Sedan ställer du in regler och reläer för att bestämma vilken trafik som ska få komma fram respektive spärras från ett nät till ett annat. Här gör du också inställningar för brandväggens DHPC-relä. SIP-tjänster Under SIP-tjänster kan du ställa in SIP-kryptering, interop-inställningar, Remote SIP Connectivity och VoIP Survival. SIP-trafik Under SIP-trafik kan du ställa in SIP-trafik och -registratorn. Här går det också att se aktuella användarregistreringar och SIP-sessioner. Failover Under Failover gör du inställningar för failover-paret och det reserverade nätverket för failover. Här går det också att se status för den andra brandväggen i failover-paret. Virtuella Privata Nät Under Virtuella Privata Nät görs inställningar för IPsec och PPTP. Här definierar du de nät som ska kopplas ihop med hjälp av IPSec-krypterade tunnlar. Här görs också inställningar för PPTP. Quality of Service Modulen QoS (Quality of Service) gör det möjligt att bandbreddsbegränsa och prioritera olika slags trafik genom brandväggen. Du kan för varje gränssnitt ange garanterad och maximal bandbredd för olika trafikklasser. 11

20 Chapter 3. Inställningar i Ingate Firewall Det går också att ange bandbreddsgränser för SIP-samtal och se till att nya samtal inte sätts upp när det inte finns nog med bandbredd för deras media. Loggning Under Loggning ställer du in vilken typ av trafik som ska loggas/larmas och hur den ska loggas. Här kan du också söka i och titta på loggarna samt titta på hur mycket trafik som går genom brandväggen. Om... Här finns grundläggande information, t ex serienummer och mjukvaruversion, samt länkar till mer information. Översikt över vilka inställningar som ska göras Börja med att installera brandväggen enligt kapitel 2, Installation av Ingate Firewall. För att din Ingate Firewall ska fungera måste den först få minst en IP-adress per nätverksgränssnitt. Vidare behöver du ställa in routning, vägval, för de olika nät som du har. Dessa inställningar görs på Gränssnitt-sidorna under Nätverk. Om du vill att din Ingate Firewall ska ha flera IP-adresser på ett nät ställer du in det under Alias som återfinns på sidan för det nätverksgränssnittet under Nätverk. I samband med NAT är det speciellt bra att kunna ha flera IP-adresser på utsidan. Det går då att t ex ha flera webbservrar där det ser ut som att de finns på dessa IP-adresser men servrarna i själva verket ligger innanför brandväggen. Om du t ex vill dölja de logiska nät som finns inom organisationen och därmed endast göra brandväggens utsida synlig för omvärlden ska maskeringen (NAT) konfigureras. Ange vilken trafik som ska NAT:as på sidan NAT. Efter att ha ställt in IP-adresser och routning är det dags att gruppera alla IP-adresser och ge dem namn, t ex ekonomi och Internet. En del datorer kan behöva hanteras speciellt och dessa lägger du in separat. Dessa inställningar görs på sidan Nät och maskiner under Nätverk. Vidare behövs ett antal nätverkstjänster definieras. Några exempel på nätverkstjänster är WWW, e-post och filöverföring. Många vanliga tjänster finns redan fördefinierade. Dessa inställningar görs på sidan Tjänster under Regler och reläer. Tjänsterna är i sin tur baserade på ett antal protokoll som definieras på sidan Protokoll. De vanligaste protokollen (TCP, UDP och ICMP) finns fördefinierade. För att kunna bestämma när olika regler ska gälla behöver du Tidsklasser. En tidsklass ("24/7"; alltid) är fördefinierad. Efter att ha definierat tidsklasser, grupper och tjänster kan du sätta upp brandväggsregler för den trafik som ska släppas igenom och för den trafik som ska spärras. Trafik som inte släpps fram enligt någon regel spärras. Inställningar av brandväggsreglerna gör du på sidan Regler. 12

21 Chapter 3. Inställningar i Ingate Firewall Om du har NAT påslaget måste du ställa in reläer för de tjänster som ska gå att komma åt på det dolda nätet. Reläer går att använda även utan NAT. Reläer definieras på sidan Reläer. För att kunna studera den trafik som passerar brandväggen kan det vara lämpligt att slå på loggningen. Loggningen kan vara avstängd, logga allt eller logga endast för de regler och reläer som du har ställt in loggning för. I en ny Ingate Firewall kommer allt att loggas lokalt till brandväggens disk (för 1200 till minnet), se avsnittet Regler i kapitel 7,i Referenshandboken respektive avsnittet Reläer i kapitel 7,i Referenshandboken. Vilken av de tre typerna av loggning som ska användas ställs in under Loggning och verktyg. Där hittar du även loggarna för trafiken som har passerat brandväggen. Loggar kan skickas med syslog till en syslogserver som tar hand om meddelandena. Loggar kan även skickas med e-post till en eller flera e-postadresser. När alla inställningar är klara kan de tas i drift. Gå in på Administration och gå till sidan Spara/Läsa inställningar. Välj Ta i drift. Du får nu först provköra dina nya inställningar och om du är nöjd med dessa kan du ta dem i permanent drift. Om inställningarna inte var bra kan du välja Avbryt provkörningen eller starta om brandväggen. Då tas de nya inställningarna inte i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Preliminära och driftsinställningar I Ingate Firewall finns det två inställningsuppsättningar: preliminära inställningar och driftsinställningar. När brandväggen är i drift är det driftsinställningarna som styr brandväggsfunktionerna. När du konfigurerar din Ingate Firewall arbetar du mot de preliminära inställningarna. Samtidigt som ändringar görs i de preliminära inställningarna fortsätter driftsinställningarna att styra brandväggsfunktionerna. 13

22 Chapter 3. Inställningar i Ingate Firewall När du är klar med de preliminära inställningarna går det att provköra dessa. Detta gör man med knappen Ta i drift på sidan Spara/Läsa inställningar under Administration. Det är då de preliminära inställningarna som styr brandväggsfunktionerna. När du är nöjd med de preliminära inställningarna kan du ta dessa i permanent drift. De preliminära inställningarna kopieras då över till driftsinställningar. Dessa styr sedan brandväggsfunktionerna. Driftinställningarna går att kopiera över till de preliminära inställningarna. Detta påverkar inte driftsinställningarna och det påverkar inte heller brandväggsfunktionerna som fortfarande styrs av driftsinställningarna. Detta görs med Återgå till sparat på sidan Spara/Läsa inställningar under Administration. Detta gör att alla inställningar som är gjorda sedan du senast tog i drift (genom att trycka på Spara och ta i permanent drift) försvinner. 14

23 Chapter 3. Inställningar i Ingate Firewall Du kan spara inställningarna till fil på den lokala arbetsstationen från vilken brandväggen konfigureras (datorn som du kör din webbklient på). Tryck på Spara till lokal fil eller Spara inställningarna i CLI-format på sidan Spara/Läsa inställningar under Administration för att spara till fil. Inställningar som är sparade på en lokal dator går att ladda upp till brandväggens preliminära inställningar. Använd Browse för att söka på lokala hårddisken eller ange filnamn inklusive sökväg i inmatningsrutan följt av ett tryck på Läs från lokal fil eller Ladda upp CLI-fil. Provkörning av preliminära inställningar, kopiering av preliminära inställningar till driftsinställningar, sparande av preliminära inställningar till fil och återläsning av inställningar till preliminära inställningar görs på sidan Spara/Läsa inställningar under Administration i Ingate Firewall. 15

24 Chapter 3. Inställningar i Ingate Firewall Inställningar av IP-adress och mask i Ingate Firewall IP-adress IP-adresser skrivs som fyra tal med punkter emellan, där talen ska ligga mellan 0 och 255. Ett exempel kan vara Mask/bitar Det binära talsystemet använder siffrorna 0 och 1 för att representera tal. En binär siffra kallas bit. 8 bitar i det binära talsystemet kan representera tal mellan 0 och 255. Nätmasken talar om hur stor del av IP-adressen det är som används till nätadressen och hur stor del som används till datorernas enskilda adresser. En mask består av = 32 bitar. I figuren nedan visas en mask med 26 1-satta bitar, vilket betyder att så många bitar i adressen låsts till nätets adress (och alltså inte går att ändra på inom nätet). Bitar Tal En mask skrivs i Ingate Firewall antingen som antalet bitar som ska vara 1 eller som fyra tal (0-255) med punkter mellan talen. Om du har ett nät och vill gruppera ett antal datorer går det bra om datorerna har IP-adresser som följer på varandra. Sedan ska masken sättas så att den begränsas till enbart dessa datorer. Den lägsta IP-adressen för dessa datorer talar om var mellan 0 och 255 som gruppens nummerföljd ska placeras. Det finns skäl till att man vill gruppera datorer. Ibland kan det t ex vara praktiskt att ställa in masken så att några få datorer ska kunna få komma åt att ändra i brandväggens inställningar. Detta förklaras bäst med ett enkelt exempel. Om du har sju datorer som ska få komma åt att ändra i brandväggens inställningar gör du så här: Tag närmaste två-potens över det antal datorer som du vill ha med i gruppen: 2, 4, 8, 16, 32, 64, 128 eller 256. Med 7 datorer blir det 8 som ligger närmast. I exempelfallet blir det en IP-adress ledigt för framtida bruk. Datorerna ger du IP-adresser i följd. Första IP-adressen ska börja på en jämn multipel av den tvåpotens du valde och får inte vara större än 255. I exemplet ovan blir det 0, 8, 16, 24, 32, 40, 48 osv upp till 248. Välj t ex att börja på 136 (17 x 8). Datorerna får då följande IP-adresser: , , , , , , and En av IP-adresserna är ledig och kan användas till en framtida åttonde dator. Den IP-adress som ska anges när nätnumret efterfrågas är första IP-adressen i serien, Det som är kvar nu är att sätta masken så att endast datorerna med dessa åtta IP-adresser ska ingå. Tag (antalet IP-adresser som ingår i nätgruppen). I exemplet blir det = 248. Den fullständiga masken blir då

25 Nu får endast dessa datorer komma åt att konfigurera brandväggen. Nätmasktabell. Antal datorer Mask Bitar Chapter 3. Inställningar i Ingate Firewall Se appendix I i Referenshandboken för en mer utförlig tabell över nätnummer och nätmasker. Namnuppslagningar i brandväggen En brandvägg bör vara så oberoende av andra datorer som möjligt. Samtidigt vill den som gör inställningarna av brandväggen använda sig av namn på t ex datorer istället för IP-adresser. Brandväggens SIP-modul behöver också kunna slå upp domännamn för SIP-begäran. Detta ger ett beroende av en DNS-server. Det finns flera tillfällen då brandväggen använder DNS-servern: När en inkommande SIP-begäran har en domän i destinationsadressen. Resultaten från dessa DNS-uppslagningar lagras en kort stund i brandväggen. När du ändrat på namn/ip-adress och sparar sidan. Resultaten från dessa DNS-uppslagningar lagras i brandväggen. När du trycker på Slå upp alla IP-adresser igen. Resultaten från dessa DNS-uppslagningar lagras i brandväggen. När en IPsec-tunnel ska kopplas upp mot en VPN-motpart som har ett dynamiskt DNS-namn. Resultaten från dessa DNS-uppslagningar lagras i brandväggen. En Ingate Firewall är kontinuerligt beroende av att namnservern fungerar för SIP-modulen. Däremot slår den inte upp datornamn i sina egna inställningar varje gång de ska användas. 17

26 Chapter 3. Inställningar i Ingate Firewall Nackdelen med denna lösning är att du varje gång en dator byter IP-adress måste trycka på Slå upp alla IP-adresser igen. Ett undantag till detta finns på sidan IPsec-motparter, där du kan välja att låta brandväggen slå upp IP-adresser dynamiskt. När brandväggen har en IPsec-motpart med dynamisk uppslagning, slås IP-adressen för denna upp när tunneln ska förhandlas. Den första gång detta sker är när de nya inställningarna tas i drift. Om det inte går att få upp en tunnel efter tre försök görs en ny DNS-uppslagning. Om du ändrar namn/ip-adress på en rad uppdateras den raden i samband med att du trycker på Spara, går till en annan sida i brandväggen eller trycker på Slå upp alla IP-adresser igen. Inställningar av datorerna på arbetsplatsen När en Ingate Firewall kopplas in på ett nät mellan en nätsluss och organisationens arbetsstationer måste standardnätslussen ändras för arbetsstationerna så att den istället pekar på brandväggen. I bilden nedan har en Ingate Firewall kopplats in mellan nätslussen, som ansluter organisationen till Internet, och organisationens arbetsstationer. Arbetsstationernas inställningar måste därmed ändras så att standardnätslussen inte längre är nätslussen utan brandväggens insida mot det inre nätet. Ingate Firewall 18

27 Del II. Steg för steg I denna del finns steg-för-steg-beskrivningar för att konfigurera olika funktioner för brandväggen. Här finns också referenser till de kapitel i Del III, Inställningar, som är relevanta för varje funktion.

28

29 Chapter 4. VPN-uppkopplingar steg för steg Här finns steg för steg-beskrivningar av olika VPN-inställningar. Utförliga beskrivningar av de inställningar som finns hittar du i delen Inställningar, främst i kapitel 12 i Referenshandboken. Att konfigurera Ingate Firewall för PPTP-uppkopplingar mot brandväggen En VPN-uppkoppling över PPTP gör att PPTP-klienten tilldelas en lokal IP-adress och kan på så sätt se ut som om den sitter på det lokala nätverket. Följ dessa steg för att sätta upp en PPTP-förbindelse till brandväggen. Nät och maskiner Gå till sidan Nät och maskiner under Nätverk och skapa ett nytt nätverk som innehåller de lokala IP-adresser som PPTP-klienterna ska få använda. Välj "-" som Interface för detta nätverk. Se också till att det finns rader för de maskiner som PPTP-klienterna ska få komma åt. Dessa behövs när regler för denna trafik ska läggas upp. PPTP Gå till sidan PPTP under Virtuella Privata Nät och gör inställningar för PPTP-servern. Börja med att slå på PPTP-servern och välj en IP-adress för den. PPTP-serverns IP-adress är den som klienterna ska koppla upp sig mot och måste därför vara en adress som är åtkomlig från Internet. Det är lämpligt att välja en av de adresser som brandväggen har på utsidan. 21

30 Chapter 4. VPN-uppkopplingar steg för steg Välj därefter en IP-adress på brandväggen som är PPTP-klienternas motpart på det lokala nätverket. Du måste välja en IP-adress som ligger på samma gränssnitt och logiska nätverk som de IP-adresser klienterna ska få använda. Välj också det nätverk du tidigare skapade, som anger vilka IP-adresser PPTP-klienterna kan få på det lokala nätverket. Det går att ange DNS- och WINS-servrar som PPTP-klienterna ska använda på det lokala nätverket. Det gör det lättare att använda olika nätverkstjänster. Mata sedan in de användare som ska koppla upp sig med PPTP, samt deras lösenord. Användaren får sedan ange detta användarnamn och lösenord när hon gör inställningar i sin PPTP-klient. 22

31 Chapter 4. VPN-uppkopplingar steg för steg Regler Gå sedan till sidan Regler under Regler och reläer och skapa regler för trafiken mellan PPTP-klienterna och det lokala nätverket. PPTP-klienterna representeras i reglerna av det nätverk som innehåller de lokala PPTP-IP-adresserna. Om det bara är PPTP-klienterna som ska initiera trafik (dvs att de inte agerar som server) behövs det ingen svarsregel för TCP, utan sådana skapas dynamiskt när TCP-förbindelsen kopplas upp. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 23

32 Chapter 4. VPN-uppkopplingar steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurera klienten När detta är klart ska klienten också konfigureras. Detta går naturligtvis till på olika sätt beroende på vilken klient man har. En maskin med Windows XP har en inbyggd PPTP-klient som man konfigurerar via Kontrollpanelen -> Nätverksanslutningar. Att konfigurera Ingate Firewall för IPsec-uppkopplingar mellan två brandväggar Genom att sätta upp en VPN-förbindelse mellan två brandväggar eller andra VPN-slussar kan man låta flera kontor dela på servrar och andra resurser utan att trafiken går i klartext på Internet. Följ dessa steg för att sätta upp en IPsec-VPN-förbindelse till brandväggen. Certifikat Om brandväggarna ska autentisera sig för varandra med X.509-certifikat behöver brandväggen ett eget sådant. Alla certifikat för brandväggen skapas på sidan Certifikat under Grundinställningar. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen igen. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. 24

33 Chapter 4. VPN-uppkopplingar steg för steg Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggens. Välj under Lokal sida en publik IP-adress på brandväggen och under Bortre sida en publik IP-adress för den maskin som brandväggen ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Definiera det lokala nätverket (kontorsnätet) och det nätverk som finns bakom den andra brandväggen. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen. Under Bortre nätverk väljer du också Nätverk samt det nätverk du definierade nedan, som är kopplat till den andra brandväggen. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. 25

34 Chapter 4. VPN-uppkopplingar steg för steg SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. 26

35 Chapter 4. VPN-uppkopplingar steg för steg Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från IPsec-motpart om Klient är nätet på bortre sidan av VPN-tunneln. Välj VPN-tunneln under Till IPsec-motpart om Server är nätet på bortre sidan av VPN-tunneln. 27

36 Chapter 4. VPN-uppkopplingar steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Att konfigurera Ingate Firewall för IPsec-uppkopplingar från mobil klient Genom att sätta upp en IPsec-förbindelse mellan brandväggen och en mobil klient kan man använda servrar på kontoret hemifrån eller från exempelvis hotellrummet utan att trafiken går i klartext på Internet. För uppkopplingar med en mobil klient krävs det att man använder X.509-certifikat. Följ dessa steg för att sätta upp en IPSec-VPN-förbindelse till brandväggen. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen. 28

37 Chapter 4. VPN-uppkopplingar steg för steg Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen igen. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. 29

38 Chapter 4. VPN-uppkopplingar steg för steg Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggens eget. Välj under Lokal sida en publik IP-adress på brandväggen och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen med en ledig port. Välj i så fall På under RADIUS. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. 30

39 Chapter 4. VPN-uppkopplingar steg för steg Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den mobila klienten har. 31

40 Chapter 4. VPN-uppkopplingar steg för steg SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det behövs inget nätverk för autentiseringsservern. 32

41 Chapter 4. VPN-uppkopplingar steg för steg Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPN-tunneln under Till VPN om Server är nätet för den mobila klienten. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 33

42 Chapter 4. VPN-uppkopplingar steg för steg Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. Att konfigurera Ingate Firewall för IPsec-uppkopplingar med RADIUS-autentisering Uppkopplingar med en mobil klient kräver att X.509-certifikat används. Om man vill att uppkopplingen ska vara ännu mer skyddad går det att kräva att VPN-användaren också autentiserar sig mot en RADIUS-server innan det går att använda IPsec-uppkopplingen. Här visas hur man sätter upp en IPsec-förbindelse med RADIUS-autentisering till brandväggen. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen. Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa 34

43 Chapter 4. VPN-uppkopplingar steg för steg en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen igen. Nu finns det ett certifikat som ska användas av brandväggen när den identifierar sig för den IPsec-klient som kopplar upp sig. Brandväggen behöver också ett certifikat för att identifiera sig för den webbläsare som används när RADIUS-autentiseringen ska genomföras. Det går att använda samma certifikat för båda dessa syften, eller skapa olika certifikat för varje ny användning. RADIUS Om man ska använda RADIUS-autentisering måste brandväggen veta vilken RADIUS-server den ska kontakta. Gå till sidan RADIUS under Grundinställningar och fyll i den RADIUS-server som ska användas. Den adress som brandväggen ska använda när den kontaktar RADIUS-servern måste också anges. Gränssnitt När IPsec-användaren vill använda IPsec-förbindelsen kommer hon först att behöva koppla upp sig mot en IP-adress på brandväggen för att autentisera sig mot en RADIUS-server. Denna uppkoppling görs med en webbläsare över https. 35

44 Chapter 4. VPN-uppkopplingar steg för steg För detta måste man välja en IP-adress på brandväggen som användaren ska kunna koppla upp sig mot. IP-adressen måste vara åtkomlig via IPsec-förbindelsen, vilket normalt betyder att det måste vara en IP-adress på det lokala nätverket (kontorsnätet). Det går att använda brandväggens huvudadress (definierad i tabellen Direktkopplade nät) eller skapa ett Alias för detta ändamål. Det här görs på Interface-sidorna. Autentiseringsserver Om man använder RADIUS för att autentisera användaren måste det finnas ett SSL-certifikat för brandväggens autentiseringsserver. Gå till sidan Autentiseringsserver; och välj den IP-adress och port som autentiseringsservern ska svara på. Eventuellt kan man först behöva gå till Gränssnitt-sidorna för att definiera en ny IP-adress på brandväggens utsida. Välj också det certifikat som autentiseringsservern ska använda för att identifiera sig mot den uppkopplade klienten. Man måste även välja det certifikat som brandväggen ska använda för att identifiera sig för klienten. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. 36

45 Chapter 4. VPN-uppkopplingar steg för steg IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggens eget. Välj under Lokal sida en publik IP-adress på brandväggen och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen med en ledig port. Välj i så fall På under RADIUS. Välj "På" under RADIUS för att slå på RADIUS-autentisering för denna motpart. Observera att när RADIUS-autentisering används måste motpartens namn vara samma som användarens RADIUS-namn. Det betyder att det måste finnas en rad per IPsec-användare som ska autentisera sig med RADIUS. 37

46 Chapter 4. VPN-uppkopplingar steg för steg IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj 38

47 Chapter 4. VPN-uppkopplingar steg för steg i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den mobila klienten har. SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att 39

48 Chapter 4. VPN-uppkopplingar steg för steg The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det behövs inget nätverk för autentiseringsservern. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPN-tunneln under Till VPN om Server är nätet för den mobila klienten. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 40

49 Chapter 4. VPN-uppkopplingar steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurering av RADIUS-servern Lägg till din Ingate Firewall som klient i RADIUS-servern. Se till att den delade hemligheten för denna klient är densamma som i brandväggen. För att kontrollera om en användare får logga in tittar brandväggen på RADIUS-typen Service-Type för användaren. Om värdet är Framed (2) får denne logga in via VPN. Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. När användaren vill koppla upp sig med IPsec börjar hon med att med sin webbläsare gå till den IP-adress som valdes på sidan Autentiseringsserver. Observera att https måste användas. En inloggningssida kommer att visas där användaren skriver in sitt RADIUS-namn och lösenord/pin-kod. 41

50 Chapter 4. VPN-uppkopplingar steg för steg När användarnamnet och lösenordet/pin-koden har verifierats av RADIUS-server kommer förbindelsen att sättas upp. Att konfigurera Ingate Firewall för IPsec-uppkopplingar med NAT Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att den ena sidan ska kunna kontakta servrar på den andra sidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggens. Välj under Lokal sida en publik IP-adress på brandväggen och under Bortre sida en publik IP-adress för den maskin som brandväggen ska upprätta en tunnel till. 42

51 Chapter 4. VPN-uppkopplingar steg för steg Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. You must define the local office network as well as the IP address or addresses used by the IPsec peer for NATing traffic for its local network. As the two networks clash, you can t define the remote network directly here. Instead, the local computers need to contact an IP address on the peer outside. The peer then forwards the traffic to the server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggens IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. 43

52 Chapter 4. VPN-uppkopplingar steg för steg SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det nätverk som ska skapas för serversidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som serversidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. 44

53 Chapter 4. VPN-uppkopplingar steg för steg Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 45

54 Chapter 4. VPN-uppkopplingar steg för steg Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggens. Välj under Lokal sida en publik IP-adress på brandväggen och under Bortre sida en publik IP-adress för den maskin som brandväggen ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Definiera det lokala nätverket (servernätet) och den IP-adress eller de IP-adresser som motparten NATar sin trafik som. Det går alltså inte att direkt definiera nätverket på andra sidan, eftersom det sammanfaller med det lokala nätverket. Istället används den IP-adress som trafiken ser ut att komma från. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. 46

55 Chapter 4. VPN-uppkopplingar steg för steg Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggens IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. 47

56 Chapter 4. VPN-uppkopplingar steg för steg Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja VPN-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som klientsidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. Reläer Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress på utsidan att lyssna på. Denna IP-adress måste finnas med bland de IP-adresser som klientsidan gör en IPsec-förhandling om. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsec-motpart och klientnätet under Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 48

57 Chapter 4. VPN-uppkopplingar steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. IPsec-uppkoppling med NAT, klientsidan har en dynamisk IP-adress Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att klienter på den ena sidan ska kunna kontakta servrar på den andra sidan. Den IPsec-motpart som finns på klienternas sida har en dynamisk IP-adress på utsidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. Certifikat Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. 49

58 Chapter 4. VPN-uppkopplingar steg för steg Skriv in information om brandväggen i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen in. Välj under Lokal sida den dynamiska IP-adressen för devicen; och under Bortre sida en publik IP-adress för den maskin som brandväggen ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. 50

59 Chapter 4. VPN-uppkopplingar steg för steg IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. You must define the local office network as well as the IP address or addresses used by the IPsec peer for NATing traffic for its local network. As the two networks clash, you can t define the remote network directly here. Instead, the local computers need to contact an IP address on the peer outside. The peer then forwards the traffic to the server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggens IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. 51

60 Chapter 4. VPN-uppkopplingar steg för steg SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. 52

61 Chapter 4. VPN-uppkopplingar steg för steg Det nätverk som ska skapas för serversidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som serversidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 53

62 Chapter 4. VPN-uppkopplingar steg för steg Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. Certifikat Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. 54

63 Chapter 4. VPN-uppkopplingar steg för steg Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen in. Välj under Lokal sida brandväggens publika IP-adress. I Bortre sida ska * skrivas in, vilket betyder att motparten har en dynamisk IP-adress. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå till sidan IPsec-tunnlar och gör en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Lokala sidans adress som Adresstyp. Under Bortre nätverk väljer du Bortre sidans adress. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. 55

64 Chapter 4. VPN-uppkopplingar steg för steg SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja IPsec-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av IPsec-tunneln ska utgöras av den IP-adress som klientsidan använder för att NATa trafiken. Eftersom denna IP-adress är dynamisk måste alla IP-adresser finnas med i intervallet. Nätverket måste ha "-" som Interface/VLAN. 56

65 Reläer Chapter 4. VPN-uppkopplingar steg för steg Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress på utsidan att lyssna på. Denna IP-adress måste finnas med bland de IP-adresser som klientsidan gör en IPsec-förhandling om. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsec-motpart och klientnätet under Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. IPsec-uppkoppling med NAT, serversidan har en dynamisk IP-adress Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att klienter på den ena sidan ska kunna kontakta servrar på den andra sidan. Den IPsec-motpart som finns på serversidan har en dynamisk IP-adress på utsidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. 57

66 Chapter 4. VPN-uppkopplingar steg för steg Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. As the server side has a dynamic public IP address, it is not possible to make the client side use this address when contacting servers. Instead, you need to set up an extra IP network on the inside, just for forwarding traffic to the inside servers. In this example, the common network for both sides is /24, and the extra IP network on the server side is /24. Gränssnitt Gå till sidan Gränssnitt och skapa ett nytt nät i tabellen Direktkopplade nät. I tabellen Alias går det att lägga till alias för de servrar som den andra sidan ska komma åt via IPsec-förbindelsen. Certifikat Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. 58

67 Chapter 4. VPN-uppkopplingar steg för steg Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen in. Välj under Lokal sida den dynamiska IP-adressen för devicen; och under Bortre sida en publik IP-adress för den maskin som brandväggen ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. 59

68 Chapter 4. VPN-uppkopplingar steg för steg IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Definiera det nät som skapades för servrarna. Det går inte att direkt definiera nätverket på andra sidan, eftersom det sammanfaller med det lokala nätverket. Istället kommer datorerna behöva kontakta en adress på motpartens utsida. Motparten skickar sedan vidare trafiken in till rätt server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk väljs relänätet. Under Bortre nätverk väljer du Bortre sidans adress. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja VPN-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som klientsidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. 60

69 Chapter 4. VPN-uppkopplingar steg för steg Reläer Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress i relänätet att lyssna på. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsec-motpart och klientnätet under Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. 61

70 Chapter 4. VPN-uppkopplingar steg för steg Certifikat; Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen in. Välj under Lokal sida brandväggens publika IP-adress. I Bortre sida ska * skrivas in, vilket betyder att motparten har en dynamisk IP-adress. 62

71 Chapter 4. VPN-uppkopplingar steg för steg Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Både det lokala kontorsnätet och motpartens servernät måste definieras här. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen den livslängd som den andra brandväggen har. Välj AES/3DES som kryptering. 63

72 Chapter 4. VPN-uppkopplingar steg för steg Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja IPsec-tunneln. Detta behövs för att kunna göra regler som släpper fram IPsec-trafiken. Det nätverk som ska skapas för serversidan av IPsec-tunneln ska vara det extra servernät som skapats på andra sidan. Nätverket måste ha "-" som Interface/VLAN. Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 64

73 Chapter 4. VPN-uppkopplingar steg för steg 65

74 Chapter 4. VPN-uppkopplingar steg för steg 66

75 Chapter 5. PPTP-uppkopplingar genom brandväggen steg för steg Ibland kan man vilja släppa igenom PPTP-trafik genom brandväggen istället för att låta den vara en PPTP-motpart. Om denna trafik inte ska NATas är det inga problem, men det vanliga är att trafiken NATas åt något håll. Detta kräver några speciella handgrepp, som dessutom är lite olika beroende på om klienten sitter på insidan eller utsidan. Här visas steg för steg hur man gör för att släppa igenom PPTP-trafik genom brandväggen, även när NAT används. PPTP-klient på insidan av brandväggen Ibland kan man ha några enstaka klienter på insidan, som ska få komma åt PPTP-servrar någon annanstans, exempelvis om man har besökare som vill komma åt sitt kontor. Här visas de extra inställningar som behöver göras för detta. Nät och maskiner Först måste det finnas en grupp på sidan Nät och maskiner under Nätverk för de datorer som ska få komma åt PPTP-servrar genom brandväggen (se "Gästnät" i bilden). Tjänster Gå därefter till sidan Tjänster under Regler och reläer. Här behövs en ny tjänst som kan ta hand om PPTP-trafiken och NATa den på rätt sätt. Den ska ha Protokoll TCP, Sessionsövervakad PPTP som Brandväggstyp och 1723 som Serverportar. Ge tjänsten ett namn som beskriver vad den gör. Regler Gå till sidan Regler och gör en regel som släpper fram PPTP-trafiken från datorerna på insidan till Internet. Använd den tjänst som nyss skapades. Det behövs ingen regel för returtrafiken - den tjänst vi har skapat sätter automatiskt upp dessa. 67

76 Chapter 5. PPTP-uppkopplingar genom brandväggen steg för steg Det är viktigt att denna regel hamnar ovanför eventuella andra regler som också släpper fram trafik från datorerna på insidan till Internet. Du kan behöva numrera om regeln för att placera den högre upp. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. PPTP-klient på utsidan av brandväggen Av olika anledningar kan man vilja använda en PPTP-server som finns bakom brandväggen istället för den inbyggda servern. Om servern står på ett nät som inte NATas är detta inget problem, men om NAT är inblandat blir det lite besvärligare. Här visas de inställningar som måste göras för detta. Nät och maskiner Först måste det finnas en grupp på sidan Nät och maskiner under Nätverk för PPTP-servern som ska ta emot uppkopplingar från klienter på utsidan. 68

77 Chapter 5. PPTP-uppkopplingar genom brandväggen steg för steg Reläer Gå till sidan Reläer under Regler och reläer och gör ett TCP-relä som lyssnar på port 1723 på utsidan av brandväggen och skickar trafiken vidare till PPTP-servern. Välj TCP port forwarding som Relätyp. Klienten ska koppla upp sig mot IP-adressen på brandväggens utsidan. Tjänster Gå därefter till sidan Tjänster under Regler och reläer. Här behövs en ny tjänst som kan ta hand om PPTP-trafiken och NATa den på rätt sätt. Den ska ha Protokoll TCP, Sessionsövervakad PPTP som Brandväggstyp och 1723 som Serverportar. Ge tjänsten ett namn som beskriver vad den gör. Regler Gå till sidan Regler och gör en regel som släpper fram PPTP-trafiken från PPTP-servern till Internet. Använd den tjänst som nyss skapades. Detta behövs för att GRE-trafiken ska komma fram. Observera att denna regel måste ligga högre upp i regellistan än andra regler som släpper fram trafik från det nätverk där PPTP-server finns. 69

78 Chapter 5. PPTP-uppkopplingar genom brandväggen steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 70

79 Chapter 6. SIP-grundkonfiguration steg för steg Ingate Firewall har många möjligheter när det gäller SIP. Detta kapitel innehåller fullständiga inställningar för de vanligaste SIP-scenarierna. SIP-servern på utsidan Det enklaste scenariot när det gäller SIP är när SIP-servern står hos någon annan, och brandväggens SIP-funktion endast ska användas för att komma förbi NATningen. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att brandväggen i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 71

80 Chapter 6. SIP-grundkonfiguration steg för steg Filtrering För att SIP-trafik ska släppas fram genom brandväggen krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom brandväggen inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Routning På sidan Routning kan man ange den SIP-server som har hand om den SIP-domän som man registrerar sig på. Den skrivs i så fall in under SIP-relä för utgående trafik och kan vara ett datornamn eller en IP-adress. Om man anger servern här kommer all SIP-trafik inifrån att skickas till den, oavsett vart den egentligen ska. 72

81 Grundinställningar Chapter 6. SIP-grundkonfiguration steg för steg Om man inte anger något SIP-relä måste brandväggen istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Brandväggen är SIP-server Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta brandväggen ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. 73

82 Chapter 6. SIP-grundkonfiguration steg för steg Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att brandväggen i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 74

83 Chapter 6. SIP-grundkonfiguration steg för steg Autentisering och bokföring Om brandväggen ska ta hand om användarregistreringar bör den kräva autentisering av användarna. Gå till sidan Autentisering och bokföring och slå på autentiseringen. Ange din SIP-domän som Realm. Välj sedan var SIP-användardatabasen finns. Om ni har en RADIUS-server går det att låta brandväggen koppla upp sig mot den för att autentisera användare. Det vanligaste är dock att man använder en lokal användardatabas. SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår 75

84 Chapter 6. SIP-grundkonfiguration steg för steg SIP-domän kommer brandväggen att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner brandväggen har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. Sedan ska SIP-användardatabasen skapas. Skriv in alla användare, deras lösenord, deras SIP-grupp samt varifrån de får registrera sig. 76

85 Chapter 6. SIP-grundkonfiguration steg för steg Detta behöver inte göras om du istället har valt att använda en befintlig RADIUS-server för autentiseringen. RADIUS Om du valt att använda en befintlig RADIUS-server för autentiseringen ska du istället gå till sidan RADIUS under Grundinställningar och ange den RADIUS-server som ska användas. Se även avsnittet RADIUS i kapitel 5 i Referenshandboken för mer information om hur RADIUS-servern ska konfigureras för SIP-autentisering. Filtrering På sidan Filtrering behöver man ställa in Proxyregler. Om brandväggen ska behandla all SIP-trafik oavsett avsändare eller mottagare, behöver man bara en Standardbehandling av begäran, som sätts till Behandla alla. Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Det ska inte komma några SIP-begäran från DMZ-nätet (om det gör det tyder det på att någon server där är crackad), så dessa ska spärras. Detta löser man genom att skapa proxyregler för de lokala nätverken (insidan och DMZ) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. 77

86 Chapter 6. SIP-grundkonfiguration steg för steg Grundinställningar Brandväggen måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 78

87 Chapter 6. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. SIP-servern på LANet Av olika anledningar kan man vilja använda en egen, separat SIP-server istället för den inbyggda i brandväggen. En sådan SIP-server står oftast på insidan eller eventuellt ett DMZ. Om SIP-servern står på ett NATat nätverk ska DNS-uppslagningar för SIP-domänen peka på brandväggen. Den får sedan skicka SIP-trafiken vidare till servern. Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att brandväggen i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 79

88 Chapter 6. SIP-grundkonfiguration steg för steg Routning Om SIP-servern sitter på ett NATat nätverk kommer all SIP-trafik utifrån till SIP-domänen att styras till brandväggen. Den behöver då veta att trafiken ska skickas vidare till servern. Ett sätt är att ange SIP-domänen i tabellen Intern DNS-tabell för SIP-begäran på sidan Routning och där peka på SIP-servern. Brandväggen kommer då att slå upp domänen här istället för hos den vanliga DNS-servern och få rätt IP-adress att skicka SIP-trafiken till. 80

89 Interop Chapter 6. SIP-grundkonfiguration steg för steg Om man använder Windows Messenger för SIP-kommunikationen behöver man göra en inställning på sidan Interop. Gå dit och ange att lr=true ska användas under Loose routing. Om SIP-servern är en LCS (Live Communications Server) eller någon annan server som inte tillåter mer än ett Via-fält i SIP-paketen, måste SIP-serverns IP-adress skrivas in i tabellen Ta bort VIA-fält. Detta innebär att då ett SIP-paket skickas till servern skrivs det om så att det bara finns ett Via-fält kvar i det. När paketet skickas tillbaka läggs den borttagna informationen till igen. Filtrering För att SIP-trafik ska släppas fram genom brandväggen krävs att man ställer in en Standardbehandling av SIP-begäran, vilket görs på sidan Filtrering. Eftersom brandväggen inte har hand om någon SIP-domän själv, finns det inga Lokala SIP-domäner. Därför måste alternativet Behandla alla väljas här. Den här inställningen görs av startverktyget. Grundinställningar Om man inte anger något SIP-relä måste brandväggen istället ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. 81

90 Chapter 6. SIP-grundkonfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Brandväggen är SIP-server, PSTN-sluss på insidan Ofta vill man ha så många SIP-funktioner som möjligt på samma ställe. Det är möjligt att låta brandväggen ta hand om de flesta vanliga funktioner, såsom registrering av användare, routning av SIP-trafik och omskrivning för NATade paket. En funktion som brandväggen inte kan sköta själv är ihopkoppling med det traditionella telefonnätet. För detta använder man en server som kallas PSTN-sluss, och som huvudsakligen endast översätter mellan SIP och traditionell telefoni. 82

91 Chapter 6. SIP-grundkonfiguration steg för steg Detta är de inställningar som behöver göras för SIP i detta fall. Beskrivningen förutsätter att brandväggen i övrigt är färdigkonfigurerad. Här anges bara de extra inställningar som krävs för SIP. Grundinställningar Gå till sidan Grundinställningar under SIP-tjänster och slå på SIP-modulen. Här kan du också välja loggklasser för de loggmeddelanden som olika SIP-händelser genererar. Den här inställningen görs av startverktyget. 83

92 Chapter 6. SIP-grundkonfiguration steg för steg Autentisering och bokföring Om brandväggen ska ta hand om användarregistreringar bör den kräva autentisering av användarna. Gå till sidan Autentisering och bokföring och slå på autentiseringen. Ange din SIP-domän som Realm. Välj sedan var SIP-användardatabasen finns. Om ni har en RADIUS-server går det att låta brandväggen koppla upp sig mot den för att autentisera användare. Det vanligaste är dock att man använder en lokal användardatabas. SIP-metoder Gå till sidan SIP-metoder under SIP-trafik. Det är lämpligt att autentisera metoden REGISTER till lokala domäner. Det betyder att när någon försöker registrera sig på vår 84

93 Chapter 6. SIP-grundkonfiguration steg för steg SIP-domän kommer brandväggen att kräva att användaren kan autentisera sig, men det går att ringa, skicka meddelanden och annat utan att autentisera sig när man väl är registrerad. Lokal registrator På sidan Lokal registrator definieras sedan vilka SIP-domäner brandväggen har hand om samt om användarna finns i en lokal databas eller kontrolleras mot en RADIUS-server. Gör en ny rad i tabellen Lokala SIP-domäner och skriv in din SIP-domän. Sedan ska SIP-användardatabasen skapas. Skriv in alla användare, deras lösenord, deras SIP-grupp samt varifrån de får registrera sig. 85

94 Chapter 6. SIP-grundkonfiguration steg för steg Detta behöver inte göras om du istället har valt att använda en befintlig RADIUS-server för autentiseringen. RADIUS Om du valt att använda en befintlig RADIUS-server för autentiseringen ska du istället gå till sidan RADIUS under Grundinställningar och ange den RADIUS-server som ska användas. Se även avsnittet RADIUS i kapitel 5 i Referenshandboken för mer information om hur RADIUS-servern ska konfigureras för SIP-autentisering. Filtrering På sidan Filtrering behöver man ställa in Proxyregler. Om brandväggen ska behandla all SIP-trafik oavsett avsändare eller mottagare, behöver man bara en Standardbehandling av begäran, som sätts till Behandla alla. Oftast vill man dock tillåta olika avsändare att göra olika saker. En vanlig konfiguration är att man låter alla användare på insidan kommunicera med alla, oavsett vilken SIP-domän de tillhör. SIP-trafik från utsidan släpps bara fram om den ska till en lokalt hanterad domän. Det ska inte komma några SIP-begäran från DMZ-nätet (om det gör det tyder det på att någon server där är crackad), så dessa ska spärras. Detta löser man genom att skapa proxyregler för de lokala nätverken (insidan och DMZ) och sedan låta Standardbehandling av begäran vara Endast lokala, vilket betyder att SIP-trafik från övriga nätverk endast kommer att behandlas om de ska till en lokal domän. 86

95 Chapter 6. SIP-grundkonfiguration steg för steg Routning För att styra om trafik till telefoninätet kan man använda sig av Nummerplan. Här kan man exempelvis ange att all SIP-trafik till användarnamn som bara innehåller siffror (dvs egentligen är telefonnummer) ska skickas till vår PSTN-sluss. Det går också att skicka olika telefonnummer till olika servrar. I exemplet nedan skickas alla telefonnummer som börjar på 001 eller +1 till en server i USA, alla som börjar på 08 eller +468 till en server i Stockholm och alla som börjar på 013 eller till en server i Linköping. Övriga skickas till den lokala servern. Observera att tabellen läses uppifrån och ned, och den första rad som stämmer in används. Om man har klienter på insidan som inte klarar av autentisering av INVITE-metoden (den som används för att starta ett samtal) kan man ange ett undantagsnät till autentiseringen. Användarna på detta nätverk krävs inte på lösenord när de utnyttjar omskrivningarna. Ange i tabellen Matcha på From-fält det nätverk som dessa användare finns på och gör sedan en rad i tabellen Nummerplan, där Skicka vidare väljs under Funktion (dvs ingen autentisering ska krävas). Det är också bra att begränsa dessa omskrivningar till att endast gälla användare (telefonnummer) som hör till lokala domäner. Detta gör man genom att skriva "*local" under Domän när man konstruerar uttryck i tabellen Matcha på Request-URI. 87

96 Chapter 6. SIP-grundkonfiguration steg för steg För att förhindra att obehöriga utnyttjar denna möjlighet att ringa bör man kräva autentisering för dessa omskrivningar. Detta gör man genom att välja Aut&Skicka vidare under Funktion. Grundinställningar Brandväggen måste ha minst en DNS-server för att kunna slå upp olika SIP-domäner som man vill kommunicera med. DNS-servrar anges på sidan Grundinställningar under Grundinställningar. Den här inställningen görs av startverktyget. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 88

97 Chapter 6. SIP-grundkonfiguration steg för steg När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 89

98 Chapter 6. SIP-grundkonfiguration steg för steg 90

99 Chapter 7. Avancerad SIP-konfiguration steg för steg Ingate Firewall har många möjligheter när det gäller SIP. Detta kapitel innehåller fullständiga inställningar för en del avancerade SIP-scenarier. SIP-operatörskonton genom Ingate Firewall steg för steg Här visas hur brandväggen ska konfigureras för att registrera sig hos din SIP-operatör och för att samtal mellan lokala användare och PSTN-nätet ska gå via SIP-operatörskontot. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Gå till sidan Lokal registrator och gör en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att brandväggen kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. Om brandväggen ska vara registrator för telefonerna på insidan bör du ha en lokal SIP-domän. Domänen kan heta vad som helst, bara den inte används av någon annan. Ett sätt att enkelt skaffa en egen SIP-domän är att använda företagets www-adress, men ersätta "www" med "sip", till exempel sip.ingate.com. Samma domän kan då också användas i vanliga SIP-till-SIP-samtal. Ange denna domän på sidan Lokal registrator under SIP-trafik. Skapa sedan lokala användare i tabellen Lokal SIP-användardatabas. Dessa användare kommer att registrera sig på brandväggen med de användarnamn som anges här. Skriv också in deras lösenord och välj vilket nätverk de får registrera sig från. Obs! De lokala användarna får inte ha samma användarnamn som de operatörskonton du har fått från SIP-operatören. 91

100 Chapter 7. Avancerad SIP-konfiguration steg för steg Gå till sidan Autentisering och bokföring och välj att autentiseringen ska vara på. Ange också den lokala SIP-domänen som Realm. Utgående samtal För utgående samtal måste brandväggen veta när SIP-operatörskontot ska användas. Vanligtvis används den här typen av konton till samtal som ska gå ut till det vanliga telefonnätet (PSTN). På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. Visa samma nummer utåt Man kan välja att visa samma uppringande nummer oavsett vem som gör samtalet. Detta är praktiskt om man har ett växelnummer som man vill att andra ska använda när de ringer tillbaka. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. 92

101 Chapter 7. Avancerad SIP-konfiguration steg för steg I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av brandväggen. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av brandväggens Nummerplan. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer brandväggen att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. 93

102 Chapter 7. Avancerad SIP-konfiguration steg för steg Visa olika nummer utåt Man kan välja att visa olika uppringande nummer beroende på vem som gör samtalet. Detta är praktiskt om man vill visa utåt exakt vem det är som ringer, och vill att andra ska använda samma nummer när de ringer tillbaka. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. Skapa här en rad för varje användare. Dessa ska sedan användas för att visa rätt nummer för den uppringda användaren. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av brandväggen. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av brandväggens Nummerplan. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen från en viss användare skickas vidare till SIP-operatörskontot med användarens nummer. Gör en rad per användare och välj kontot under Konto. 94

103 Chapter 7. Avancerad SIP-konfiguration steg för steg Till sist ska dessa definitioner kombineras i tabellen Nummerplan. För varje användare måste du göra en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer brandväggen att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Inkommande samtal Om du hos samma SIP-operatör har flera telefonnummer, går det att låta olika lokala användare ha varsitt telefonnummer. Konfiguration för detta görs på sidan Routning. Det finns två olika sätt att knyta telefonnummer till användare; antingen skickas samtal till telefonnumret vidare till en bestämd användare, eller också får användaren ett telefonnummer som alias. Det senare fungerar bara om modulen Advanced SIP Routing finns installerad och operatören inte kräver registrering. I tabellen Användarstyrningkan man för varje användare ange ett eller flera telefonnummer som Alias. Detta kommer endast att fungera om modulen Advanced SIP Routing finns installerad och operatören inte kräver registrering. Det går också att för varje telefonnummer ange vilken användare samtalet ska skickas till. När någon ringer kommer samtalet att gå via SIP-operatören till brandväggen och slutligen till helen@sip.ingate.com. 95

104 Chapter 7. Avancerad SIP-konfiguration steg för steg Observera att endast tabellen Användarstyrning kan användas för att skicka vidare inkommande samtal. Det går inte att använda tabellen Statiska registreringar för XF- eller XF/Registrering-konton. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. SIP-operatörskonton och IP-PBX genom Ingate Firewall steg för steg Här visas hur brandväggen ska konfigureras för att vidarebefordra SIP-samtal mellan din SIP-operatör och din egen IP-PBX. Konfigurationen skiljer sig något åt beroende på om operatören använder konton eller IP-adresser för autentiseringen. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Istället för att konfigurera detta för hand kan man använda Ingates startverktyg, som kan laddas ned från Utgående samtal Autentisering med konto a.k.a. SIP Trunk via SIP konto Gå till sidan Lokal registrator och gör en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att brandväggen kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. 96

105 Chapter 7. Avancerad SIP-konfiguration steg för steg För utgående samtal måste brandväggen veta när SIP-operatörskontot ska användas. Vanligtvis används den här typen av konton till samtal som ska gå ut till det vanliga telefonnätet (PSTN). På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. I det här fallet vill vi känna igen vilka samtal som kommer från PBXen. På det sättet kan vi se till att bara användare som PBXen har godkänt får använda vårt operatörskonto. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av brandväggen. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av brandväggens Nummerplan. 97

106 Chapter 7. Avancerad SIP-konfiguration steg för steg I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. När en lokal användare ringer ett telefonnummer kommer brandväggen att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Autentisering med IP-adress a.k.a SIP Trunk via IP-adress På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. 98

107 Chapter 7. Avancerad SIP-konfiguration steg för steg I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till SIP-operatören, vilket är samtal som ska ut på PSTN-nätet (vanliga telefonnätet). Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Samtal till exempelvis helen@sip.ingate.com ska inte skickas till SIP-operatören utan tas omhand av brandväggen. Det går att låta användarna använda + som utlandsprefix istället för 00 eller annat "officiellt" utlandsprefix. För att genomföra detta ska + skrivas in i fältet Prefix, vilket betyder att det kommer att tas bort innan begäran skickas vidare. I fältet Min.rest har i exemplet värdet 4 angivits för att det ska gå att ha tresiffriga lokala anknytningsnummer som inte ska hanteras av brandväggens Nummerplan. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Här ska samtalen skickas vidare till SIP-operatören. Skriv in operatörens IP-adress i fältet Utbytes-URI. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en rad för utlandssamtal och en för övriga samtal, eftersom korrekt utlandsprefix endast ska läggas till för utlandssamtal. 99

108 Chapter 7. Avancerad SIP-konfiguration steg för steg När en lokal användare ringer ett telefonnummer kommer brandväggen att skriva om SIP-signaleringen så att SIP-operatörskontot används, och skicka samtalet vidare till SIP-operatören. Inkommande samtal Alla inkommande samtal från operatören ska skickas vidare till PBXen. Detta görs på sidan Nummerplan. På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. I det här fallet behöver vi bara definiera operatören. Den känns lättast igen på de IP-adresser den använder. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till PBXen. Dessa samtal har en adressrad (Request-URI) vars användardel endast består av siffror, eftersom man där skriver in ett vanligt telefonnummer. Domändelen består av brandväggens IP-adress på utsidan. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. Skriv in IP-PBXens IP-adress i fältet Utbytes-URI. Detta gör att brandväggen skriver om det inkommande samtalet och skickar det till denna IP-adress. 100

109 Chapter 7. Avancerad SIP-konfiguration steg för steg Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Välj den definierade operatören och Request-URIn och skicka dessa samtal vidare till PBXen. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Flera SIP-operatörer eller IP-PBXer genom Ingate Firewall steg för steg Här visas hur brandväggen ska konfigureras för att vidarebefordra SIP-samtal mellan din SIP-operatör och din egen IP-PBX. Konfigurationen skiljer sig något åt beroende på om operatören använder konton eller IP-adresser för autentiseringen. Här beskrivs speciellt hur man konfigurerar brandväggen att använda flera SIP-operatörer eller PBXer baserat på vem som ringer och vart användaren försöker ringa. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Flera operatörer Om någon av operatörerna använder konton behöver du gå till sidan Lokal registrator och göra en rad per SIP-operatörskonto. Skriv in det användarnamn och lösenord som du fått från operatören, och välj kontotypen XF/Registrering. Denna kontotyp gör att brandväggen kommer att registrera sig hos operatören med de användaruppgifter som angivits här. En del operatörer kräver inte registrering. Välj i så fall kontotypen XF istället. Fältet Registrering från används inte för denna kontotyp. Välj vilket nätverk som helst. 101

110 Chapter 7. Avancerad SIP-konfiguration steg för steg På sidan Nummerplan definieras vilken typ av samtal som ska skickas vidare till operatören. Först ska Nummerplanen vara på. I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. På det här kontoret finns det en grupp telefoner som alltid lägger till ett "+" först i telefonnumret när man ringer ett utlandsnummer. Dessa måste hanteras separat, och vi skapar därför en särskild rad för dem. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till de olika SIP-operatörerna, varav en finns i Storbritannien och en i Sverige. Det går i detta fall lätt att skilja ut samtal med hjälp av Storbritanniens landsnummer. I tabellen finns det tre rader som matchar samtal till Storbritannien. De två rader som heter "UK-nummer 00" betyder samma sak, liksom de två rader som heter "Svenska nummer". IP-adressen är brandväggens egen IP-adress på insidan. Utrrycket ".*" i Reguljärt uttryck-fälten matchar noll eller flera valfria tecken. Parenteserna visar hur mycket av den inkommande Request-URIn vi vill skicka vidare till PBXen. Mer information om reguljära uttryck finns i appendix H i Referenshandboken. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I det här fallet ska de två SIP-operatörerna definieras. Den ena använder konto och den andra en IP-adress för autentiseringsändamål. 102

111 Chapter 7. Avancerad SIP-konfiguration steg för steg De två rader som heter "Operatör SE" betyder nästan samma sak. Raden "Operatör SE" gör så att brandväggen byter ut domänen i Request-URIn mot den domän eller IP-adress som skrivs in i Utbytes-URI. Användarnamnet (numret) byts inte ut. Raden "Operatör SE regexp" betyder att brandväggen tar det som stod inom det första parentesparet i det använda uttrycket från tabellen Matcha på Request-URI och använder som användarnamn. Domänen är sipoperator.se. Tillägget ";b2bua" gör att brandväggen själv kommer att hantera eventuella REFER istället för att skicka dem vidare. Detta är användbart eftersom många operatörer inte stöder REFER-metoden, som används vid vidarekoppling av samtal. Mer information om reguljära uttryck finns i appendix H i Referenshandboken. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. För samtal till Storbritannien kräver operatören att telefonnumren börjar med "00", vilket betyder att en del samtal kan skickas vidare utan omskrivning av telefonnumret (rad 2), medan telefonnummer som börjar med "+" måste skrivas om (rad 1). Det senare är samtal som kommer från "+-telefoner". För samtal inom Sverige går det att använda vilken som helst av de definierade Request-URIerna. Samtalen skickas vidare till vår svenska operatör. Notera att eftersom definitionen av svenska nummer inte har någon urskiljande nummersekvens i början, medan UK-nummer måste börja med "+44" eller "0044", måste UK-numren behandlas först, och resten förutsätts vara svenska nummer. Observera att man vanligen måste använda en definition med Reguljärt uttryck under Request-URI om man vill använda en definition med Reguljärt uttryck under Skicka vidare till. Flera PBXer Om man har flera PBXer på insidan kan man dela upp de inkommande samtalen på dessa PBXer. Man kan dela in samtalen med hänsyn till avsändare eller hur telefonnumret ser ut. På sidan Nummerplan definieras vilka samtal som ska skickas vidare till respektive PBX. Först ska Nummerplanen vara på. 103

112 Chapter 7. Avancerad SIP-konfiguration steg för steg I tabellen Matcha på From-fält anges vilket nätverk samtalet ska komma ifrån. Det går också att ange hur From-fältet ska se ut (det fält som talar om vem som ringer). Detta används sedan i tabellen Nummerplan. Ge informativa namn till definitionerna för att underlätta senare. Här definieras en rad per operatör. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I det här fallet ska de samtal skiljas ut som ska skickas till de olika PBXerna. I detta exempel hanterar de varsitt telefonnummerintervall, vilket betyder att det går att sortera samtalen baserat på de första siffrora i numret. Samtal från Storbritannien kommer alltid att börja med "+468". Genom att vi skriver in detta uttryck i fältet Prefix kommer brandväggen att ta bort detta från telefonnumret när samtalet skickas vidare till PBXen. Samma definitioner kan göras med reguljära uttryck. Här behöver varje nummerintervall endast en definition. Inom den första parentesen finns två grupper av tecken åtskilda med " ". Detta betyder att en av dessa grupper kan förekomma här (först i numret). Tecknet "\" betyder att det efterföljande tecknet, "+", ska tolkas som ett plus. "+" är annars ett specialtecken i reguljära uttryck. Inom den andra parentesen finns den del av numret som ska skickas vidare. Mer information om reguljära uttryck finns i appendix H i Referenshandboken. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I det här fallet ska de två PBXerna definieras. Detta görs helt enkelt genom att deras respektive IP-adresser skrivs in i fältet Utbytes-URI. 104

113 Chapter 7. Avancerad SIP-konfiguration steg för steg Samma definitioner kan göras med reguljära uttryck. Uttrycket "$2" hämtar den del av numret som matchade uttrycket inom det andra parentesparet i tabellen Matcha på Request-URI. Mer information om reguljära uttryck finns i appendix H i Referenshandboken. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Välj operatör, intervall och den PBX som samtalet ska skickas vidare till. När reguljära uttryck används behövs endast en rad per PBX. Här behöver ingen operatör väljas eftersom uttrycken gjorts så generella att de matchar samtal från båda operatörerna. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 105

114 Chapter 7. Avancerad SIP-konfiguration steg för steg Successiv Failover med flera operatörer eller PBX:er Om du vill testa multipla destinationer i en sekventiell failover mode som en del av ett enda uppringningsförsök, klicka på "+" symbolen i "Skicka-vidare-till" regeln och lägg till destinationer i ordningen de förekommer under samma regel. När "Skicka-vidare-till" regeln tillämpas, varje bestämmelsestaten försöks successivt tills alla regler är uttömda. De fall där behandling upphör är när tidigare destinationer returnerar 5xx eller 6xx SIP felmeddelanden och successiva destinationer kommer inte att användas, eftersom de kan ge liknande felmeddelanden. Fall där du kanske vill prova det här inkluderar följande ruttläggning av ett enda försök till samtal mot olika operatörer ruttläggning av inkommande samtal till flera PBX:er under perioder med samtals Bandbreddskontroll för SIP-samtal steg för steg Här visas hur brandväggen ska konfigureras för att hålla reda på hur mycket SIP-media som för tillfället går genom den och att avvisa nya samtal om det inte finns tillräckligt med bandbredd för dem. Denna funktion finns endast när modulen Quality of Service installerats. Gå först till sidan QoS och SIP och slå på bandbreddskontrollen. 106

115 Chapter 7. Avancerad SIP-konfiguration steg för steg För varje gränssnitt som ska använda bandbreddskontroll för samtal måste en bandbreddsgräns för mediaströmmarna anges. Det går att ange olika bandbredder för utgående och inkommande samtal. Dessutom går det att reservera bandbredd för nödsamtal. För att brandväggen ska kunna veta när den ska avvisa samtal behöver den känna till hur mycket bandbredd en ljud- eller videoström tar upp. Bandbredden beror väldigt mycket på vilken codec som används. Ange bandbredd för olika codecar. Det finns också en generell bandbredd för varje codec-typ, som används av brandväggen om den inte hittar en codec i tabellen. När en ny samtalsbegäran kommer till brandväggen kommer den att beräkna hur mycket bandbredd det finns över för media, och jämföra detta med vilka mediaströmmar det nya samtalet begär. Om det finns bandbredd kvar för alla mediaströmmar kommer det nya samtalet att släppas fram. Om det inte finns nog med bandbredd kommer samtalet att avvisas. Brandväggen skickar då svarskoden 486 (Busy Here) till den uppringande klienten. De redan presenterade inställningarna gör att SIP-media kommer att bandbreddskontrolleras. Om man även vill kontrollera flödet för SIP-signaleringen behövs fler inställningar. Välj först om flödet ska kontrolleras genom trafikprioritering (olika sorters trafik får olika prioritet, och trafik med lägre prioritet släpps bara igenom i mån av plats) eller bandbreddsbegränsning (olika sorts trafik får en garanterad bandbredd och en högsta bandbreddsgräns). 107

116 Chapter 7. Avancerad SIP-konfiguration steg för steg I detta exempel kommer vi att använda trafikprioritering. Skapa sedan QoS-klasser för de sorters trafik som brandväggen ska prioritera upp eller ned. Det behövs ingen SIP-mediaklass; så fort prioriteringar börjar göras för annan trafik, kommer SIP-media att ha högsta prioritet. För varje gränssnitt som ska använda QoS måste man definiera hur mycket bandbredd gränssnittet har totalt. Detta görs på sidorna QoS-gränssnitt. Eftersom vi nu använder trafikprioritering, finns en inställning som heter Flexibel prioritet. Där bestämmer man om trafik med en viss prioritet ska kunna fylla upp hela bandbredden, eller om trafik med lägre prioritet ändå ska kunna använda en viss del. Vi väljer här att släppa fram 5 % av lägre prioriterad trafik. Slå på QoS för utgående trafik och ange en Total bandbredd för detta gränssnitt. På grund av de inställningar som gjorts på sidan QoS och SIP är en del av bandbredden reserverad för SIP-media. Ange sedan prioriteter för de olika trafikklasserna. Här vill vi att SIP-signalering ska ha hög prioritet. 108

117 Chapter 7. Avancerad SIP-konfiguration steg för steg För övrig trafik (all trafik som inte definierats i tabellen Klassificering måste också en prioritet anges. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. Att översätta SIP-signalering mellan UDP och TCP steg för steg Här visas hur brandväggen ska konfigureras för att den ska kunna översätta SIP-signalering mellan transportprotokollen UDP och TCP. Detta används när man har en del SIP-enheter som endast kan skicka och ta emot SIP-signalering via UDP, medan andra endast kan använda TCP för SIP-signalering. Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Det enklaste fallet är när brandväggen endast ska översätta trafiken mellan två servrar. Inställningarna här kan bli olika beroende på hur den sändande servern skickar SIP-meddelandena till brandväggen och då framför allt hur paketets Request-URI ser ur. De två huvudalternativen är att den tänkta mottagarserverns IP-adress eller brandväggens 109

118 Chapter 7. Avancerad SIP-konfiguration steg för steg IP-adress står som domän i Request-URIn. Hur man ska konfigurera för dessa två alternativ visas nedan. Request-URIn innehåller den tänkta mottagarens IP-adress Nät och maskiner Börja på sidan Nät och maskiner med att definiera varsitt nätverk för de två servrarna. Nummerplan Gå sedan till sidan Nummerplan. Först ska Nummerplanen vara på. Lägg till två rader i tabellen Matcha på From-fält. Den ena raden matchar trafik som kommer från UDP-servern och den andra trafik som kommer från TCP-servern. Lägg till en rad i tabellen Matcha på Request-URI. Denna rad ska matcha alla inkommande samtal. Vi kommer att vilja behålla hela Request-URIn eftersom den tänkta mottagarens IP-adress redan finns där. Detta åstadkommer man lättast med att matcha med ett reguljärt uttryck. Lägg till två rader i tabellen Skicka vidare till. Den ena raden ser till så att all trafik som använder den raden skickas ut med UDP, och den andra raden skickar ut trafiken med TCP. 110

119 Chapter 7. Avancerad SIP-konfiguration steg för steg I övrigt står Request-URIn kvar oförändrad ($1 och $2 refererar till första och andra parentesparet i tabellen Matcha på Request-URI), och i den står IP-adressen till den mottagande servern. Dessa uttryck ska sedan kombineras i tabellen Nummerplan. Trafik som kommer från UDP-servern ska skickas till TCP-servern och vice versa. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Request-URIn innehåller brandväggens IP-adress Nät och maskiner Börja på sidan Nät och maskiner med att definiera varsitt nätverk för de två servrarna. 111

120 Chapter 7. Avancerad SIP-konfiguration steg för steg Nummerplan Gå sedan till sidan Nummerplan. Först ska Nummerplanen vara på. Lägg till två rader i tabellen Matcha på From-fält. Den ena raden matchar trafik som kommer från UDP-servern och den andra trafik som kommer från TCP-servern. Lägg till en rad i tabellen Matcha på Request-URI. Denna rad ska matcha alla inkommande samtal. Vi kommer att vilja byta ut domänen i Request-URIn och detta åstadkommer man lättast med att välja "alla tecken" och skriva in brandväggens IP-adress. Lägg till två rader i tabellen Skicka vidare till. Den ena raden ser till så att all trafik som använder den raden skickas ut med UDP till UDP-servern, och den andra raden skickar ut trafiken med TCP till TCP-servern. Request-URIn förändras genom att man skriver in den tänkta mottagarens IP-adress under Utbytes-URI. Dessa uttryck ska sedan kombineras i tabellen Nummerplan. Trafik som kommer från UDP-servern ska skickas till TCP-servern och vice versa. 112

121 Chapter 7. Avancerad SIP-konfiguration steg för steg Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Att använda RADIUS-bokföring med Ingate Firewall steg för steg Här visas hur brandväggen ska konfigureras för att RADIUS-bokföring ska användas för samtal till eller från lokala användare. Om RADIUS-bokföring endast ska användas för samtal till andra domäner utanför brandväggen behöver man endast slå på inställningen RADIUS-bokföring. Om man vill kunna ta betalt för samtal där båda användare sitter på samma sida om brandväggen eller samtal inom samma domän, måste användarna tvingas att gå via brandväggen även när båda finns på samma sida. Brandväggen behöver då agera som en back-to-back user agent (B2BUA). Denna funktion finns endast när någon av modulerna Advanced SIP Routing och SIP Trunking installerats. Gå först till sidan RADIUS och ange den RADIUS-server som ska ta emot bokföringsinformationen. Om RADIUS-servern endast ska användas för bokföring går det 113

122 Chapter 7. Avancerad SIP-konfiguration steg för steg bra med vilket portnummer som helst i tabellen; brandväggen använder alltid port 1813 för detta ändamål. Om brandväggen används som SIP-registrator och RADIUS-servern även ska användas till SIP-autentisering, ska det portnummer anges som på RADIUS-servern används för autentisering (normalt port 1812 eller 1645). Om brandväggen ska vara registrator för telefonerna på insidan bör du ha en lokal SIP-domän. Domänen kan heta vad som helst, bara den inte används av någon annan. Ett sätt att enkelt skaffa en egen SIP-domän är att använda företagets www-adress, men ersätta "www" med "sip", till exempel sip.ingate.com. Samma domän kan då också användas i vanliga SIP-till-SIP-samtal. Ange denna domän på sidan Lokal registrator under SIP-trafik. Gå till sidan Autentisering och bokföring och välj att autentiseringen ska vara på. Ange också den lokala SIP-domänen som Realm. Om brandväggen ska användas som SIP-registrator väljs RADIUS som SIP-användardatabas. Välj också vilket nätverk användarna får registrera sig från. 114

123 Chapter 7. Avancerad SIP-konfiguration steg för steg På sidan Nummerplan definieras hur samtalen ska skickas genom brandväggen. Först ska Nummerplanen vara på. I tabellen Matcha på Request-URI definieras vart samtal är adresserade. Detta används sedan i tabellen Nummerplan. I detta fall definieras ett Reguljärt uttryck som passar alla Request-URIer. Skriv in "(.+)@(.+)" i fältet Reguljärt uttryck. I tabellen Skicka vidare till definieras vart brandväggen ska skicka samtalen. Detta används sedan i tabellen Nummerplan. I detta fall ska samtalen skickas till samma ställe som de var adresserade till innan, men brandväggen ska skicka vidare dem som B2BUA. Skriv in "$0;b2bua" i fältet Reguljärt uttryck. Detta betyder att den Request-URI som fanns i det inkommande SIP-paketet återanvänds, men att brandväggen agerar som B2BUA istället för SIP-proxy. Till sist ska dessa definitioner kombineras i tabellen Nummerplan. Gör en ny rad i tabellen och välj de alternativ som definierats i tabellerna ovan. När en SIP-användare ringer till någon annan kommer brandväggen att gå in och agera som mellanhand i samtalet. Båda SIP-klienterna kommer bara att prata med brandväggen, och den kommer att skicka vidare signalering mellan dem. Media går fortfarande närmaste vägen. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 115

124 Chapter 7. Avancerad SIP-konfiguration steg för steg Att konfigurera TLS i Ingate Firewall steg för steg Förutsättningar: Du har tillgång till en CA som ska skriv på dina certifikatbegäran Du har varje signing-cas publik certifikat Du förstår GNUs X.509 trust model Här visas hur brandväggen ska konfigureras för att den ska kryptera SIP-signalering med TLS eller tvinga SIP-klienterna att kryptera SIP-signaleringen. Inställningarna för kryptering av SIP-signalering görs på sidan Signaleringskryptering under SIP-tjänster. Det behövs också ett certifikat, som skapas på sidan Certifikat under Grundinställningar. Denna funktion finns endast när någon av modulerna Enhanced Security och SIP Trunking installerats. Certifikat Skapa certifikat på sidan Certifikat. Lägg till en ny rad i tabellen Privata certifikat och ge certifikatet ett namn. Tryck på Skapa nytt och fyll i uppgifter för certifikatet. Om brandväggen ska ta emot eller göra TLS-uppkopplingar både på det lokala nätet och på Internet behövs ett certifikat per gränssnitt. OBS: sätt certifikatets CN= fält till interfacets IP adress. 116

125 Chapter 7. Avancerad SIP-konfiguration steg för steg Om brandväggen ska koppla upp sig med TLS till en annan SIP-server måste CA-certifikatet för denna server också läsas in här. CA-certifikat behövs inte för SIP-klienter. Lägg till en rad i tabellen CA-certifikat och läs in CA-certifikatet. Signaleringskryptering Gå till sidan Signaleringskryptering för att göra TLS-inställningarna. Välj först vilka transportsätt som ska tillåtas. Om TCP och UDP också ska vara tillåtet t.e. på "insidan" välj "Alla". För att initiera TLS, sätt transport till TLS inom Nummerplan eller Intern DNS-tabell för SIP-begäran om DNS rekord till domän har ingen TLS rekord. Om "TLS" väljs kommer inga uppkopplingar över UDP eller TCP att initieras eller accepteras på alla interfacer. Det är då viktigt att försäkra sig om att alla klienter och servrar som ska kommunicera med brandväggen kan använda TLS. Om brandväggen ska använda TLS när den signalerar till andra SIP-servrar ska deras CA-certifikat ha lästs in (se ovan). I tabellen CA-certifikat för TLS väljs dessa certifikat för att de ska få användas för TLS-uppkopplingar. 117

126 Chapter 7. Avancerad SIP-konfiguration steg för steg I tabellen TLS-uppkopplingar på olika IP-adresser behövs en rad för insidans IP-adress och en rad för utsidans. Välj för varje IP-adress vilket certifikat brandväggen ska använda för att identifiera sig när någon gör en TLS-uppkoppling mot adressen, och om brandväggen ska kräva att den som kopplar upp sig också identifierar sig med ett certifikat. Välj också vilka TLS-metoder som får användas i uppkopplingar mot denna IP-adress. Observera att brandväggen inte kommer att tillåta TLS-uppkopplingar till någon av sina IP-adresser om adressen inte finns i den här tabellen. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 118

127 Inställningar i den andra SIP-servern Chapter 7. Avancerad SIP-konfiguration steg för steg Brandväggens certifikat måste också läsas in på den andra SIP-servern för att brandväggen ska kunna göra uppkopplingar mot den. Att använda SIP-mediakryptering med Ingate Firewall steg för steg Här visas hur brandväggen ska konfigureras för att den ska kryptera SIP-media eller tvinga SIP-klienterna att kryptera SIP-media. Inställningarna för kryptering av SIP-media görs på sidan Mediakryptering under SIP-tjänster. Först måste mediakrypteringen aktiveras. Samla ihop de krypteringsalgoritmer som ska tillåtas på ett gränssnitt till en grupp. Det finns fördefinierade kryptogrupper, men de kanske inte räcker för dina behov. Välj sedan för varje gränssnitt eller VLAN hur media som går ut från eller in till det ska krypteras. Om man vill att brandväggen ska terminera krypterade mediaströmmar som kommer in på ett gränssnitt (och skicka ut dem i klartext eller med en annan kryptering), ska omkodning tillåtas för detta gränssnitt. 119

128 Chapter 7. Avancerad SIP-konfiguration steg för steg För övriga gränssnitt (VLAN), som inte angivits ovan, behöver också en mediakryptering väljas. Om man vill använda kryptering av SIP-media rekommenderas att man även krypterar SIP-signaleringen (med TLS), eftersom kryptonycklarna för mediakrypteringen annars går i klartext över nätet. Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 120

129 Chapter 8. How To SIP Trunking Using the SIP Trunk Page The SIP Trunk page is new from version of the Ingate firmware. A more extensive description is found in the separate: "How To SIP Trunking Using the SIP Trunk Page" found under the Account Login on Using the SIP Trunk page will always invoke the B2BUA for the connection of the PBX to the service provider.s SIP Trunk and offers the fo$ The IP-PBX only talks to the Ingate Wider separation between the PBX and the Trunk Service The SIP Trunking Service Credentials (User IDs and Passwords) are stored only in the Ingate More SIP normalization possibilities Individual or main CallerID (number) presented to the called party If a new SIP Trunking Service platform is introduced, only the Ingate has to be reconfigured There can be up to nine SIP Trunk pages with individual PBXs, trunks and interoperability settings. When using the SIP Trunk page, there will be a clear demarcation point for the SIP Trunking service hand off. Using the SIP Trunk page improves the previous way of configuring the Ingate. It offers simplicity, additional functionality and a wider support of various PBXs and Trunk Services. (It is still possible to configure SIP Trunking the previous way, just leaving this SIP Trunking page empty.) Both the PBX with its Phones and Other SIP Clients Can Use the SIP Trunk The SIP Trunk page also offers a simple way to allow SIP clients (SIP phones and Soft SIP clients for PCs) to register to the Ingate and use the SIP Trunk. This is done in addition to supporting the PBX and its extension phones. Licenses/Modules Required for the SIP Trunk Page You can have up to nine SIP Trunk pages for different PBXs and or SIP Trunk Services, but usually only one is required. The SIP Trunking Module license is required to use SIP Trunk pages and one page is included with that license. To get more SIP Trunk pages, you buy Additional Trunk Group licenses. 121

130 Chapter 8. How To SIP Trunking Using the SIP Trunk Page Steps to Configure SIP Trunking There are four steps to connect the PBX to the SIP Trunking service. Each of these steps is simple and straightforward: Define on the Dial Plan page which outgoing calls to send to the SIP Trunk Enter the SIP Service parameters (at the top of the SIP Trunk page) Enter the PBX parameters (at the bottom of the SIP Trunk page) Define the registration and authentication towards the Trunk Service and the number routing between the Trunk Service and the PBX (in the middle of the SIP Trunk page) Note that there are help texts available in the Ingate for each setting. just press the.help. links on the SIP Trunking page. The Ingate Startup Tool TG, will use the SIP Trunk page when configuring SIP Trunking. (Use the previous Ingate Startup Tool - without the.tg. postfix - if you want to configure the previous way, without using the SIP Trunk page.) For more details, see the separate: "How To SIP Trunking Using the SIP Trunk Page" found under the Account Login on Setting up SIP Trunking This section describes the functioning and set-up of the SIP Trunk page in the Ingate. Please remember that these settings, as well as most of the other ones in this description, usually are done by the Startup Tool TG and that this description is provided for reference. Defining Outgoing Call Handling in the Dial Plan Outgoing calls are processed through the Dial Plan, which must be On. At a minimum, the fields exemplified below must be entered. The actual Dial Plan table is searched line by line from the top for a match from the PBX of the dialed number where after it is forwarded to the SIP Trunk page. 1)Calls from the PBX connected to network "ShoreTel". 2)...With a any dialed number send sent to this unit (regular expression (.*)@ ). 3)...Will be forward for further processing to "Gamma Trunk". 4)...Which is defined on SIP Trunk page

131 Chapter 8. How To SIP Trunking Using the SIP Trunk Page The SIP Trunk Page The SIP Trunk pages are found under SIP Trunks. Several SIP Trunk pages may be defined if you have several PBXs or Trunk Services. You need to purchase Additional Trunk Group licensees to get more than one SIP Trunk page. View trunk Click to open the list of available Trunks. Goto SIP Trunk page Click to view the specified Trunk page. 123

132 Chapter 8. How To SIP Trunking Using the SIP Trunk Page Enable the SIP Trunk Details and examples are found in the separate: "How To SIP Trunking Using the SIP Trunk Page" under the Account Login on Entering the SIP Trunking Service Parameters For connecting to the exemplified TService, only three of the many parameters have to be filled-in. 1) Service Provider domain, here.tservice.com., which is the host part of the SIP address of the account such as (Enter two comma separated domains or IP addresses for failover configuration). 2)Outbound Proxy is where the SIP requests for this trunk service are to be sent. Here a fixed IP address is used (but a domain name is preferred, especially if the service provider has a DNS SRV record). 3) This service provider requires a P-Preferred-Identity header to be used to show the caller.s number as caller ID. The actual header content is taken from the Identity field in the tables below. 124

133 Chapter 8. How To SIP Trunking Using the SIP Trunk Page Entering the PBX Parameters Here you enter the basics relating to the IP PBX to be connected to the SIP Trunking Service. Other settings may be required, e.g. on the SIP Interoperability page and other pages. 1) The Ingate needs to know at which address the PBX is located, which can be entered as an IP address, a domain name or a SIP registration by the PBX. Here you enter the IP address if the PBX is at a fixed IP address. (Enter two comma separated domains or IP addresses for failover configuration). 2) Here you can set up a SIP account, at which the PBX registers itself to show where it can be contacted. If the PBX is located on a fixed IP address, it is recommended that you also enter that one (as done under 1) above). 125

134 Chapter 8. How To SIP Trunking Using the SIP Trunk Page By entering User ID and Password, the PBX will be forced to Authenticate itself when registering to the Ingate. The User ID and Password are also required if the Ingate is configured to authenticate users placing outgoing calls (which is done in the Dial Plan by selecting.auth & Forward. instead of just.forward. under Action). 3) You also need to specify to which defined network the PBX is connected to. Other PBXs (than here exemplified) may require more of the available settings. Registration to and Authentication for the Trunking Service (General Overview). In the section of the SIP Trunk page shown below, you configure whether the Ingate shall register to some of the Trunk Service accounts (A:) (e.g. to one or to all numbers) and enter the Used ID and Password for the Trunk Service is (B:).The SIP Trunking service provider shall have given you these details, together with the telephone numbers (DID numbers) to use. No Registration to the SIP Trunking Service This is typical for services that accepts usage of service from the user.s specific IP address and don.t require any authentication password. All rows in the Reg. column (A:) shall be.no. and if you have not received any authentication Password from your service provider, leave the Authenticationcolumn empty. 126

135 Chapter 8. How To SIP Trunking Using the SIP Trunk Page One Registration to your Main Account from the Service Provider In this case you set Reg. to Yes (A:) and enter the authentication User ID and Password (B:) that you have received from your service provider on the Main Trunk Line row. The authentication User ID is often the same as the telephone number. Registrations for Each DID Numbers from the Service Provider In this case, there need to be a row for each DID number in the tables below and all those rows have to have Yes in the Reg.column (A:).If the service provider has given you a single authentication User IDand Password(B:) pair, enter that on the Main Trunk Line and it will be used for all numbers. In case you have been given individual User IDs and Passwords, enter them on the corresponding rows. Defining Outgoing and Incoming Number Routing (General Overview) Column Descriptions: In the section of the SIP Trunk page shown above, you also configure how outgoing calls from the PBX are routed to the Trunk Service (C:) and how incoming calls from the trunk service are routed to the PBX (D:). The Identity column is used when the trunking service requires P-Asserted-Identity or P-Preferred-Identity to be used. See also the.service Provider domain is trusted (for P-Asserted-Identity). and.use P-Preferred-Identity (instead of P-Asserted-Identity). among the SIP Trunking Service settings in For an outgoing call, the caller.s number (the user part of the From header) will - row by row, from top to bottom - be checked against the numbers or regular expressions entered in the column From PBX/SIP Number/User. A match will cause the trunk account under User Name to be used for the outgoing call (C:). 127

136 Chapter 8. How To SIP Trunking Using the SIP Trunk Page An incoming call will be checked against the numbers or regular expressions entered in the column Incoming Trunk Match. A match will cause the call to be forwarded to the PBX or SIP user specified in the.forward to..-accounts. Regular Expressions: Notice that you can use numbers, sip user names or regular expressions in the column From PBX/SIP Number/User and in the column Incoming Trunk Match. More information is found in the How To Guide: "How To use Regular Expressions". The results of subexpressions - (.) in the regular expression - can be used as $0, $1 etc. in the following column(s): - The results of subexpressions from a match in the column From PBX/SIP Number/User can be used in the columns Display Name, User Name and Identity. See (C:). - The results of subexpressions from a match in the column Incoming Trunk Match can be used in the column Forward to..see (D:). Since the regular expression syntax is used, some characters has to be preceded by the.\. escape character. E.g. phone number has to be entered as.\ Generic Header Manipulation: If needed, you can use Generic Header Manipulation in the columns: User Name (for outgoing calls) and in column Forward to. (for incoming calls). More information is found in the How To Guide: "How To use Regular Expressions" under the Account Login on Row Descriptions: The Main Trunk Line settings (E:) are used if the caller (From PBX/SIP Number/User) or credentials (User ID and Password) are not defined further down. For services that specify one main number or account, this is where those settings are entered. At (F:) you enter the routing between the external (DID) numbers on the SIP Trunk and the numbers used by the PBX. At (G:) you can link SIP Clients (e.g. SIP Phones and Soft PC SIP Clients) registered to the Ingate itself or else (not belonging to the PBX), to trunk numbers. 128

137 Chapter 9. Lösenordsbyte steg för steg Här visas steg för steg hur man gör för att sätta ett nytt lösenord för administratörer av brandväggen. De olika avsnitten går igenom hur man gör både om man kan det gamla lösenordet och om man har glömt bort det. Byta lösenord via webbgränssnittet Om man kommer ihåg det gamla lösenordet för användaren admin kan man byta lösenord via webbgränssnittet. Detta görs på sidan Användaradministration under Administration. Gamla lösenordet Här skriver du in det gamla lösenordet för admin. Nytt lösenord, Bekräfta lösenord Här skriver du in det nya lösenordet i båda fälten. Ingate Firewall kräver att du skriver in exakt samma sak i de två fälten för att skydda dig mot felskrivningar. Ändra administratörens lösenord Tryck på denna knapp för att genomföra ändringen av lösenord. Först nu sparas det nya lösenordet på brandväggen. Byta lösenord på en Ingate Firewall 1180 eller Ingate Firewall 1190 Om man har glömt administratörslösenordet till sin brandvägg måste man ha fysisk tillgång till den för att kunna sätta ett nytt lösenord. Det krävs också en omstart av brandväggen för att få den att ta emot ett nytt lösenord. 129

138 Chapter 9. Lösenordsbyte steg för steg 1. Starta om brandväggen Brandväggen kan startas om på flera sätt. Man kan trycka in RESET-knappen (1 i figuren) på baksidan (med en smal penna, ett uträtat gem eller något annat smalt) eller dra ur strömsladden och sätta i den igen. 2. Tryck på CONFIG-knappen När brandväggen håller på att starta ska CONFIG-knappen (5 i figuren) tryckas in vid ett visst tillfälle. Alert-dioden på framsidan av brandväggen kommer att tändas, sedan släckas och så tändas igen. Andra gången den tänds ska CONFIG-knappen tryckas in. Alert-dioden kommer att släckas igen så snart knappen trycks in, och då kan man sluta trycka på knappen. Om man tycker att det är svårt att pricka in exakt rätt tidpunkt går det även bra att hålla CONFIG-knappen intryckt från och med då Alert-dioden tänds första gången. Man måste då hålla den intryckt hela tiden medan dioden tänds och släcks två gånger. 3. Kontrollera att brandväggen kommit i rätt läge Vänta tills brandväggen har slutfört startsekvensen. Nu ska Alert-dioden (2 i figuren) blinka två snabba blink följt av en längre paus för att visa att den är redo att ta emot ett nytt lösenord och även en ny IP-adress, om det krävs. 130

139 4. Ge brandväggen ett nytt lösenord Chapter 9. Lösenordsbyte steg för steg Om du vill använda webbgränssnittet för att skriva in det nya lösenordet måste brandväggen först få en IP-adress (samma som förut eller en ny). Detta kan göras på två sätt; antingen via en magisk ping eller via Ingates startverktyg (som kan hämtas från Om du inte vill använda webbgränssnittet kan du istället logga in via textgränssnittet och sätta ett nytt lösenord där. Magisk ping går till så här: Lösenordsbyte via textgränssnittet går till så här: Anslut brandväggen till din arbetsstation med den medskickade seriekabeln. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till brandväggen. Koppla upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Du får se en meny: Ingate Firewall Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> Välj 6. Set password och sätt ett nytt lösenord. Nu kan du koppla upp dig mot brandväggens webbgränssnitt igen och logga in som admin med det nya lösenordet. Byta lösenord på en Ingate Firewall 1500/1550/1650 eller Ingate Firewall 1900 Om man har glömt administratörslösenordet till sin brandvägg måste man ha fysisk tillgång 131

140 Chapter 9. Lösenordsbyte steg för steg till den för att kunna sätta ett nytt lösenord. Det krävs också en omstart av brandväggen för att få den att ta emot ett nytt lösenord. 1. Starta om brandväggen Starta om brandväggen genom att trycka på På/Av-knappen. 2. Tryck ESC och Enter Under omstarten kommer det vid ett tillfälle stå "PRESS ESC + ENTER TO ENTER UNCONFIGURED" på displayen. När ESC och Enter trycks in visas texten "UNCONFIGURED CONFIRMED". 3. Kontrollera att brandväggen kommit i rätt läge När brandväggen är färdig för att ta emot ny konfiguration står det "UNCONFIGURED" samt första raden i en meny på displayen. Det går tyvärr inte att ge brandväggen ett nytt lösenord via denna meny. 4. Sätt en IP-adress Om du vill använda webbgränssnittet för att skriva in det nya lösenordet måste brandväggen först få en IP-adress (samma som förut eller en ny). Detta kan göras på två sätt; antingen via en magisk ping eller via Ingates startverktyg (som kan hämtas från Om du inte vill använda webbgränssnittet kan du istället logga in via textgränssnittet och sätta ett nytt lösenord där. Magisk ping går till så här: Anslut brandväggens elsladd till ett uttag och slå på brandväggen. Vänta medan brandväggen startar. Anslut nätverkskablarna till nätverksgränssnitten. Notera brandväggens MAC-adress som står på baksidan av maskinen. Lägg till en statisk post i din ARP-tabell med brandväggens MAC-adress och den IP-adress som brandväggens eth0 ska få. På en Windows-maskin gör du så här för att lägga till en statisk post i ARP-tabellen: Starta en kommandotolk (DOS-fönster). Skriv kommandot arp -s ipadress macadress där ipadress är den IP-adress du vill att eth0 ska få, och macadress är den MAC-adress som står på maskinen, men med alla kolon (:) utbytta mot bindestreck (-). Pinga denna IP-adress, så sätts den nya IP-adressen på eth0. Om detta lyckas kommer du att få svar på ping därifrån. Konfigurera resten via webbgränssnittet. Om du använder en dator med Windows 2000 eller XP kan du istället göra så här: 132

141 Anslut brandväggens elsladd till ett uttag och slå på brandväggen. Vänta medan brandväggen startar. Anslut nätverkskablarna till nätverksgränssnitten. Chapter 9. Lösenordsbyte steg för steg Notera brandväggens MAC-adress som står på baksidan av maskinen. Kör igång programmet Ingate.exe som finns på den medföljande CD:n i mappen MagicPing. Skriv in brandväggens MAC-adress i den övre raden med rutor. Skriv in brandväggens IP-adress i den nedre raden med rutor. Tryck på Configure för att ge brandväggen denna IP-adress. Tryck på Login för att koppla upp dig till brandväggen och göra resten av konfigurationen via webbgränssnittet. Startverktyget går att hämta på 5. Ge brandväggen ett nytt lösenord Lösenordet sätts sedan via textgränssnittet eller webbgränssnittet. Lösenordsbyte via textgränssnittet går till så här: Anslut brandväggen till din arbetsstation med den medskickade seriekabeln. Om du använder en dator med Windows kopplar du upp dig genom att starta Hyperterminal. En dialogruta kommer upp där namn och ikon för anslutningen ska anges. Skriv i dessa uppgifter och tryck OK. Dialogrutan Anslut till visas då. Välj under Anslut med: att ansluta Direkt till COM1 och tryck OK. Dialogrutan Portinställningar visas härnäst. Välj hastigheten bitar per sekund och tryck OK. Vänta på en inloggningsprompt. Du kan behöva trycka return för att den ska visas. Om du använder en dator med Linux måste du se till att det finns en symbolisk länk med namnet /dev/modem som pekar på den serieport som är kopplad till brandväggen. Koppla upp dig med hjälp av minicom med hastigheten bitar per sekund och vänta på en inloggningsprompt. Logga in som användaren admin. Du får se en meny: 133

142 Chapter 9. Lösenordsbyte steg för steg Ingate Firewall Administration 1. Basic configuration 2. Save/Load configuration 3. Become a failover team member 4. Leave failover team and become standalone 5. Wipe logs 6. Set password 7. Command line interface a. About q. Exit admin ==> Välj 6. Set password och sätt ett nytt lösenord. Nu kan du koppla upp dig mot brandväggens webbgränssnitt igen och logga in som admin med det nya lösenordet. Flytta konfigurationer mellan Ingate-maskiner Det finns två sorters konfigurationsfiler som kan sparas från en Ingate-produkt; konfigurationsdatabaser (.cfg-filer) och CLI-filer (.cli-filer) Konfigurationsdatabaser Konfigurationsdatabasfiler kan normalt flyttas mellan olika Ingate-maskiner. Nedan ser du de kriterier som måste vara uppfyllda för att en sådan fil ska kunna flyttas från maskin A till maskin B: Båda maskinerna måste ha samma produkttyp (det går inte att flytta en brandväggskonfiguration till en SIParator eller tvärtom). Maskin A får inte ha en senare programversion än maskin B. Maskin A får inte ha fler nätverksgränssnitt än maskin B. CLI-filer CLI-filer kan flyttas mellan olika maskiner på lite andra villkor än konfigurationsfiler. Villkoren ändras också om man ändrar i CLI-filen innan man laddar in den igen. Om man bara laddar ned och laddar in filen igen måste dessa kriterier vara uppfyllda för att det ska lyckas: Båda maskinerna måste ha samma produkttyp (det går inte att flytta en brandväggskonfiguration till en SIParator eller tvärtom). Maskin A får inte ha en senare programversion än maskin B. Det går dock att flytta konfigurationen om CLI-filen ändras så att alla inställningar för nya funktioner tas bort. Maskin A får inte ha fler nätverksgränssnitt än maskin B. Maskin B måste minst ha alla mjukvarumoduler som maskin A har. 134

143 Chapter 9. Lösenordsbyte steg för steg Om man vill ändra i CLI-filen går det exempelvis att ta bort alla SIParator- eller brandväggsspecifika inställningar, extra gränssnittsinställningar eller inställningar för extra moduler. På detta sätt går det att flytta filer mellan maskiner där det annars inte skulle ha varit möjligt. Det går också att göra så att de gamla inställningarna inte tas bort från maskinen. Alla beskrivningar nedan gäller för version 4.6 (och högre) av CLI:t. Behålla den gamla konfigurationen Detta kommando ska tas bort från CLI-filen om man vill behålla den gamla konfigurationen. load-factory --all Brandväggsspecifika inställningar När man flyttar en CLI-fil från en brandvägg till en SIParator måste alla rader som rör dessa tabeller tas bort. firewall.dhcp_relay firewall.forwarding_rules firewall.master_logclass firewall.protocols firewall.relays firewall.services (if the SIParator does not have the Quality of Service module) firewall.timeclasses (if the SIParator does not have the SIP Trunking or Advanced SIP Routing module) ipsec.blacklisted_packets ipsec.blacklisting misc.dhcp_server misc.dhcp_server_dns_servers misc.dhcp_server_domain misc.dhcp_server_give_ns misc.dhcp_server_leasetime misc.dhcp_server_netbios_nodetype misc.dhcp_server_status misc.dhcp_server_wins_servers network.masquerading 135

144 Chapter 9. Lösenordsbyte steg för steg SIParator-specifika inställningar När man flyttar en CLI-fil från en SIParator till en brandvägg måste alla rader som rör dessa tabeller tas bort. sip.public_ip sip.st_type sip.surroundings Färre nätverksgränssnitt När man flyttar en CLI-fil till en maskin med färre gränssnitt än den gamla måste man leta fram inställningarna nedan och ta bort de rader som gäller de överflödiga gränssnitten. Om filen flyttas till en maskin med tre gränssnitt kommer dessa att heta eth0, eth1 och eth2 på maskinen. All konfiguration som rör eth3 och högre numrerade gränssnitt måste tas bort. config.allow_via_interface failover.iface_ref_hosts firewall.network_groups network.alias_addresses network.interfaces network.local_nets network.masquerading network.routes network.vlans qos.egress_default_queueing qos.egress_queueing qos.ingress_default_queueing qos.ingress_queueing Inställningar för SIP Trunking När man flyttar en CLI-fil från en maskin med modulen SIP Trunking till en utan modulen måste alla rader som rör dessa tabeller tas bort. sipswitch.b2bua_transfer_enable sipswitch.b2bua_transfer_from_user sipswitch.dial_plan_methods sipswitch.enum_root sipswitch.incoming_unauth sipswitch.request_from sipswitch.user_routing 136

145 Chapter 9. Lösenordsbyte steg för steg Från inställningarna för sipswitch.dial_plan måste fälten "reqfrom", "enum_prefix" och "forward_prefix" tas bort. Från inställningarna för sipswitch.forward_to måste fälten "account" och "regexp" tas bort. Från inställningarna för sipswitch.request_to måste fälten "prefix", "min_tail_length" och "regexp" tas bort. Från inställningarna för sipswitch.users måste alla rader där "type"-fältet inte är "user" tas bort. Inställningar för Remote SIP Connectivity När man flyttar en CLI-fil från en maskin med modulen Remote SIP Connectivity till en utan modulen måste alla rader som rör dessa tabeller tas bort. fent.fent fent.fent_keepalive fent.media_release Inställningar för Advanced SIP Routing När man flyttar en CLI-fil från en maskin med modulen Advanced SIP Routing till en utan modulen, men med modulen SIP Trunking, måste alla rader som rör dessa tabeller tas bort. sipswitch.incoming_unauth sipswitch.voic Från inställningarna för sipswitch.user_routing måste fälten "aliases", "timeclass", "restrict_incoming" och "voice_mail" tas bort. När man flyttar en CLI-fil från en maskin med modulen Advanced SIP Routing till en utan modulen, och som inte heller har modulen SIP Trunking, måste även alla rader som rör dessa tabeller tas bort. sipswitch.user_routing Från inställningarna för sipswitch.users måste alla rader där "type"-fältet inte är "user" tas bort. Inställningar för Enhanced Security När man flyttar en CLI-fil från en maskin med modulen Enhanced Security till en utan modulen måste alla rader som rör dessa tabeller tas bort. idsips.active idsips.predefined_ips_rules idsips.rate_limited_ips 137

146 Chapter 9. Lösenordsbyte steg för steg sip.tls_cacerts sip.tls_client_cfg sip.tls_server_cfg sip.tls_settings sip.use_tls Från inställningarna för sip.media_encryption_rules och sip.media_encryption_policy måste fältet "allow_transcoding" tas bort. Inställningar för VoIP Survival När man flyttar en CLI-fil från en maskin med modulen VoIP Survival till en utan modulen måste alla rader som rör dessa tabeller tas bort. voipsm.voipsm voipsm.voipsm_domains voipsm.voipsm_pstn_gateways 138

147 Chapter 10. Nätverkstopologi och trafikkonfiguration steg för steg VLAN-konfiguration steg för steg Ingate Firewall kan hantera VLAN. Här är en steg för steg-beskrivning av vilka inställningar som måste göras för att det ska fungera. VLAN På sidan VLAN definieras och namnges de VLAN som ska användas. Alla VLAN som ska användas i något nätverk som definieras på sidan Nät och maskiner måste namnges här. Detta innefattar de nätverk som ska användas till Regler eller Reläer, nätverk som SIP-användare ska registrera sig från och nätverk som innehåller maskiner som får ställa SNMP-frågor till brandväggen. Gränssnitt På Gränssnitt-sidan för det gränssnitt som dina VLAN ska finnas på, anges som vanligt nätverken. Här kopplas också nätverk ihop med VLAN. Nät och maskiner På sidan Nät och maskiner skapas nätverken som ska använda VLAN. Under Interface/VLAN väljs rätt VLAN för respektive nätverk. Det här behöver göras för alla VLAN-nät som ska användas till Regler eller Reläer, nätverk som SIP-användare ska registrera sig från och nätverk som innehåller maskiner som får ställa SNMP-frågor till brandväggen. 139

148 Chapter 10. Nätverkstopologi och trafikkonfiguration steg för steg Sen används nätverken som vanligt för övriga inställningar. Observera att när brandväggen har konfigurerats till att använda VLAN på ett nät, kommer otaggade paket, som kommer till brandväggen på det nätverket, inte att accepteras. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Semitransparent FTP-relä steg för steg När man har en FTP-server på insidan eller ett DMZ skickas trafiken oftast in med hjälp av ett FTP-relä. Detta relä har dock nackdelen att alla uppkopplingar ser ut att komma från brandväggen själv - FTP-servern har ingen möjlighet att autentisera eller blockera olika användare baserat på deras IP-adresser. Det man då skulle vilja använda är ett semitransparent FTP-relä, där brandväggen låter den ursprungliga avsändaradressen stå kvar. Tyvärr finns inte denna relätyp idag, men med en 140

149 Chapter 10. Nätverkstopologi och trafikkonfiguration steg för steg kombination av inställningar går det att åstadkomma funktionen. Här visas de inställningar som man måste göra för att få ett semitransparent FTP-relä. Nät och maskiner På sidan Nät och maskiner behövs ett nätverk som innehåller alla IP-adresser som får komma åt FTP-servern. Normalt är detta hela Internet. Det behövs också ett nätverk som innehåller FTP-serverns IP-adress. Reläer Gå till sidan Reläer under Reläer och lägg till en ny rad i tabellen. Välj brandväggens IP-adress på utsidan och port 21 att lyssna på. Det är viktigt att port 21 används, annars fungerar inte detta! Skriv in FTP-serverns privata IP-adress att skicka vidare paketen till och välj Semitransparent TCP port forwarding som relätyp. Regler Gå till sidan Regler och skapa en regel för trafik från Internet till FTP-servern. Tjänsten ska vara FTP. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 141