Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald



Relevanta dokument
Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Byta lösenord på en Ingate Firewall 1180/1190/SIParator 18/19. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att använda RADIUS-bokföring med Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

SIP-operatörskonton genom Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Acrobat version Du behöver ha Acrobat Pro installerat på din dator för att signera planer i Atlas. Däri finns funktion för certifiering/signering.

Krypteringteknologier. Sidorna ( ) i boken

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

ELMIA WLAN (INTERNET)

Installation av. Vitec Online

Då Eduroam använder sig av WPA2 (kryptering) krävs att din dator har stöd för detta.

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Dok. nr: SLLIT-ANS Beskrivning för registrering inom ATj

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Inledning. Att bli medlem

Manual för Kollektomat

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Ingate Firewall 4.9.2

ZACI är den programvara som är navet i kommunikationen när det gäller kortbetalningar.

Svenska Skidförbundets tävlingsadministrativa system på IdrottOnline

Installationsguide Junos Pulse för iphone/ipad

FIBER. Installationshandbok. Rev

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Upsättning av Shoutcast-sändning

VPN tjänst för Stockholm Stad

Flera SIP-operatörer eller IP-PBXer. Lisa Hallingström Paul Donald

Byta lösenord på en Ingate Firewall 1450/1500/1550/1600/1650/1900 eller Ingate SIParator 45/50/55/60/65/90

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Steg 1 Starta Outlook 2013 och öppna konfigurationsguiden

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

INSTRUKTIONSTEXT FÖR PLEXTALK Pocket PTP1 - Mottagare för poddradio -

ÅGIT PRESENTERAR FILR SMIDIG OCH SÄKER FILÅTKOMST OCH DELNING

Installationsmanual för Tyfon ADSL

The Pirate Bay-rättegången, dag 6 Fritt nedtecknat

IT-arbetsplats med distansåtkomst

Lathund. Fakturering via fil i Tandvårdsfönster

Anslutningsvägledning. Nationell patientöversikt 2.0

Visionutveckling. Vision 80/20 för Android. Manual Vision 80/20 för Android. Version 3.0

INLOGGNINGSINSTRUKTION VPN

============================================================================

ISY Case Schakt Trafikanordning Markuppla telse, Trafikfo reskrift

Handbok Remote Access TBRA

Manual Jourläkarschema Närhälsan V7 - Version 1.0

Konfigurera Xenta från Point

Kapitel 1 Ansluta routern till Internet

Användarguide Flexconnect.se Mobil Anknytning

Handledning. Procapita Vård och Omsorg Certifikatinstallation avseende LEFI Online Version

Information om Aptus bokning- och låssystem i Brf Göteborgshus 42

Hur BitTorrent fungerar

Användarmanual Phoniro App 3.4 för Android

Du har fått stycken taggar. (av föreningen okt-06 eller av den f.d. medlem du övertagit lägenheten från) Din pinkod är:

Administrativ manual RiksSvikt 3.7.0

Testa ditt SITHS-kort

Visionutveckling. Vision 80/20 för iphone. Manual Vision 80/20 för iphone. Version 2.5

SÅindex 5 i Microsoft Excel 2010

Med NetAlert är du aldrig ensam.

21.6 Testa VPN-tunneln

BILAGA KARTLÄGGNING SOCIALSEKRETERARE STOCKHOLM (MELLAN)

19. Skriva ut statistik

Åtkomst och användarhandledning

Lathund. Söka patienter i Tandvårdsfönster

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

Laboration 2: Ett kommunikationssystem

Om du har en egen smartphone, dator, eller surfplatta och vill använda skolans WiFi-nätverk för internet, kan du följa instruktionerna här efter.

VIDA ADMIN LATHUND INNEHÅLL

Installationsanvisningar

F2 Exchange EC Utbildning AB

Bruksanvisning ComfortTouch App för Busch-ComfortTouch

Telia Touchpoint Plus. Användare

Skriv in sökvägen sam.sll.se

STADSBYGGNADSFÖRVALTNINGEN. Aktivitetsstöd. Behörigheten Föreningsadministratör. Datum: Version 2. Sidan 1 (30)

EW-7438RPn Air Quick Installation Guide

Rebus Web-import av kunder

Din guide till en säkrare kommunikation

FÖRBEREDANDE INSTÄLLNINGAR INFÖR SKYPE MÖTE SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Edgecore SKA 3.1 certifiering

Manual C3 BMS för Android-telefoner

Avser Utgåva: Datum Sida: Primula Extern del PA (17) Dokumentbeskrivning : HANDBOK. Handbok PRIMULA. Primula Handbok för Vårdgivare

Datum: Version 1.6. Sidan 1 (43)

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.3.1

App-klient för smartphones Power BI Arbetsflöde CRM Online Webb-klienten Dokumenthantering Molnet...

Ver Guide. Nätverk

Snabbguide Installation Linkmanager och ansluta till SiteManager

Manual Utgåva 1.2. Sidan 1

Aktivera och använda EtherTalk för Mac OS 9.x


Virtuell Server Tjänstebeskrivning

Bildslinga Användarguide

Välkommen som testpilot av plattformen PictureMyLife!

Inloggning på trådlöst nätverk för biblioteksanvändare och gäster vid Umeå Stadsbibliotek

Att flytta konfigurationer mellan Ingate-enheter. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Net id OEM Användarhandbok för Windows

Transkript:

Att sätta upp en IPsec-förbindelse med mobil klient Lisa Hallingström Paul Donald

Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient...3 Certifikat...3 IPsec-certifikat...4 IPsec-motparter...4 IPsec-tunnlar...5 Nät och maskiner...6 Regler...7 Spara/Läsa inställningar...7 Konfigurera klienten...8 ii

Ingate Firewall/SIParator -version: 4.6.2 Dokumentversion: 1.0 Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient Genom att sätta upp en IPsec-förbindelse mellan brandväggen/siparatorn och en mobil klient kan man använda servrar på kontoret hemifrån eller från exempelvis hotellrummet utan att trafiken går i klartext på Internet. För uppkopplingar med en mobil klient krävs det att man använder X.509-certifikat. Följ dessa steg för att sätta upp en IPSec-VPN-förbindelse till brandväggen/siparatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen/siparatorn. Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen/siparatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen/siparatorn igen. 3

IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen/siparatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns eget. 4

Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen/siparatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen/siparatorn med en ledig port. Välj i så fall På under RADIUS. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. 5

Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen/siparatorn. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den mobila klienten har. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPNtrafiken. Det behövs inget nätverk för autentiseringsservern. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. 6

Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPNtunneln under Till VPN om Server är nätet för den mobila klienten. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 7

Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se http://www.ingate.com/interaction.php för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IPadress och logga in där för att kunna använda VPN-tunneln. 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss