Att sätta upp en IPsec-förbindelse med mobil klient Lisa Hallingström Paul Donald
Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient...3 Certifikat...3 IPsec-certifikat...4 IPsec-motparter...4 IPsec-tunnlar...5 Nät och maskiner...6 Regler...7 Spara/Läsa inställningar...7 Konfigurera klienten...8 ii
Ingate Firewall/SIParator -version: 4.6.2 Dokumentversion: 1.0 Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient Genom att sätta upp en IPsec-förbindelse mellan brandväggen/siparatorn och en mobil klient kan man använda servrar på kontoret hemifrån eller från exempelvis hotellrummet utan att trafiken går i klartext på Internet. För uppkopplingar med en mobil klient krävs det att man använder X.509-certifikat. Följ dessa steg för att sätta upp en IPSec-VPN-förbindelse till brandväggen/siparatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen/siparatorn. Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen/siparatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen/siparatorn igen. 3
IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen/siparatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns eget. 4
Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen/siparatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen/siparatorn med en ledig port. Välj i så fall På under RADIUS. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. 5
Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen/siparatorn. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den mobila klienten har. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPNtrafiken. Det behövs inget nätverk för autentiseringsservern. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. 6
Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPNtunneln under Till VPN om Server är nätet för den mobila klienten. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 7
Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se http://www.ingate.com/interaction.php för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IPadress och logga in där för att kunna använda VPN-tunneln. 8