Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Relevanta dokument
Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Att använda RADIUS-bokföring med Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

SIP-operatörskonton genom Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Ingate Firewall 4.9.2

Flera SIP-operatörer eller IP-PBXer. Lisa Hallingström Paul Donald

Att flytta konfigurationer mellan Ingate-enheter. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Ingate SIParator 4.9.2

Din guide till en säkrare kommunikation

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Byta lösenord på en Ingate Firewall 1450/1500/1550/1600/1650/1900 eller Ingate SIParator 45/50/55/60/65/90

Westermo MRD-3x0 Routrar och TheGreenBow VPN Client

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

Installationsguide Junos Pulse för MAC OS X

Övningar - Datorkommunikation

Konfigurationsdokument M1

UR5 3G Router. Kom igång med UR5 router

Instruktion för installation av etikettskrivare 2.31

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Handbok Remote Access TBRA

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Konfiguration av LUPP synkronisering

Instruktion för installation av etikettskrivare 2.27

21.6 Testa VPN-tunneln

Konfiguration av synkronisering fo r MSB RIB Lupp

FactoryCast HMI. Premium & Quantum PLC. FactoryCast HMI epost-tjänst

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Då Eduroam använder sig av WPA2 (kryptering) krävs att din dator har stöd för detta.

Systemkrav och tekniska förutsättningar

Windowsadministration I

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

The question is not if you are paranoid, it is if you are paranoid enough. Anonymous

Ladda upp filer fra n PLC till PC

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Administratör IT-system Kursplan

IP201 Svenska. Installationsanvisning

Denna genomgång behandlar följande: Trådlösa tekniker WLAN Utrustning Säkerhet Konfiguration

Konfigurering av eduroam

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

Installation och setup av Net-controller AXCARD DS-202

Byta lösenord på en Ingate Firewall 1180/1190/SIParator 18/19. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

progecad NLM Användarhandledning

INNEHÅLL. Konfigurering av SQL Server. Egenskaper Kommunikationsprotokoll

Installationsguide Junos Pulse för iphone/ipad

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Startanvisning för Bornets Internet

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

PNSPO! CP1W-CIF mars 2012 OMRON Corporation

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Hur gör man ett trådlöst nätverk säkert?

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

Fas I: Hur man hittar en ledig IP-adress

Isolda Purchase - EDI

Instruktion: Trådlöst nätverk för privata enheter

BRUKSANVISNING FÖR NÄTVERKSANVÄNDARE

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

Microsoft Internet Information Services 7 / 7.5

F2 Exchange EC Utbildning AB

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Snabbguide IP-kamera Kom igång med din kamera

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

ZYXEL PRESTIGE 660H-61 INSTALLATIONSMANUAL

Övning 5 ETS052 Datorkommuniktion Routing och Networking

IPv6 och säkerhet.

Beijer Electronics AB 2000, MA00336A,

Handbok för AirPrint. Information om AirPrint. Tillvägagångssätt för inställning. Utskrift. Bilaga

Avtal för användning av datorutrustning vid Geologiska institutionen

Version 1.0 Januari Xerox Phaser 3635MFP Extensible Interface Platform

Startguide för Administratör Kom igång med Microsoft Office 365

Windows 8 och det nya arbetslivet. Magnus Holmér IT strategisk rådgivare

REGISTRERA DIG IDAG Din guide till Ronnebyporten

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

IPv6 i Mobilnät. Mattias Karlsson. mattias.karlsson@telenor.com

OFTP2 Webinar den 26 Oktober kl Vad är OFTP2 översikt, bakgrund, viktigaste skillnader mot OFTP1

Rekommendationer teknisk lösning_samsa_ ver

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Hemmanätverk. Av Jan Pihlgren. Innehåll

Windows 98 och Windows Me

Java Secure Sockets Extension JSSE. F5 Secure Sockets EDA095 Nätverksprogrammering! Roger Henriksson Datavetenskap Lunds universitet

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Instruktioner för Axxell's Trådlösa Nät

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

EDS1130 IP-kamera. Snabbguide. Svenska Version 1.0

Telia Connect för Windows

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Innehållsförteckning:

Transkript:

Att sätta upp en IPsec-förbindelse med NAT Lisa Hallingström Paul Donald

Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med NAT...3 Klientsidan...3 Serversidan...5 IPsec-uppkoppling med NAT, klientsidan har en dynamisk IP-adress...8 Klientsidan...8 Serversidan...12 IPsec-uppkoppling med NAT, serversidan har en dynamisk IP-adress...15 Serversidan...15 Klientsidan...19 ii

Ingate Firewall/SIParator -version: 4.6.2 Dokumentversion: 1.1 Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med NAT Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att den ena sidan ska kunna kontakta servrar på den andra sidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns. Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida en publik IP-adress för den maskin som brandväggen/siparatorn ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. 3

IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. You must define the local office network as well as the IP address or addresses used by the IPsec peer for NATing traffic for its local network. As the two networks clash, you can t define the remote network directly here. Instead, the local computers need to contact an IP address on the peer outside. The peer then forwards the traffic to the server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggen/siparatorns IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPNtrafiken. Det nätverk som ska skapas för serversidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som serversidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. 4

Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPNtunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 5

Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. IPsec-motparter Gå först till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp om maskinerna ska autentisera sig med en Delad hemlighet eller X.509-certifikat. För att använda X.509-certifikat krävs antingen att båda maskinerna kan signera sina egna certifikat eller att man har tillgång till en CA-server som kan signera andras certifikatbegäran. Om man har en CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo matar man in hemlighet eller certifikat beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns. Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida en publik IP-adress för den maskin som brandväggen/siparatorn ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Definiera det lokala nätverket (servernätet) och den IP-adress eller de IP-adresser som motparten NATar sin trafik som. Det går alltså inte att direkt definiera nätverket på andra sidan, eftersom det sammanfaller med det lokala nätverket. Istället används den IP-adress som trafiken ser ut att komma från. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. 6

Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggen/siparatorns IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja VPN-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen/siparatorn ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som klientsidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. Reläer Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress på utsidan att lyssna på. Denna IP-adress måste finnas med bland de IPadresser som klientsidan gör en IPsec-förhandling om. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsec-motpart och klientnätet under Nätverk. 7

Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. IPsec-uppkoppling med NAT, klientsidan har en dynamisk IP-adress Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att klienter på den ena sidan ska kunna kontakta servrar på den andra sidan. Den IPsec-motpart som finns på klienternas sida har en dynamisk IP-adress på utsidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. 8

Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. Certifikat; Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen/siparatorn i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen/siparatorn. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen/siparatorn ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IPadresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. 9

Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen/siparatorn in. Välj under Lokal sida den dynamiska IP-adressen för devicen; och under Bortre sida en publik IP-adress för den maskin som brandväggen/siparatorn ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. You must define the local office network as well as the IP address or addresses used by the IPsec peer for NATing traffic for its local network. As the two networks clash, you can t define the remote network directly here. Instead, the local computers need to contact an IP address on the peer outside. The peer then forwards the traffic to the server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Välj att NATa som brandväggen/siparatorns IP-adress på utsidan (den som valdes på sidan IPsec-motparter). Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. 10

Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPNtrafiken. Det nätverk som ska skapas för serversidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som serversidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPNtunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 11

När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. Certifikat; Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen/siparatorn i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. 12

Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen/siparatorn. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen/siparatorn ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IPadresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen/siparatorn in. Välj under Lokal sida brandväggen/siparatorns publika IP-adress. I Bortre sida ska * skrivas in, vilket betyder att motparten har en dynamisk IP-adress. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. 13

IPsec-tunnlar Gå till sidan IPsec-tunnlar och gör en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Lokala sidans adress som Adresstyp. Under Bortre nätverk väljer du Bortre sidans adress. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja IPsec-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen/siparatorn ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av IPsec-tunneln ska utgöras av den IP-adress som klientsidan använder för att NATa trafiken. Eftersom denna IP-adress är dynamisk måste alla IP-adresser finnas med i intervallet. Nätverket måste ha "-" som Interface/VLAN. Reläer Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress på utsidan att lyssna på. Denna IP-adress måste finnas med bland de IPadresser som klientsidan gör en IPsec-förhandling om. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsec-motpart och klientnätet under Nätverk. 14

Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. IPsec-uppkoppling med NAT, serversidan har en dynamisk IP-adress Av olika anledningar kan man vilja NATa trafik genom en IPsec-tunnel. Det kan exempelvis vara så att nätverket på andra sidan tunneln sammanfaller med det lokala nätverket. I exemplet antas att tunneln sätts upp för att klienter på den ena sidan ska kunna kontakta servrar på den andra sidan. Den IPsec-motpart som finns på serversidan har en dynamisk IPadress på utsidan. Här visas de inställningar som behövs för att klara av ett sådant scenario. Observera att om motparten inte är en Ingate-maskin kan vissa inställningar skilja sig från vad som visas här. Framför allt skiljer sig de nätverk som förhandlas fram; det motparterna förhandlar om är i båda ändar de IP-adresser som används för att NATa trafiken. De lokala nätverken (som har samma IP-intervall) förekommer aldrig i förhandlingarna. Serversidan På serversidan behöver IPsec-tunneln definieras. Det behövs också reläer för att skicka in den mottagna trafiken till rätt server på insidan. 15

As the server side has a dynamic public IP address, it is not possible to make the client side use this address when contacting servers. Instead, you need to set up an extra IP network on the inside, just for forwarding traffic to the inside servers. In this example, the common network for both sides is 192.168.0.0/24, and the extra IP network on the server side is 172.16.20.0/24. Gränssnitt Gå till sidan Gränssnitt och skapa ett nytt nät i tabellen Direktkopplade nät. I tabellen Alias går det att lägga till alias för de servrar som den andra sidan ska komma åt via IPsec-förbindelsen. Certifikat; Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen/siparatorn i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. 16

Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen/siparatorn. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen/siparatorn ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IPadresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen/siparatorn in. Välj under Lokal sida den dynamiska IP-adressen för devicen; och under Bortre sida en publik IP-adress för den maskin som brandväggen/siparatorn ska upprätta en tunnel till. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. 17

IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Definiera det nät som skapades för servrarna. Det går inte att direkt definiera nätverket på andra sidan, eftersom det sammanfaller med det lokala nätverket. Istället kommer datorerna behöva kontakta en adress på motpartens utsida. Motparten skickar sedan vidare trafiken in till rätt server. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk väljs relänätet. Under Bortre nätverk väljer du Bortre sidans adress. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. Välj AES/3DES som kryptering. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns en nätgrupp för det nät som ska utnyttja VPN-tunneln. Nätgruppen används sedan för att definiera varifrån trafiken ska komma som brandväggen/siparatorn ska skicka vidare till respektive server. Det nätverk som ska skapas för klientsidan av VPN-tunneln ska utgöras av den IP-adress eller de IP-adresser som klientsidan använder för att NATa trafiken. Nätverket måste ha "-" som Interface/VLAN. 18

Reläer Gå till Reläer för att skapa de reläer som behövs för att skicka vidare trafik till servrarna. Välj en IP-adress i relänätet att lyssna på. Skriv sedan in IP-adress och port för den server som trafiken ska skickas till och välj rätt typ av relä. Välj IPsec-motparten under IPsecmotpart och klientnätet under Nätverk. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Klientsidan På klientsidan behöver IPsec-tunneln definieras. Det behövs också regler för att släppa fram trafiken som ska gå genom tunneln. 19

Certifikat; Eftersom en av IPsec-motparterna har en dynamisk IP-adress måste autentiseringen mellan motparterna använda X.509-certifikat. Gå till sidan Certifikat för att skapa ett certifikat. Gör en ny rad i tabellen Privata certifikat och skriv in ett namn för certifikatet. Tryck på Skapa nytt. Skriv in information om brandväggen/siparatorn i formuläret och tryck sedan på Skapa ett självsignerat X.509-certifikat. Ladda sedan ned certifikatet i PEM- eller DER-format. Detta certifikat ska laddas upp på sidan IPsec-motparter på den andra brandväggen/siparatorn. IPsec-certifikat Gå till IPsec-certifikat under Virtuella Privata Nät och välj att brandväggen/siparatorn ska använda certifikatet för IPsec-förhandlingar. IPsec-motparter Gå till sidan IPsec-motparter under Virtuella Privata Nät och ange mellan vilka IPadresser IPsec-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj X.509-certifikat under Autentiseringstyp Under Autentiseringsinfo laddas certifikatet från den andra brandväggen/siparatorn in. 20

Välj under Lokal sida brandväggen/siparatorns publika IP-adress. I Bortre sida ska * skrivas in, vilket betyder att motparten har en dynamisk IP-adress. Välj Av under RADIUS och sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna IPsec-tunnel. I tabellen IPsec-nätverk definierar du de nätverk som kommer att använda IPsec-tunneln. Både det lokala kontorsnätet och motpartens servernät måste definieras här. Gör sedan en ny rad i tabellen IPsec-tunnlar. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk som Adresstyp och under Nätverk det lokala nätverket. Under Bortre nätverk väljer du också Nätverk samt de IP-adresser som finns hos motparten. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den andra brandväggen/siparatorn har. Välj AES/3DES som kryptering. 21

Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja IPsec-tunneln. Detta behövs för att kunna göra regler som släpper fram IPsectrafiken. Det nätverk som ska skapas för serversidan av IPsec-tunneln ska vara det extra servernät som skapats på andra sidan. Nätverket måste ha "-" som Interface/VLAN. Regler Gå till Regler för att skapa de regler som behövs för att släppa fram trafik genom VPNtunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj det lokala nätverket under Klient. Välj IPsec-motparten under Till IPsec-motpart och motpartens IP-adresser under Server. Gör regler för de tjänster som ska släppas fram till serversidan. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. 22

23

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss