Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid



Relevanta dokument
Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Att använda RADIUS-bokföring med Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

SIP-operatörskonton genom Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

Ingate Firewall 4.9.2

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Flera SIP-operatörer eller IP-PBXer. Lisa Hallingström Paul Donald

Att flytta konfigurationer mellan Ingate-enheter. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Byta lösenord på en Ingate Firewall 1180/1190/SIParator 18/19. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Byta lösenord på en Ingate Firewall 1450/1500/1550/1600/1650/1900 eller Ingate SIParator 45/50/55/60/65/90

Ingate SIParator 4.9.2

Handbok Remote Access TBRA

Din guide till en säkrare kommunikation

VPN tjänst för Stockholm Stad

Installationsguide Junos Pulse för MAC OS X

21.6 Testa VPN-tunneln

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Startanvisning för Bornets Internet

Hur gör man ett trådlöst nätverk säkert?

Installationsguide Junos Pulse för iphone/ipad

SurfinBird IX78 kopplad till PBX och kundens egen brandvägg

Systemkrav och tekniska förutsättningar

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Lathund Beställningsblankett AddSecure Control

Hemmanätverk. Av Jan Pihlgren. Innehåll

Övningar - Datorkommunikation

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Installationsanvisning För dig som har valt fast IP-Adress

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

Net1 Atel router. Anvisningar Anvisningar Net1 Atel router. v1.4.3 ALR-U270. Date. Dokument namn. Release. Valid for

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

UR5 3G Router. Kom igång med UR5 router

Ingate SIParator. Startguide. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Per Johnsson

Installationsanvisning För dig som har dynamisk IP-Adress

FJÄRRKOMMUNIKATION 3G

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Westermo MRD-3x0 Routrar och TheGreenBow VPN Client

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

Rebus e-postinställningar

Telia Connect för Windows

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Konfigurationsdokument M1

Installationshandbok

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

Instruktion för integration mot CAS

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Åtkomst till Vårdtjänst via RSVPN

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Eduroam Onboarding. Eduroam ChromeOS

Detta är en guide för snabbinstallation av IP kameran För fullständig programfunktion hänvisar vi till medföljande manual.

Installationsanvisning Bredband

Konfiguration av LUPP synkronisering

Konfiguration av synkronisering fo r MSB RIB Lupp

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

Felsökningsguide för Windows XP

Instruktion: Trådlöst nätverk för privata enheter

Internet OMBORD PÅ VÅRA TÅG

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Instruktion för installation av etikettskrivare 2.31

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Setup Internet Acess CSE-H55N

IP201 Svenska. Installationsanvisning

Samsung NVR SRN-473S/873S/1673S Quick guide till web/app anslutning

VPN (PPTP) installationsguide för Windows 7

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

Teknisk spec Flex Lön och Flex API

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Startguide för Administratör Kom igång med Microsoft Office 365

Ubiquiti M5 Trådlös WiFi-länk för VAKA-system

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Hjälp! Det fungerar inte.

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Handbok för installation av programvara

Instruktion för installation av etikettskrivare 2.27

progecad NLM Användarhandledning

router n. filer och en Inter net- uppkoppling över flera datorer.

Konfiguration E-Lins LTE450 för Net1

Manuell import till Lime Pro

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Innehållsförteckning:

Använda Outlook 2003 mot Exchange

SMC Barricade Routers

Brandväggs-lösningar

Handbok för installation av programvara

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Advoco NetPBX. Konfiguration av Yealink SIP IP-telefoner

R Manual: DGC Mobil anknytning Att komma igång med mobildata och MMS

Proxy. Krishna Tateneni Översättare: Stefan Asserhäll

Transkript:

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med RADIUS-autentisering...3 Certifikat...3 RADIUS...4 Gränssnitt...4 Autentiseringsserver...5 IPsec-certifikat...5 IPsec-motparter...6 IPsec-tunnlar...7 SIP genom IPsec...8 Nät och maskiner...9 Regler...9 Spara/Läsa inställningar...9 Konfigurering av RADIUS-servern...10 Konfigurera klienten...10 ii

Ingate Firewall/SIParator -version: > 4.6.2 Dokumentversion: 1.1 Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med RADIUS-autentisering Uppkopplingar med en mobil klient kräver att X.509-certifikat används. Om man vill att uppkopplingen ska vara ännu mer skyddad går det att kräva att VPN-användaren också autentiserar sig mot en RADIUS-server innan det går att använda IPsec-uppkopplingen. Här visas hur man sätter upp en IPsec-förbindelse med RADIUS-autentisering till brandväggen/siparatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen/siparatorn. Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen/siparatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen/siparatorn igen. 3

Nu finns det ett certifikat som ska användas av brandväggen/siparatorn när den identifierar sig för den IPsec-klient som kopplar upp sig. Brandväggen behöver också ett certifikat för att identifiera sig för den webbläsare som används när RADIUS-autentiseringen ska genomföras. Det går att använda samma certifikat för båda dessa syften, eller skapa olika certifikat för varje ny användning. RADIUS Om man ska använda RADIUS-autentisering måste brandväggen/siparatorn veta vilken RADIUS-server den ska kontakta. Gå till sidan RADIUS under Grundinställningar och fyll i den RADIUS-server som ska användas. Den adress som brandväggen/siparatorn ska använda när den kontaktar RADIUS-servern måste också anges. Gränssnitt När IPsec-användaren vill använda IPsec-förbindelsen kommer hon först att behöva koppla upp sig mot en IP-adress på brandväggen/siparatorn för att autentisera sig mot en RADIUS-server. Denna uppkoppling görs med en webbläsare över https. För detta måste man välja en IP-adress på brandväggen/siparatorn som användaren ska kunna koppla upp sig mot. IP-adressen måste vara åtkomlig via IPsec-förbindelsen, vilket 4

normalt betyder att det måste vara en IP-adress på det lokala nätverket (kontorsnätet). Det går att använda brandväggen/siparatorns huvudadress (definierad i tabellen Direktkopplade nät) eller skapa ett Alias för detta ändamål. Det här görs på Interface-sidorna. Autentiseringsserver Om man använder RADIUS för att autentisera användaren måste det finnas ett SSL-certifikat för brandväggen/siparatorns autentiseringsserver. Gå till sidan Autentiseringsserver; och välj den IP-adress och port som autentiseringsservern ska svara på. Eventuellt kan man först behöva gå till Gränssnitt-sidorna för att definiera en ny IP-adress på brandväggen/siparatorns utsida. Välj också det certifikat som autentiseringsservern ska använda för att identifiera sig mot den uppkopplade klienten. Man måste även välja det certifikat som brandväggen/siparatorn ska använda för att identifiera sig för klienten. IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen/siparatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. 5

IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns eget. Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen/siparatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen/siparatorn med en ledig port. Välj i så fall På under RADIUS. Välj "På" under RADIUS för att slå på RADIUS-autentisering för denna motpart. Observera att när RADIUS-autentisering används måste motpartens namn vara samma som användarens RADIUS-namn. Det betyder att det måste finnas en rad per IPsec-användare som ska autentisera sig med RADIUS. 6

IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. Välj IPsec-motparten under Motpart. Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen/siparatorn. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj 7

i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den mobila klienten har. SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen/siparatorn, dvs Lokal sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen/siparatorn måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att 8

The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen/siparatorn. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen/siparatorn, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen/siparatorn är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det behövs inget nätverk för autentiseringsservern. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPN-tunneln under Till VPN om Server är nätet för den mobila klienten. Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. 9

När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurering av RADIUS-servern Lägg till din Ingate Firewall/SIParator som klient i RADIUS-servern. Se till att den delade hemligheten för denna klient är densamma som i brandväggen/siparatorn. För att kontrollera om en användare får logga in tittar brandväggen/siparatorn på RADIUS-typen Service-Type för användaren. Om värdet är Framed (2) får denne logga in via VPN. Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se http://www.ingate.com/interaction.php för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. När användaren vill koppla upp sig med IPsec börjar hon med att med sin webbläsare gå till den IP-adress som valdes på sidan Autentiseringsserver. Observera att https måste användas. En inloggningssida kommer att visas där användaren skriver in sitt RADIUS-namn och lösenord/pin-kod. 10

När användarnamnet och lösenordet/pin-koden har verifierats av RADIUS-server kommer förbindelsen att sättas upp. 11

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss