Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid



Relevanta dokument
Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Att använda RADIUS-bokföring med Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

Ingate Firewall 4.9.2

SIP-operatörskonton genom Ingate Firewall/SIParator. Lisa Hallingström Paul Donald

Flera SIP-operatörer eller IP-PBXer. Lisa Hallingström Paul Donald

Att flytta konfigurationer mellan Ingate-enheter. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Byta lösenord på en Ingate Firewall 1180/1190/SIParator 18/19. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Byta lösenord på en Ingate Firewall 1450/1500/1550/1600/1650/1900 eller Ingate SIParator 45/50/55/60/65/90

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Din guide till en säkrare kommunikation

VPN tjänst för Stockholm Stad

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Ingate SIParator 4.9.2

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

21.6 Testa VPN-tunneln

Handbok Remote Access TBRA

Hur gör man ett trådlöst nätverk säkert?

UR5 3G Router. Kom igång med UR5 router

Lathund Beställningsblankett AddSecure Control

SurfinBird IX78 kopplad till PBX och kundens egen brandvägg

Installationsguide Junos Pulse för MAC OS X

Startanvisning för Bornets Internet

Installationsguide Junos Pulse för iphone/ipad

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Övningar - Datorkommunikation

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst nätverk för privata enheter

Systemkrav och tekniska förutsättningar

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Installationsanvisning För dig som har dynamisk IP-Adress

Westermo MRD-3x0 Routrar och TheGreenBow VPN Client

Installationsanvisning För dig som har valt fast IP-Adress

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

router n. filer och en Inter net- uppkoppling över flera datorer.

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

Felsökningsguide för Windows XP

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Konfiguration av LUPP synkronisering

Konfiguration av synkronisering fo r MSB RIB Lupp

Installationsguide Windows 10

Teknisk spec Flex Lön och Flex API

Åtkomst till Vårdtjänst via RSVPN

VPN (PPTP) installationsguide för Windows 7

Eduroam Onboarding. Eduroam ChromeOS

Samsung NVR SRN-473S/873S/1673S Quick guide till web/app anslutning

Hemmanätverk. Av Jan Pihlgren. Innehåll

DOLD.SE. Installationsguide Mac OS

Konfigurationsdokument M1

Kursplaner för Administartör IT-System Innehåll

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

FJÄRRKOMMUNIKATION 3G

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Cisco AnyConnect installation på Windows 7

Installationsguide Windows 10

Ingate SIParator. Startguide. Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Per Johnsson

Installationsanvisning Bredband

Din manual NOKIA

Telia Connect för Windows

INSTALLATIONSGUIDE Com Hem WiFi Hub L1 Bredband Fastighet FiberLAN

Hjälp! Det fungerar inte.

Setup Internet Acess CSE-H55N

tillägg till AnvändarmANUAL För LarmSystemet Lansen Home Installera, Använda och Administrera

KARLSBORGS ENERGI AB FIBER INSTALLATIONSHANDBOK REV

Norman Endpoint Protection (NPRO) installationsguide

progecad NLM Användarhandledning

IP201 Svenska. Installationsanvisning

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Manuell import till Lime Pro

Installationsanvisning för Access Direct Bredbands Adapter - Till kortterminalen Xenta

Instruktion för integration mot CAS

Brandväggs-lösningar

Konfiguration E-Lins LTE450 för Net1

Planering och RA/DHCPv6 i detalj

Rebus e-postinställningar

Instruktion: Trådlöst nätverk för privata

Handbok för installation av programvara

1. Inkoppling till bredbandsnätet

Version 1.0 Januari Xerox Phaser 3635MFP Extensible Interface Platform

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Transkript:

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient...3 Certifikat...3 IPsec-certifikat...4 IPsec-motparter...4 IPsec-tunnlar...5 SIP genom IPsec...6 Nät och maskiner...7 Regler...7 Spara/Läsa inställningar...8 Konfigurera klienten...8 ii

Ingate Firewall/SIParator -version: > 4.6.2 Dokumentversion: 1.1 Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar från mobil klient Genom att sätta upp en IPsec-förbindelse mellan brandväggen/siparatorn och en mobil klient kan man använda servrar på kontoret hemifrån eller från exempelvis hotellrummet utan att trafiken går i klartext på Internet. För uppkopplingar med en mobil klient krävs det att man använder X.509-certifikat. Följ dessa steg för att sätta upp en IPSec-VPN-förbindelse till brandväggen/siparatorn. Certifikat Om man inte vill ladda upp varje klients certifikat kan man istället välja att lita på alla certifikat som signerats av en viss CA, eller lita på de certifikat som CA:n signerat och som dessutom har vissa uppgifter. Brandväggen måste då ha CA:ns certifikat, som laddas upp på sidan Certifikat. Ange ett namn för det CA-certifikat som laddas upp. Namnet används endast internt på brandväggen/siparatorn. Brandväggen måste ha ett X.509-certifikat för att autentisera sig mot klienten. Detta skapas också här. Skapa en ny rad i tabellen Privata certifikat, tryck på Skapa nytt och fyll i formuläret. De två sista fälten är enbart till för att kunna återkalla certifikatet. Det enklaste sättet att signera är att låta brandväggen/siparatorn själv göra det genom att trycka på knappen Skapa ett självsignerat X.509-certifikat. Det andra sättet att signera är att skapa en certifikatbegäran och låta en fristående CA signera certifikatet. I detta fall måste det signerade certifikatet sedan laddas in i brandväggen/siparatorn igen. 3

IPsec-certifikat Gå till sidan IPsec-certifikat under Virtuella Privata Nät och välj det certifikat som brandväggen/siparatorn ska använda för VPN-uppkopplingar. Här anger du också de CA som signerat certifikat för klienterna. IPsec-motparter Gå till sidan IPsec-motparter och ange mellan vilka IP-adresser VPN-tunneln ska upprättas och hur autentiseringen ska gå till. Välj På under Status och välj under Autentiseringstyp hur maskinerna ska autentisera sig. För mobila klienter krävs att man använder X.509-certifikat. För att använda certifikat krävs att man har tillgång till en CA-server (egen eller att man köper tjänsten) som kan signera andras certifikatbegäran. Om man har en egen CA-server kan man läsa in dess eget certifikat och sedan godkänna alla certifikat som signerats av denna server (valet Betrodd CA). Under Autentiseringsinfo laddar man upp certifikatet eller anger CA/DN beroende på vad man valt i fältet innan. Det certifikat som ska laddas in här ska vara den andra maskinens certifikat/certifikatuppgifter, inte brandväggen/siparatorns eget. 4

Välj under Lokal sida en publik IP-adress på brandväggen/siparatorn och under Bortre sida "*" för att ange att tunneln gäller en mobil klient. Sätt en livslängd på ISAKMP-nycklarna (IKE-nycklarna). Livslängden måste vara samma på båda maskinerna. X.509-certifikatet autentiserar den dator som kopplar upp sig. Det går att kräva att även användaren autentiserar sig, vilket görs mot en RADIUS-server. Detta går bara att göra om man har en RADIUS-server (brandväggen/siparatorn har ingen inbyggd sådan). Det kräver också att det finns en publik IP-adress på brandväggen/siparatorn med en ledig port. Välj i så fall På under RADIUS. IPsec-tunnlar Gå sedan till IPsec-tunnlar och ange vilka nät som ska utnyttja denna VPN-tunnel. I tabellen IPsec-nätverk definierar du det nätverk som kommer att använda VPN-tunneln. Definiera här det lokala nätverket (kontorsnätet). Om RADIUS används måste även autentiseringsserverns IP-adress finnas med i denna tabell, antingen i kontorsnätet eller som eget nät. Välj IPsec-motparten under Motpart. 5

Under Lokalt nätverk väljer du Nätverk under Adresstyp och under Nätverk det nätverk du definierade nedan, som är kopplat till brandväggen/siparatorn. Under Bortre nätverk finns följande alternativ: Den mobila klienten sitter omaskerad på Internet. Välj Bortre sidans adress som Adresstyp. Den mobila klienten sitter bakom en NAT:ande (maskerande) maskin och man vet vilket nätverk klienten sitter på. Då skriver man in detta nätverk i tabellen IPsec-nätverk. Välj i IPsec-tunnlar Nätverk, tillåt delmängd under Adresstyp och det nu definierade nätet under Nätverk. Det vanligaste är att man inte säkert vet IP-adressen i förväg (exempelvis för att klienten får sin IP-adress via DHCP). Man kanske också reser mycket och använder därför olika IP-adresser vid uppkopplingarna. Välj då Bortre/privat adress under Adresstyp. Detta gör att alla privata IP-adresser samt klientens publika adress tillåts för den mobila klienten. När man angivit Nätverk eller Nätverk, tillåt delmängd måste alla nätpar som ska kunna kommunicera med varandra via VPN-tunneln ha en egen rad. Sätt en livslängd på IPsec-nycklarna om du vill. Livslängden måste vara samma på båda maskinerna. Om man inte sätter någon livslängd här använder brandväggen/siparatorn den livslängd som den mobila klienten har. SIP genom IPsec Dessutom, för SIP att fungera över din IPsec-anslutningar behöver man en tunnel under IPsec tunnlar mellan klienten och publik IP-adress av brandväggen/siparatorn, dvs Lokal 6

sid adressen under IPsec Peers. Detta kräver en fas 2-anslutning i klienten (The Greenbow) också. Till Exempel: Om din DNS-pekare sip.abc.com uppslår till WAN IP av brandväggen/siparatorn måste man ha en tunnel mellan klienten och denna IP-adress. Det är så att alla SIP och RTP media genom B2BUA eller genom proxy är tillåten. Se till att The Road Warrior klienten har också en tunnel/fas 2 till den externa IP av brandväggen/siparatorn. Detta betyder "samma IP-adress som om & vpn01-kamrater, sida ". eventuellt en tunnel till ett nätverk eller undernät som innehåller den externa IP av brandväggen/siparatorn, dvs ett DMZ intervall. Den externa IP (eller DMZ intervall) av brandväggen/siparatorn är ett nätverk iipsec-nätverk tabellen. I IPsec-tunnlar tabell väljer nätverket enligt Adresstyp och välj det nätverk du nyss skapade under IPsec Nätverk. Nät och maskiner Gå till Nät och maskiner under Nätverk och se till att det finns nätgrupper för de nät som ska utnyttja VPN-tunneln. Detta behövs för att kunna göra regler som släpper fram VPN-trafiken. Det behövs inget nätverk för autentiseringsservern. Det nätverk som sitter på bortre sidan av VPN-tunneln (se VPN-nät i exemplet) måste ha "-" som Interface. Regler Gå till Regler under Regler och reläer för att skapa de regler som behövs för att släppa fram trafik genom VPN-tunneln. Den trafik som det inte finns regler för släpps inte fram, även om tunneln är uppe. Välj VPN-tunneln under Från VPN om Klient är nätet för den mobila klienten. Välj VPN-tunneln under Till VPN om Server är nätet för den mobila klienten. 7

Spara/Läsa inställningar Gå till sist till sidan Spara/Läsa inställningar under Administration och ta de nya inställningarna i drift genom att trycka på Ta i drift. När inställningarna har tagits i drift bör du också spara en kopia av dem. Tryck på Spara inställningarna i CLI-format för att spara konfigurationen. Konfigurera klienten Sedan ska också klienten konfigureras. Exakt hur detta går till beror naturligtvis på vilket klientprogram man använder. Se http://www.ingate.com/interaction.php för konfigurationsbeskrivningar för några olika VPN-klienter. Om man använder RADIUS måste användaren först surfa till autentiseringsserverns IP-adress och logga in där för att kunna använda VPN-tunneln. 8