IPSec w układzie Site-to-Site
Założenia
W przedstawionym przykładzie będziemy zestawiać tunel VPN IPSec pomiędzy dwoma lokalizacjami. W centrali firmy znajduje się urządzenie NETASQ UTM z adresem publicznym 83.15.192.111 i adresacją sieci wew. 192.168.10.0 z maską 255.255.255.0. Lokalizacja zdalna posiada router pfSense z adresem publicznym 89.77.51.111 i adresacją sieci wew. 192.168.1.0 z maską 255.255.255.0.
1.
Przed przystąpieniem do konfiguracji kanałów VPN możemy już zdefiniować elementy, które będą nam potrzebne na dalszym etapie konfiguracji. Nowymi obiektami, które musimy zdefiniować jest sieć w lokalizacji zdalnej, którą nazwiemy "LAN-pfSense" oraz host czyli adres publiczny routera, z którym będziemy zestawiać połączenie. W naszym przypadku hosta nazwaliśmy "IP-pfSense". W czasie definiowania kanału VPN mamy również możliwość dodawania potrzebnych obiektów. Opierając się na własnych doświadczeniach zalecamy jednak wcześniejsze definiowanie obiektów celem uniknięcia pomyłek.
2.
Konfigurację kanałów VPN IPSec wykonujemy w Unified Managerze w lewym menu, gdzie wchodzimy do sekcji VPN > IPSec Tunnels i poddajemy edycji jeden z dostępnych slotów. Po zakończeniu edycji w tym oknie również będziemy aktywować nasz nowy kanał VPN.
3.
Konfiguracja kanału IPSec VPN odbywa się za pomocą Wizarda, w którym w pierwszym kroku nadajemy nazwę dla naszego nowego kanału a w kolejnym definiujemy typ kanału. W naszym przypadku jest typu "Pre-Shared Key".
4.
W kolejnym kroku musimy zdefiniować punkty końcowe pomiędzy kanałami IPSec VPN. W naszym przypadku dla sieci z Netasq'iem podajemy obiekt Firewall_out a dla sieci zdalnej zdefiniowany wcześniej obiekt "IP-pfSense. W kroku czwartym definiujemy adresację sieci lokalnych, pomiędzy którymi będzie odbywał się ruch. W naszym przypadku dla sieci lokalnej wybieramy obiekt Network_in a dla sieci zdalnej "LAN-pfSense".
5.
6.
Kolejnym elementem wymagającym zdefiniowania dla fazy pierwszej połączenia IPSec jest wybór algorytmów szyfrujących. Zgodnie z założeniami połączeń IPSec VPN oba urządzenia muszą dysponować takim samem zestawem algorytmów. W naszym połączeniu zastosowaliśmy algorytmy "sha1" oraz "3des".
7.
Dla fazy drugiej połączenia IPSec definiujemy dopuszczalne algorytmy szyfrujące. Tutaj ponownie obowiązuje zasada, że oba urządzenia muszą dysponować takim samem zestawem algorytmów. Dla fazy drugiej możemy zdefiniować kilka dopuszczalnych algorytmów ale w naszym przypadku ograniczyliśmy się ponownie do "sha1" oraz "3des".
8.
Po ustawieniu wszystkich parametrów zgodnie z powyższą instrukcją, nie pozostaje nam nic innego jak zapisać naszą konfigurację i aktywować slot zawierający nowy kanał VPN IPSec.
9.
Bardzo ważnym elementem, o którym musimy bezwzględnie pamiętać, jest skonfigurowanie zasad filtrowania ruchu dla kanałów IPSec. W opcji Policy -> Filtering edytujemy dowolny slot i tworzymy reguły zezwalające na połączenia przy wykorzystaniu IPSec VPN według prezentowanego przykładu.
10.
W przykładzie omówimy zestawienie połączenia VPN IPSec pomiędzy Netasq UTM a programowym routerem pfSense. Analogicznie można konfigurować połączenia z innymi rozwiązaniami, które obsługują standard IPSec. Należy zwrócić uwagę, aby w parametrach konfiguracyjnych drugiej strony kanału IPSec wszystkie algorytmy szyfrowania były pomiędzy sobą zgodne. W fazie pierwszej Negotiation mode przyjęliśmy jako "aggressive" i co najważniejsze parametr "Pre-Shared Key" musi zawierać ten sam ciąg znaków w obu konfiguracjach.
11.
Teraz nie pozostaje nam nic innego jak wykonać próbę zestawienia połączenia szyfrowanego pomiędzy naszym Netasq'iem a pfSense. Dla testu wystarczy wykonać komendę ping na adres IP znajdujący się w drugiej sieci.
12.
Status kanału VPN IPSec możemy sprawdzić w Real Time Monitor.
