Vigor 2900 Vigor 3300 konfiguracja połączenia LAN-LAN (IPSec)

Transkrypt

1 Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, oraz że wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na komputerach, maski, bramy, DNS itd). Zajmujemy się wyłącznie komunikacją VPN. Przykład posługuje się modelem Vigor 2900 pracującym w oddziale firmy, jednak należy zaznaczyć, że konfiguracja ma zastosowanie do wszystkich modeli DrayTek. Mogą wystąpić najwyżej drobne różnice w wyglądzie zrzutów ekranu (kolorystyka i układ menu), natomiast sam wygląd i zbiór parametrów wewnątrz ustawień VPN powinny być podobne lub identyczne niezależnie czy mamy do czynienia z routerem ADSL czy WAN Ethernet. Uwaga! Przykład zakłada, że routery posiadają wersje oprogramowania nie starsze niż pokazane na rysunku. Przed przystąpieniem do konfiguracji należy sprawdzić wersję firmware i dokonać aktualizacji do wersji najnowszej dostępnej na serwerze ftp://ftp.draytek.pl. Wstęp - założenia DrayTek Vigor 2900 oddział firmy: adres podsieci LAN/maska: / adres własny interfejsu LAN (1 st LAN IP): adres interfejsu WAN (statyczny): DrayTek Vigor 3300 centrala firmy: adres podsieci LAN/maska: / adres własny interfejsu LAN: adres WAN (statyczny): Parametry IPSec: zakładamy stałe adresy IP po obu stronach stosujemy tryb główny IKE (Vigor 3300 nie obsługuje obecnie trybu agresywnego) stosujemy uwierzytelnianie metodą PresharedKey (master123) stosujemy identyfikatory IKE w postaci publicznych adresów IP obu routerów zakładamy wymaganie ciągłej dostępności tunelu oraz automatyczną renegocjację w momencie awarii łącza przyjmujemy protokół ESP, algorytmy 3DES+MD-5 i grupa DH-2 dla 1 fazy IKE, oraz AES+SHA-1 dla 2 fazy IKE zakładamy domyślne czasy dla skojarzeń SA w obu fazach IKE

2 Część I - router Vigor Wchodzimy do menu VPN->IPSec->Policy Table: i wybieramy pierwszy dostępny profil połączenia (klikając na numer, następnie Edit): Wewnątrz profilu mamy dostęp do części grupującej parametry ogólne (Default) oraz zaawansowane (Advamced). 2. W parametrach ogólnych wybieramy ustawienia zgodne z następnym rysunkiem: Name:dowolna nazwa opisująca połączenie Authentication: PresharedKey PresharedKey: wpisujemy master123 (docelowo klucz wstępny powinien zawierać przynajmniej kilkanaście przypadkowych znaków) Security Protocol: wybieramy ESP (tryb AH nie realizuje szyfrowania) Admin Status: wybieramy Enable Uwaga! Dzięki ustawienu Enable Vigor 3300 będzie gotów zarówno na odbiór wywołania jak i inicjację tunelu na żądanie. Opcja Always On spowoduje, że router będzie stale ponawiał inicjację, co może zakłócić proces obsługi inicjacji realizowanej przez Vigor Ponieważ zakładamy utrzymanie stałej łączności w tunelu, najlepiej będzie pozostawić inicjatywę routerowi w oddziale zarówno w kwestii stałego utrzymywania jak i wykrywania awarii w łączności i automatycznej odbudowy tunelu. Praktyka dowodzi, że w przypadku sprzętu DrayTek taka konfiguracja gwarantuje wysoką,, nieprzerwaną dostępność tunelu IPSec i jego samonaprawę.

3 Dalej - w sekcji Local Gateway mamy: WAN Interface router posiada aż 4 interfejsy WAN, dlatego dla usług takich jak VoIP czy VPN wybieramy konkretny interfejs, przez który router obsłuży daną komunikację. Można dzięki temu rozłożyć VoIP i VPN na osobne linie dostępowe, czy też rozłożyć wiele tuneli na osobne linie WAN dla zaoferowania większego pasma VPN oddalonym oddziałom i klientom VPN. Dzieje się to niezależnie od ustawionej polityki Load Balancing pracującej dynamicznie i rozkładającej sesje NAT na rożne linie dostępowe/trasy domyślne. Local Certificate: w naszym przykładzie pozostawiamy puste (pole wyboru certyfikatu jest nieaktywne, ponieważ wybraliśmy uwierzytelnianie metodą PresharedKey a nie podpisem cyfrowym). Security Gateway: dotyczy wewnętrznej adresacji WAN dla tunelu IPSec (wskazuje i ustanawia w tablicy routingu formalną bramę do zdalnej podsieci LAN). W przypadku dwóch routerów DrayTek pozostawiamy slowo default Vigor wykorzysta adres publiczny (powieli go) w celu dokonania tego formalnego zabiegu. Network IP/Subnet Mask: wpisujemy lokalną podsieć do której prowadzi tunel i jej maskę (formalnie wpis służy wskazaniu zakresu adresów lokalnych podlegających ochronie w ramach tworzonego skojarzenia SA, i stanowi wpis w bazie SPD protokołu IPSec). Uwaga! Jeżeli za routerem znajduje się więcej podsieci IP i mają one ciągłą adresację (np /24, /24 ) można zestawić jeden tunel IPSec obejmujący ruch do wszystkich podsieci stosując w tym polu wpis: /16 (obejmuje pakiety adresowane na hosty x.x znajdujące się lokalnie za routerem 3300). Oczywiście Vigor 3300 musi posiadać routing do tych lokalnych podsieci, ponieważ sam obsługuje tylko 2 bezpośrednio podłączone podsieci LAN. Next hop: tutaj można wpisać dodatkową bramę alternatywną leżącą w podsieci WAN, aby tunel był kierowany przez tę bramę zamiast przez bramę domyślną ustawioną dla danego WAN. Stosując słowo default w naszym przypadku, ruch IPSec do adresu

4 docelowego (router V2900) będzie kierowany przez bramę ustawioną dla interfejsu WAN1. Jednak posiadając odrebną bramę np , moglibyśmy skierować tunel przez osobne łącze WAN na zasadzie trasy statycznej dla tego tunelu IPSec. Dalej - w sekcji Remote Gateway mamy: Remote ID: identyfikator strony zdalnej wykorzystywany przez mechanizmy protokołu IKE. Jawny identyfikator wpisujemy tylko wtedy, gdy stosujemy certyfikat jako metodę uwierzytelniania, w naszym przykładzie stosujemy PresharedKey w trybie głównym IKE oraz mamy stałe adresy IP, zatem router zdalny V2900 wykorzysta swój adres WAN IP jako identyfikator i nic nie trzeba wpisywać. Adres ten podajemy routerowi 3300 poniżej w polu Security Gateway, i router na jego podstawie identyfikuje zdalny gateway IPsec. DHCP-over-IPSec: jest to stosunkowo nowa opcja realizacji przydziału adresów IP dla komunikacji wewnątrz tunelu przez protokół DHCP. Jest ona właściwa tylko dla trybu dostępu Host-to-LAN (zdalny klient) a nie dla trybu LAN-to-LAN (dwa routery) i wymaga specjalnej implementacji protokołu IKE. Security Gateway: adres publiczny dalnego partnera (gateway VPN). Wpisujemy adres WAN routera Vigor 2900 pracującego w oddziale firmy. Uwaga! Jeżeli mamy do czynienia z adresem zmiennym po drugiej stronie, wpisujemy tutaj Inicjacja jest wówczas możliwa tylko przez router zdalny do routera 3300, nie w drugą stronę. Jest to opcja konieczna dla klientów IPSec zmieniających lokalizację. Zaleca się wówczas stosowanie uwierzytelniania klienta certyfikatem (podpis cyfrowy RSA) i stosowanie jawnego identyfikatora ID w postaci tekstu zamiast adresu IP strony zdalnej. Network IP/Subnet Mask: wpisujemy zdalną podsieć IP, do której prowadzi tunel i jej maskę (formalnie wpis służy wskazaniu zakresu adresów IP podlegających ochronie w ramach tworzonego skojarzenia SA, i stanowi wpis w bazie SPD protokołu IPSec oraz tworzy trasę do odległej podsieci w tablicy routingu routera 3300 przez interfejs IPSec). 3. Przechodzimy teraz do obszaru ustawień zaawansowanych (Advamced), klikając zakładkę u góry. Wewnątrz tego obszaru wybieramy parametry zabezpieczeń: IKE Phase 1 (main mode): dla fazy 1 IKE musimy tak skonstruować pole Proposal, aby na pierwszej pozycji uzyskać opcję: 3DES-dm5-modp1024 (wartość 1024 bitów wykładnika oznacza drugą grupę DH) KeyLiftime: pozostawiamy domyślną wartość czasu życia SA w 1 fazie IKE IKE Phase 2 (quick mode): proposal dla fazy 2 IKE obejmuje negocjację parametrów służących właściwej ochronie danych w tunelu, ustawiamy szyfrowanie AES i uwierzytelnianie SHA-1

5 KeyLiftime: pozostawiamy domyślną wartość czasu życia SA w 2 fazie IKE PFS: chociaż funkcja Perfect Forward Secrecy jest obsługiwana przez wszystkie modele DrayTek, nie używamy jej w przykładzie dla uproszczenia konfiguracji po obu stronach. Funkcja ta koordynuje operacje zachodzące w obu fazach IKE dla dodatkowego zwiększenia poziomu bezpieczeństwa kluczy szyfrujących. Dead Peer Detection: jest to mechanizm pozwalający na wykrycie niedostępności skojarzeń SA po drugiej stronie tunelu (bądź niedostępności samej łączności sieciowej) co umożliwia automatyczne porzucenie i renegocjację lokalnych skojarzeń SA i uniknięcie stanu zawieszenia. W naszym przykładzie tę inicjatywę przekazujemy routerowi Vigor Na koniec zatwierdzamy konfigurację całego profilu połączenia klikając Apply (Zastosuj) na dole strony. I na liście połączeń widzimy naszą definicję tunelu z adresacją prywatną i publiczną oraz statusem: Część II - router Vigor 2900 W menu głównym wybieramy pozycję VPN and Remote Access Setup:

6 Następnie przechodzimy do menu LAN-to-LAN Profile Setup. Na liście profili połączeń LAN-LAN wybieramy pierwszy wolny profil (klikając na numer). Uwaga! W routerze Vigor 2900 cała definicja połączenia LAN-LAN zawiera się w jednym rozbudowanym profilu, podzielonym na sekcje. Profil obejmuje też wszelkie protokoły VPN wspierane przez router (IPSec, L2TP, PPTP), dlatego zawiera wiele parametrów nie wykorzystywanych akurat w IPSec. Dlatego ustawienia na które nie zwracamy uwagi dalej traktujemy jako nieistotne w przykładzie lub nie tyczące IPSec (np. opcje user/password i PAP/CHAP dotyczą tylko PPTP i L2TP). 1. Sekcja Common Settings: włączamy profil i nadajemy mu nazwę (jest to dowolna nazwa połączenia) określamy, że tunel będzie inicjowany zawsze przez router V2900 i zaznaczamy Always On (przy opcji Always On router przejmuje inicjatywę i obowiązek utrzymywania tunelu stale aktywnego, jednocześnie narzucając kierunek Dial-Out zdalny router nie zainicjuje połączenia dla zachowania jednoznaczności mechanizmu badania łącza) Idle Timeout - określamy czas nieaktywności dla rozłączenia tunelu (brak ruchu między sieciami) jednak po wybraniu Always On pozycja zostaje zmieniona na wartość -1 (nieskończoność) PING to keep alive - włączamy i podajemy adres IP leżący w sieci LAN po drugiej stronie tunelu. Adres ten powinien być zawsze osiągalny i odpowiadać na żądanie echa icmp (ping), a więc wybieramy hosta typu serwer, inny router itp. Można też podać adres własny LAN routera Vigor 3300 po upewnieniu się, że odpowiada na ping poprzez tunel. Jest to skuteczny mechanizm stwierdzenia nieosiągalności tunelu po awarii łącza, co pozwala natychmiast porzucić lokalne parametry SA i rozpocząć negocjacje tunelu od nowa. Inaczej blokada przedawnionych SA może uniemożliwić regenerację tunelu po awarii do czasu wygaśnięcia S.A. w obu fazach IKE lub ręcznego restartu tunelu przez administratora. Uwaga! Aby router 3300 odpowiadał na ping poprzez tunel VPN należy włączyć opcję odpowiadana na ping od strony interfejsu LAN, ale także WAN (menu Access Control).

7 2. Sekcja Dial-Out Settings ustawienia dla inicjacji tunelu przez router Vigor 2900 do routera Vigor 3300: Jako protokół VPN wybieramy: IPSec Tunnel W polu Server IP wskazujemy adres publiczny WAN odległego routera 3300 Jako metodę zabezpieczeń wybieramy opcję ESP i wskazujemy algorytmy dla fazy 2 IKE: AES with Authentication Uwaga! Vigor w fazie 2 IKE domyślnie zawsze proponuje silniejszą funkcję haszującą (SHA-1), dopiero po jej odrzuceniu przez zdalny gateway zaproponuje MD-5. Dlatego po wybraniu AES with Authentication nastąpią propozycje: AES+SHA-1, a następnie AES+MD-5. W niektórych modelach DrayTek sytuację tą można już zmienić wchodząc w menu Advanced (nie we wszystkich, i zależnie od wersji firmware patrz dalej). Natomiast algorytmy tworzące proposal dla fazy 1 IKE można jawnie edytować tylko w menu Advanced (również patrz dalej). W menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master123 (należy wpisać dwukrotnie i zatwierdzić). Klikami menu Advanced i wypełniamy zgodnie z rysunkiem poniżej: wybieramy parametry negocjacji (proposal) dla pierwszej fazy IKE: tryb główny (Main Mode), algorytmy 3DES i MD-5 oraz grupę DH2 (w Vigor 2900 oznaczana jako G2) w zależności od modelu routera Vigor i wersji firmware możemy jawnie wybrać postać proposal dla drugiej fazy IKE: algorytmy AES i SHA-1 (o ile pole IKE phase 2 proposal jest obecne patrz poprzednia uwaga)

8 pozostawiamy domyślną wartość IKE key lifetime - czas obowiązywania skojarzeń SA dla obu faz IKE nie wypełniamy jawnie pola Local ID - jako lokalny identyfikator router użyje swojego adresu WAN IP wyłączamy PFS (Disable) patrz wcześniej komentarz do konfiguracji Vigor 3300 zatwierdzamy OK. 3. Sekcja Dial-In Settings - ustawienia dotyczą sytuacji obsługi wywołania inicjowanego przez router zdalny. W przykładzie stroną inicjującą jest zawsze router Vigor 2900 (dla jednoznacznej i sprawnej regeneracji tunelu), a więc nie sekcja ta nie musi i nie będzie konfigurowana. Dla informacji (gdyby router 2900 miał odbierać połączenie jako serwer VPN): wybieramy IPSec Tunnel jako akceptowalny protokół VPN wskazujemy spod jakiego adresu IP można inicjować tunel (adres publiczny routera ZyWall) w menu IKE Pre-Shared Key podajemy klucz IKE identyczny z hasłem wpisanym w Zyxel u: master753 (należy wpisać dwukrotnie i zatwierdzić) Jako metodę zabezpieczeń wybieramy opcję ESP i wskazujemy algorytm dla fazy 2 IKE: AES Uwaga! DrayTek zaakceptuje obie funkcje laszujące, zarówno SHA-1 jak i MD-5. Wymuszenie konkretnej funkcji zależy od strony inicjującej połączenie (od postaci proposal w fazie 2 IKE. 4. Sekcja TCP/IP Network Settings - ustawienia związane z adresacją IP dla tunelu IPSec pomiędzy routerami: Remote Network IP podsieć LAN zdalnego routera Vigor 3300 (podsieć docelowa w sensie routingu) Remote Network Mask maska podsieci zdalnej For NAT operation - zaznaczamy Private IP jeżeli poprzez tunel łączymy podsieć pierwszą LAN routera Vigor 2900 i nie chcemy stosować translacji NAT wewnątrz tunelu. W wypadku łączenia drugiej podsieci lokalnej wybieramy Public IP. wyłączamy protokół RIP (Disable) wewnątrz tunelu Zatwierdzamy całość konfiguracji kliknięciem OK.

9 W przedstawionej konfiguracji połączenie powinno funkcjonować poprawnie i podlegać stałej odbudowie na wypadek awarii łącza. W sytuacji stabilnych łączy do Internetu w obu lokalizacjach przerwa w komunikacji praktycznie nie powinna występować. W wypadku awarii i przywrócenia komunikacji sieciowej, średni czas odbudowy tunelu nie powinien przekraczać kilku-kilkunastu sekund. DrayTek Polska support@draytek.pl Piotr Ponitka Inżynier systemów sieciowych BRINET Sp. z o. o. p.ponitka@brinet.pl p.ponitka@draytek.pl