Konfiguracja dostępu zdalnego z wykorzystaniem tunelu VPN pomiędzy SCALANCE S623 a SOFTNET Security Client 1. Wstęp W tym przykładzie, funkcja tunelu VPN konfigurowana będzie z wykorzystaniem widoku standard mode. Moduł zabezpieczeń i SOFTNET Security Client tworzą dwa punkty końcowe tunelu dla bezpiecznego połączenia tunelowego w sieci publicznej. Z tą konfiguracją, ruch IP jest możliwy tylko przez ustanowione połączenie tunelowe VPN pomiędzy dwoma autoryzowanymi partnerami. Wizualizacja połączenia: Internal Network sieć podłączona do interfejsu wewnętrznego modułu zabezpieczeń W tym przypadku, w sieci wewnętrznej, węzeł sieci reprezentowany jest przez komputer klasy PC podłączony do interfejsu wewnętrznego modułu zabezpieczeń. - PC1: Przedstawia węzeł sieci wewnętrznej Security module: Moduł SCALANCE S623 zabezpieczający sieć wewnętrzną External Network sieć podłączona do interfejsu zewnętrznego modułu zabezpieczeń Publiczna, zewnętrzna sieć jest podłączona do interfejsu zewnętrznego modułu zabezpieczeń. - PC2: PC z zainstalowanym Security Configuration Tool oraz oprogramowaniem SOFTNET Security Client służącym bezpiecznemu dostępowi do sieci wewnętrznej przez VPN. - PC3: PC testowy wykorzystywany przy drugiej fazie testowania
2. Konfiguracja IP urządzeń klasy PC PC Adres IP Maska podsieci Brama domyślna PC1 192.168.0.1 255.255.255.0 192.168.0.201 PC2 191.0.0.2 255.255.0.0 191.0.0.201 PC3 191.0.0.3 255.255.0.0 191.0.0.201 3. Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC1 2. Wybierz Project -> New z paska menu 3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przedzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (191.0.0.201), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.0.0) i potwierdź przyciskiem OK.. Uwaga! Jeżeli zamiast sieci LAN będziemy tworzyć tunel przez sieć WAN, wprowadź adres IP wewnętrznej podsieci routera DSL jako IP address ext.. We właściwościach modułu (Edit -> Properties), w zakładce VPN, w polu WAN IP address / FQDN wpisz publiczny adres IP dostarczony przez dostawcę usług Internetowych. Jeżeli używasz routera DSL jako bramy sieciowej, następujące porty muszą zostać przekserowane na adres IP modułu zabezpieczeń: Port 500 (ISAKMP) Port 4500 (NAT-T) 8. Z listy rozwijalnej Interface routing external/internal wybierz Routing mode i wprowadź następujące adresy dla interfejsu wewnętrznego modułu zabezpieczeń: IP address (int.): 192.168.0.201 Subnet mask (int.): 255.255.255.0 9. Naciśnij przycisk OK w celu zatwierdzenia zmian. 10. Skorzystaj ze skrótu klawiszowego Ctrl + M lub wybierz z paska menu Insert -> Module (W nowszych wersjach oprogramowania Software Security Client: Paste -> Module ) w celu dodania SOFTNET Security Client. 11. Wypełnij odpowiednie pola:
Product type: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x, VPN device) Module: SOFTNET Security Client Firmware release: V4 (jeżeli posiadasz starsze oprogramowanie, zaznacz wersję odpowiednią dla Twego oprogramowania) 12. Naciśnij przycisk OK. w celu zatwierdzenia zmian. 13. Zmień nazwę modułu nr 2 poprzez kliknięcie na niego prawym przyciskiem myszy w panelu nawigacyjnym i wybraniu opcji Rename z menu kontekstowego na SSC-PC2 W rezultacie powinniśmy otrzymać konfigurację odpowiadającą przedstawionej poniżej: 4. Konfiguracja grupy VPN Moduł zabezpieczeń oraz oprogramowanie SOFTNET Security Client mogą ustanowić tunel IPsec dla bezpiecznej komunikacji jeżeli są one przypisane do tej samej grupy VPN w projekcie. 1. Wybierz obiekt VPN groups z panelu nawigacyjnego i klikając prawym klawiszem myszy, z menu kontekstowego wybierz Insert group. 2. W panelu nawigacyjnym wybierz All modules 3. Wybierz moduł zabezpieczeń SCALANCE S623 i przeciągnij go do grupy VPN Group1 w panelu nawigacyjnym Moduł zabezpieczeń został przypisany do tej grupy VPN Kolor symbolu klucza zmienił kolor z szarego na niebieski 4. Wybierz moduł SOFTNET Security Client i przeciągnij go do grupy VPN Group1 w panelu nawigacyjnym Moduł zabezpieczeń również został przypisany do tej grupy VPN 5. Zapisz projekt korzystając ze skrótu klawiszowego Ctrl + S lub z paska menu wybierając Project -> Save.
5. Wgrywanie konfiguracji do modułu zabezpieczeń i zapisywanie konfiguracji SOFTNET Security Client 1. Wybierz z paska menu Transfer -> To all modules, co otworzy następujące okno dialogowe: 2. Wybierz wszystkie moduły klikając przycisk Select All 3. Rozpocznij wgrywanie naciskając przycisk Start. 4. Zapisz plik konfiguracyjny NazwaProjektu.SSC-PC2.dat w dowolnym miejscu i ustaw hasło dla prywatnego klucza certyfikatów Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W rezultacie moduł SCALANCE S623 działa produktywnie. Sygnalizowane jest to za pomocą zmiany koloru lampki Fault na zielony. 6. Ustanawianie połączenia tunelowego za pomocą SOFTNET Security Client 1. Zainstaluj i uruchom SOFTNET Security Client na PC2. 2. Naciśnij przycisk Load Configuration i wczytaj plik konfiguracyjny NazwaProjektu.SSC- PC2.dat 3. Wprowadź hasło dla prywatnego klucza certyfikatów i potwierdź przyciskiem Next
4. Zostaniesz zapytany czy powinny być aktywowane połączenia tunelowe dla wszystkich węzłów sieci wewnętrznej. Wyraź zgodę naciskając przycisk Yes. 5. Naciśnij przycisk Tunnel Overview. Tunel pomiędzy SCALANCE S623, a SOFTNET Security Client został ustanowiony. Status ten jest sygnalizowany zielonym kółkiem obok wpisu Module 1. W konsoli logowania przeglądu tunelu, pomiędzy innymi informacjami, wyświetlone są sekwencje wykonanych łączeń. Dzięki tej konfiguracji ustanowiliśmy bezpieczne połączenie tunelowe, które pozwala urządzeniom z zainstalowanym SOFTNET Security Client i odpowiednio skonfigurowanym plikiem konfiguracyjnym, dodatkowo zabezpieczonym hasłem, na dostęp do PC2 znajdującego się w sieci wewnętrznej, z sieci zewnętrznej. 7. Testowanie funkcjonalności tunelu VPN W jaki sposób można przetestować skonfigurowaną funkcjonalność? Można to zrobić poprzez komendę ping. Jako alternatywę, możesz również użyć innych programów komunikacyjnych, aby przetestować zaporę ogniową.
Uwaga! W systemach Windows, zapora ogniowa może zostać skonfigurowana w taki sposób, że komenda ping jest blokowana. Testowanie faza 1 1. Na PC2 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC2 do PC1 wpisując w wiersz poleceń ping 192.168.0.1 Pozytywna odpowiedź powinna wyglądać tak: W rezultacie, jeżeli pakiety dotarły do PC1, statystyki powinny wyglądać tak jak na załączonym zrzucie ekranu. W związku z tym, że żadna inna komunikacja nie jest dozwolona, pakiety te muszą zostać przetransportowane przez tunel VPN. Testowanie faza 2 Powtórz test wysyłając komendę ping z PC3: 1. Na PC3 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC3 do PC2 wpisując w wiersz poleceń ping 192.168.0.1 Negatywna odpowiedź powinna wyglądać tak: Pakiety z PC3 nie potrafią osiągnąć PC2 z powodu braku połączenia tunelowego pomiędzy tymi urządzeniami jak również dlatego, że normalny ruch IP jest zabroniony