bintec VPN5 i bintec X2301



Podobne dokumenty
Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

W menu PPP zmieniamy globalne, domyślne parametry dla połączeń według rysunku i zatwierdzamy SAVE.

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

VPN IPSec LAN-LAN pomiędzy routerami serii: Vigor 2700 oraz Vigor 2910

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

4. Podstawowa konfiguracja

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja aplikacji ZyXEL Remote Security Client:

BRINET Sp. z o. o.

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Vigor 2900 Vigor 3300 konfiguracja połączenia LAN-LAN (IPSec)

PODŁĄCZENIE I KONFIGURACJA BRAMKI VoIP LINKSYS PAP2T

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

DESlock+ szybki start

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

12. Wirtualne sieci prywatne (VPN)

Konfiguracja routera ADSL ZyXEL Prestige 660H/HW do usług dostępu do Internetu: Neostrada (TPSA) Net24 (Netia) DialNet DSL (Dialog)

podstawowa obsługa panelu administracyjnego

Instrukcja konfiguracji rejestratorów BCS. do pracy w sieci oraz programu PSS v.4.05

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

BRINET Sp. z o. o.

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Konfiguracja własnego routera LAN/WLAN

Vigor 2900 Asmax BR-408V II - przykład VPN (tunel IPSec) I. WPROWADZENIE

Konfiguracja połączenia sieciowego w menu dekoderów.

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Połączenie LAN-LAN ISDN

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Laboratorium Ericsson HIS NAE SR-16

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

ABA-X3 PXES v Podręczna instrukcja administratora. FUNKCJE SIECIOWE Licencja FDL (bez prawa wprowadzania zmian)

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

1.1 Podłączenie Montaż Biurko Montaż naścienny... 4

Kasowanie domyślnej konfiguracji Konfiguracja wstępna. Nadanie adresu IP i bramy domyślnej Konfiguracja nowego hotspota...

Router Vigor jako serwer/gateway VPN

Konwerter sieciowy RCP48LS

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych.

Połączenie VPN Host-LAN PPTP z przypisaniem IP. 1. Konfiguracja serwera VPN 1.1. Metoda 1 (nowsze urządzenia) 1.2. Metoda 2 (starsze urządzenia)

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Instrukcja oryginalna Urządzenie posiada oznaczenie MODUŁ KOMUNIKACYJNY CENTRAL WENTYLACYJNYCH. WebManipulator

Laboratorium - Konfiguracja routera bezprzewodowego w Windows 7

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Konfiguracja podglądu obrazu z kamery IP / rejestratora BCS przez sieć LAN.

11. Autoryzacja użytkowników

Instrukcja instalacji routera Vigor 2900/2900i/2900G/2900Gi

Instalacja i uruchomienie usługi telefonii internetowej HaloNet dla FRITZ!Box Fon WLAN 7170

Konfiguracja dostępu zdalnego z wykorzystaniem tunelu VPN pomiędzy SCALANCE S623 a SOFTNET Security Client

Bezpieczeństwo systemów informatycznych

Instalacja. Podłączenie urządzenia. Wyłącz wszystkie urządzenia sieciowe (komputer, modem i router).

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

1. Montaż i podłączenie do sieci Konfiguracja przez stronę 8

Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.

podstawowa obsługa panelu administracyjnego

Połączenie VPN LAN-LAN PPTP

INSTRUKCJA O B S Ł U G I

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

Podstawowa konfiguracja routera TP-Link WR740N

Podłączenie urządzenia. W trakcie konfiguracji routera należy korzystać wyłącznie z przewodowego połączenia sieciowego.

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

Instrukcja konfiguracji. Instrukcja konfiguracji ustawień routera TP-Link dla użytkownika sieci POGODNA.NET

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Artykuł sponsorowany przez

Asmax AR-901/1004-G-E-I

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

N150 Router WiFi (N150R)

Telefon AT 530 szybki start.

Vigor 2900 Nortel VPN router (tunel IPSec) I. WPROWADZENIE

Przygotowanie urządzenia:

Zakresy prywatnych adresów IPv4: / / /24

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Telefon IP 620 szybki start.

Moduł komunikacyjny MME42 IOT - Instrukcja Obsługi - Informacja Techniczna

Instrukcja instalacji Encore ADSL 2 + WIG

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Transkrypt:

bintec VPN5 i bintec X2301 konfiguracja połączenia IPSec pomiędzy centralą firmy (TP DSL) i oddziałem (Neostrada+Dynamic DNS) Routery Bintec, oprócz rzadkiej elastyczności w postaci obsługi wielu podsieci LAN i łączy WAN, charakteryzują się wyjątkowym podejściem do implementacji IPSec. Niezależnie bowiem od ceny/wydajności/liczby tuneli, wszystkie modele zostały wyposażone w ten sam wachlarz opcji, tworzących najwyższej jakości implementację protokołu IPSec (high-end IPSec). Dotyczy to modeli realizujących 100, 250 i 1000 tuneli, ale także podstawowych modeli SOHO dla linii ADSL, co w przypadku tych ostatnich jest czymś niezwykle rzadkim na rynku. Na ową atrakcyjność składa się uwierzytelnianie podpisem cyfrowym RSA/DSA z wykorzystaniem certyfikatów X.509, szeroki wybór algorytmów szyfrujących, od standardów DES/3DES i AES256, po rzadko implementowane Blowfish, Twofish, CAST itd., oraz opcjonalna kompresja IPCOMP zwiększająca pasmo w tunelu nawet o kilkadziesiąt procent. Uzupełnienie stanowi mechanizm QoS dla zarządzania pasmem VPN, filtrowanie ruchu w sieci VPN, wykorzystanie kilku łączy WAN (Load Balancing) dla VPN. Są to cechy nawet najprostszych modeli Bintec, stanowiące o możliwości ich zastosowania w pojedynczej instalacji oraz w dużym projekcie VPN, gdzie pracują także rozwiązania innych producentów oraz rozwiązania softwareowe. Bintec IPSec oferuje też wyjątkowo dopracowane metody obsługi zmieniających się publicznych adresów IP (Neostrada, ISDN itp.). Jest to rozbudowana implementacja mechanizmów Dynamic DNS oraz dodatkowe opcje uwierzytelniania adresów IP w kanale ISDN (twz. IPSec Callback z wykorzystaniem kanału D lub B). Artykuł pokazuje podstawową konfigurację tunelu IPSec pomiędzy dwoma lokalizacjami firmy. Do dyspozycji mamy: Centrala firmy łącze typu TP DSL ze stałym adresem IP i router Bintec VPN Access 5 Oddział firmy dostęp ADSL typu Neostrada/Net24 i router Bintec X2301/X2302/X2301w/X2302w (zintegrowany modem ADSL) Centrala publiczny, stały adres IP: 83.18.248.122, maska 255.255.255.252 i brama 83.18.248.121 Oddział publiczny, zmienny adres IP i konto na serwerze DynDNS (nazwa hosta: x2301.dnsalias.com) Centrala prywatny adres LAN routera: 192.168.20.254/255.255.255.0 Oddział prywatny adres LAN routera: 192.168.10.254/255.255.255.0 Ponadto zakładamy m.in. takie parametry IPSec: Klucz wstępny IKE (Preshared Key): psk (dla testu zaleca się wybrać prosty klucz, jednak docelowo powinien on zawierać co najmniej 20-30 przypadkowych znaków) Protokół IKE pracuje w trybie agresywnym W obu fazach IKE algorytmy AES/MD-5, protokół ESP, brak kompresji danych tunel może być inicjowany z obu stron (tzn. przez oba routery) na żądanie hosta Uwaga! Artykuł zakłada, że obie lokalizacje posiadają już poprawnie skonfigurowany dostęp do Internetu z włączoną translacją NAT na interfejsie publicznym, oraz prawidłową adresację w sieci LAN (według podanych powyej założeń). W razie problemów należy zatem skorzystać z osobnych artykułów poświęconych konfiguracji dostępu typu Neostrada (X2301/X2301w) i Net24 (X2302/X2302w), jak i DSL TP (VPN Access 5). Aby uzyskać dostęp do konfiguracji, najlepiej zainstalować z płyty CD oprogramowanie BRICKware, podłączyć kabel konsoli pod port COM1 w komputerze i wybrać opcję Start->Programy->BRICKware->Device At COM1. Otworzy się okno domyślnego terminala (np. Hyperterminal) z gotowymi ustawieniami połączenia dla portu konsoli. Naciskamy <Enter> i podajemy parametry 1

logowania (fabrycznie login: admin, password: bintec). Uwaga! Do konfiguracji urządzenia można też dostać się terminalem Telnet oraz przeglądarką http (domyślny adres IP: 192.168.0.254, login: admin/password: bintec). Komputer musi w tym celu posiadać odpowiedni adres z podsieci 192.168.0.0/24, np. 192.168.0.10. Adres należy przypisać statycznie, gdyż serwer DHCP nie jest aktywny domyślnie. Przed przystąpieniem do dalszej konfiguracji należy koniecznie zadbać o to, aby routery posiadały najnowsze oprogramowanie systemowe. Weryfikacji wersji oprogramowania dokonujemy komendą swversion: Uwaga! Najnowsze wersje oprogramowania wraz z opisem procesu aktualizacji można uzyskać w serwisie producenta www.funkwerk-ec.pl. Np. niniejszy opis zakłada, że router X3301 posiada oprogramowanie 7.2 Rev. 2 Patch 1 z dnia 2005.09.13, oraz aktualny plik Country Profiles (szczegóły w serwisie producenta). Router X2301/X2302 - konfiguracja połączenia IPSec Po zalogowaniu wywołujemy pseudo-graficzny program konfiguracyjny poleceniem setup + <Enter> i przechodzimy do konfiguracji połączenia IPSec: Uwaga! Jeżeli w menu głównym konfiguratora nie występuje pozycja IPSec, może to oznaczać brak odpowiedniej licencji. Darmowa licencja na 2 tunele jest zawarta w oprogramowaniu, należy tylko zadbać o wgranie odpowiedniej jego wersji do routera X2301/X2302 (www.funkwerk-ec.com). Jeżeli po wybraniu opcji IPSec router nie uruchomi specjalnego kreatora konfiguracji IPSec, uruchamiamy go ręcznie wybierając opcję Wizard wewnątrz menu IPSec. Odpowiadamy Yes na pytanie o uruchomienie kreatora. Ustawiamy spacją opcję start wizard i zatwierdzamy <Enter>: 2

Zatwierdzamy Preshared Key jako metodę uwierzytelniania (Enter): Wybieramy lokalny identyfikator dla tunelu. W przykładzie wpisujemy nazwę DynDNS routera. Naciskamy <Enter>. Uwaga! Zakładamy, że router posiada poprawnie skonfigurowanego klienta Dynamic DNS dla nazwy FQDN X2301.dnsalias.com (konto u providera DynDNS www.dyndns.com). Po fazie konfiguracji wstępnej kreator rozpoczyna się proces konfiguracji danych związanych z drugą stroną połączenia: Naciskamy Enter i przechodzimy do definicji parametrów określających stronę odległą: Description: stanowi dowolny opis (przydatne, kiedy posiadamy wiele połączeń) Peer Address: oficjalny, publiczny adres IP odległego routera VPN-5. Jeżeli druga strona nie posiada stałego IP ani nazwy DynDNS, musimy tutaj wpisać 0.0.0.0 celem zaakceptowania każdego adresu źródłowego podczas inicjacji. Pole Peer Address może tez zawierać nazwę DNS routera odległego, jeżeli jest ona skonfigurowana w systemie DNS/Dynamic DNS. Peer IDs: musi być zgodne z wpisem Local ID dla odpowiedniego profilu połączenia w routerze zdalnym Pre Shared Key: zaleca się w fazie testu użyć prostego słowa, np. psk, jednak po poprawnym uruchomieniu połączenia należy koniecznie zmienić na ciąg długości min. 20-30 przypadkowych znaków. Postać klucza musi być identyczna w obu routerach, inaczej pierwsza faza IKE zakończy się błędem autoryzacji. Dlatego klucz musimy wpisać dwa razy celem weryfikacji i wykluczenia pomyłki. Virtual Interface: tutaj określamy podstawową zasadę, według której selekcjonowany będzie ruch podlegający wynegocjowanym zabezpieczeniom SA dla tego właśnie tunelu IPSec. W przykładzie posługujemy się ideą wirtualnego interfejsu. Tunel IPSec jest tu traktowany jako wirtualny interfejs WAN z własnym adresem IP, i może brać udział w routingu/translacji NAT itp. tak jak interfejs fizyczny. Zatem decyzja o zaszyfrowaniu pakietu zachodzi po stwierdzeniu na poziomie routingu, że pakiet musi zostać wysłany przez dany interfejs WAN gdyż jest przeznaczony do sieci 192.168.20.0/24, osiągalnej właśne poprzez ten interfejs (patrz dalej). Rezygnacja z opcji Virtual Interface wymusza użycie innej koncepcji wyznaczania ruchu w tunelu, koncepcji filtrowania ruchu. Tworzy się wówczas reguły filtru, z adresami źródłowymi/docelowymi, portami itd. Jest to metoda starsza i rzadko stosowana w trybie tunelu. Wybieramy Yes i zapisujemy całość SAVE. Ponieważ wybraliśmy wirtualny interfejs IP, kreator proponuje jego konfigurację. Zatwierdzamy Enter. 3

Stajemy przed wyborem opcji podstawowych i zaawansowanych. Wybieramy Basic IP-Settings: Ponieważ tunel będzie reprezentowany przez oddzielny interfejs IP, wymagana jest jego konfiguracja, oraz konfiguracja routingu do sieci zdalnej przez ten interfejs: Remote IP Address/ Netmask: jest definicją statycznej trasy dodawanej do tabeli routingu, i informującej router że dana podsieć jest osiągalna przez wirtualny interfejs stworzony dla reprezentacji tunelu. Każdy pakiet, który jest przesyłany przez interfejs podlega wynegocjowanym zasadom ochrony IPSec, jednak najpierw zachodzi decyzja odnośnie routingu. Dlatego podajemy tutaj adres odległej podsieci, z którą zamierzamy się połączyć dla uzyskania routingu przez tunel. Po zapisaniu zmian SAVE, przechodzimy do ostatniego kroku kreatora. Naciskamy Enter aby pominąć zapisanie raportu kreatora (zatwierdzamy polecenie dump messages): Ostatecznie opuszczamy kreator unikając jego ponownego uruchomienia przechodzimy strzałką do pozycji EXIT i naciskamy Enter: 4

Resztę konfiguracji wykonujemy ręcznie. W menu odpowiadającym IPSec wybieramy opcję Configure Pers. Na liście skonfigurowanych połączeń odnajdujemy stworzony przez nas profil o nazwie to_dsl i po jego zaznaczeniu naciskamy <Enter>: W ramach ustawień konkretnego połączenia wybieramy Peer specific settings i przechodzimy do obszaru pozwalającego przypisywać do bieżącego tunelu indywidualne profile zabezpieczeń. Można wykorzystać profile stworzone automatycznie przez kreator, bądź tworzyć własne, odpowiadające indywidualnym preferencjom dla danego tunelu. Profile zabezpieczeń to zbiory szczegółowych parametrów, predefiniowane osobno dla obu faz protokołu IKE. Po stworzeniu, mogą być wykorzystywane przez jeden lub wiele niezależnych tuneli wymagających wspólnej polityki zabezpieczeń. Router przechowuje dwie globalne listy profili dla obu faz IKE. Wchodzimy kolejno na obie listy (oznaczone dalej różnymi kolorami), aby wykreować własne profile IKE. Na liście dla fazy 1 IKE (kolor czerwony) wybieramy ADD celem dodania nowego profilu zabezpieczeń. 5

Wybieramy parametry dla 1 fazy IKE: szyfrowanie AES/autentykacja MD- 5 grupa wymiany DH: 2 metoda uwierzytelniania: preshared key tryb IKE: aggressive only włączamy Heartbeats (mechanizm Dead Peer Detection opracowany dla routerów Bintec) Local ID: nazwa FQDN routera Nat-Traversal: wyłączamy włączone oznacza dodatkowe tunelowanie z wykorzystaniem UDP pozwalające pokonać ograniczenia związane z translacją NAT pomiędzy końcami tunelu Zatwierdzamy zmiany SAVE. Nowo zdefiniowany profil o wybranej nazwie pojawia się na liście profili dla 1 fazy IKE. Opuszczamy listę wybierając EXIT. Znajdując się na powrót w menu Peer Specific Settings, wybieramy listę profili dla drugiej fazy IKE (kolor zielony). 6

Podobnie jak wyżej, wybieramy ADD: Wybieramy parametry dla 2 fazy IKE: Protokół ESP, szyfrowanie AES i autentykacja MD-5 PFS z grupą DH: 2 włączamy Heartbeats dla obu kierunków (mechanizm Dead Peer Detection opracowany dla routerów Bintec) Propagate PMTU pozwalamy na działanie mechanizmu wykrywania MTU ścieżki przez systemy operacyjne Zapisujemy (SAVE), po czym opuszczamy listę (EXIT) powracając do menu Peer specific settings. Uwaga! Nazwa Rijndael to w systemie operacyjnym Bintec oznaczenie algorytmu AES (Advanced Encryption Standard). Nazwa ta pochodzi od twórcy algorytmu, i jest konsekwencją jego wczesnego zaimplementowania w routerach Bintec (skrót AES powstał później). Uwaga! Opcja Edit Lifetimes pozwala zdefiniować indywidualne warunki renegocjacji dla kluczy w obu fazach IKE, zarówno na podstawie upływu czasu jak i ilości danych przesłanych w tunelu. W przykładzie stosowano zasady domyślne. Po wygenerowaniu własnych profili dla obu faz IKE i umieszczeniu ich na globalnych listach, możemy skojarzyć nasze profile z konfigurowanym tunelem. Powracamy do menu Peer specific settings i strzałkami klawiatury dla obu faz IKE ustawiamy stworzone przez nas profile (nazwa, jaka nadaliśmy pojawia się w polu kursora). 7

Po ustawieniu strzałkami wybranych profili, przechodzimy na pole SAVE i naciskamy Enter. Następuje powrót o poziom wyżej do menu głównego związanego z danym połączeniem IPSec. Wybieramy SAVE aby zapamiętać wszystkie skojarzenia profili. Na liście profili połączeń wybieramy EXIT i przechodzimy do głównego menu IPSec: Tutaj ostatecznie zapisujemy wszystkie zmiany dokonane podczas konfiguracji tunelu. W menu głównym konfiguratora Setup Tool wybieramy EXIT. 8

Na pytanie czy zapisać zmiany do konfiguracji startowej, odpowiadamy twierdząco. Router VPN Access 5 - konfiguracja połączenia IPSec Po zalogowaniu wywołujemy pseudo-graficzny program konfiguracyjny poleceniem setup + <Enter> i przechodzimy do konfiguracji połączenia IPSec: Uwaga! Routery z rodziny VPN Access posiadają darmową i nierozszerzalną licencję na 5, 25, 100, 250 lub 1000 tuneli IPSec, w zależności od modelu. Jest to niezależne od wersji oprogramowania. Jeżeli po wybraniu opcji IPSec router nie uruchomi specjalnego kreatora konfiguracji IPSec, uruchamiamy go ręcznie wybierając opcję Wizard wewnątrz menu IPSec. Odpowiadamy Yes na pytanie ouruchomienie kreatora: Ustawiamy spacją opcję start wizard i zatwierdzamy <Enter>: 9

Zatwierdzamy Preshared Key jako metodę uwierzytelniania (Enter): Wybieramy lokalny identyfikator dla tunelu. W przykładzie wpisujemy ciąg znaków vpn5. Naciskamy <Enter>. Uwaga! Identyfikator nie musi mieć postaci nazwy DNS/Dynamic DNS. Tym bardziej, że router posiada stały adres IP i nie korzysta z systemu DNS/DynDNS - nie ma przypisanej publicznej nazwy hosta DNS.. Po fazie konfiguracji wstępnej kreator rozpoczyna się proces konfiguracji danych związanych z drugą stroną połączenia: Naciskamy Enter i przechodzimy do definicji parametrów określających stronę odległą: Description: stanowi dowolny opis (przydatne, kiedy posiadamy wiele połączeń) Peer Address: oficjalny, publiczny adres IP odległego routera. Jeżeli druga strona nie posiada stałego IP ani nazwy DynDNS, musimy tutaj wpisać 0.0.0.0 celem zaakceptowania każdego adresu źródłowego podczas inicjacji. Pole Peer Address może tez zawierać nazwę DNS routera odległego, jeżeli jest ona skonfigurowana w systemie DNS/Dynamic DNS. Pozwala to nie tylko zezwalać na inicjowanie tunelu przez zdalny router, ale też inicjować w kierunku do zdalnego routera. Peer IDs: musi być zgodne z wpisem Local ID dla odpowiedniego profilu połączenia w routerze zdalnym Pre Shared Key: zaleca się w fazie testu użyć prostego słowa, np. psk, jednak po poprawnym uruchomieniu połączenia należy koniecznie zmienić na ciąg długości min. 20-30 przypadkowych znaków. Postać klucza musi być identyczna w obu routerach, inaczej pierwsza faza IKE zakończy się błędem autoryzacji. Dlatego klucz musimy wpisać dwa razy celem weryfikacji i wykluczenia pomyłki. Virtual Interface: tutaj określamy podstawową zasadę, według której selekcjonowany będzie ruch podlegający wynegocjowanym zabezpieczeniom SA dla tego właśnie tunelu IPSec. W przykładzie posługujemy się ideą wirtualnego interfejsu. Tunel IPSec jest tu traktowany jako wirtualny interfejs WAN z własnym adresem IP, i może brać udział w routingu/translacji NAT itp. tak jak interfejs fizyczny. Zatem decyzja o zaszyfrowaniu pakietu zachodzi po stwierdzeniu na poziomie routingu, że pakiet musi zostać wysłany przez dany interfejs WAN gdyż jest przeznaczony do sieci 192.168.20.0/24, osiągalnej właśne poprzez ten interfejs (patrz dalej). Rezygnacja z opcji Virtual Interface wymusza użycie innej koncepcji wyznaczania ruchu w tunelu, koncepcji filtrowania ruchu. Tworzy się wówczas reguły filtru, z adresami źródłowymi/docelowymi, portami itd. Jest to metoda starsza i rzadko stosowana w trybie tunelu. Wybieramy Yes i zapisujemy całość SAVE. 10

Ponieważ wybraliśmy wirtualny interfejs IP, kreator proponuje jego konfigurację. Zatwierdzamy Enter. Stajemy przed wyborem opcji podstawowych i zaawansowanych. Wybieramy Basic IP-Settings: Ponieważ tunel będzie reprezentowany przez oddzielny interfejs IP, wymagana jest jego konfiguracja, oraz konfiguracja routingu do sieci zdalnej przez ten interfejs: Remote IP Address/ Netmask: jest definicją statycznej trasy dodawanej do tabeli routingu, i informującej router jaka podsieć jest osiągalna przez wirtualny interfejs stworzony dla reprezentacji tunelu. Dlatego podajemy tutaj adres odległej podsieci LAN, obsługiwanej przez zdalny router X2301. Po zapisaniu zmian SAVE, przechodzimy do ostatniego kroku kreatora. Naciskamy Enter aby pominąć zapisanie raportu kreatora (dump messages). Ostatecznie opuszczamy kreator unikając jego ponownego uruchomienia przechodzimy strzałką do pozycji EXIT i naciskamy Enter: Resztę konfiguracji wykonujemy ręcznie. W menu odpowiadającym IPSec wybieramy opcję Configure Pers. 11

Na liście skonfigurowanych połączeń odnajdujemy stworzony przez nas profil o nazwie to_dsl i po jego zaznaczeniu naciskamy <Enter>: W ramach ustawień konkretnego połączenia wybieramy Peer specific settings i przechodzimy do obszaru pozwalającego przypisywać do bieżącego tunelu indywidualne profile zabezpieczeń. Można wykorzystać profile stworzone automatycznie przez kreator, bądź tworzyć własne, odpowiadające indywidualnym preferencjom dla danego tunelu. Profile zabezpieczeń to zbiory szczegółowych parametrów, predefiniowane osobno dla obu faz protokołu IKE. Po stworzeniu, mogą być wykorzystywane przez jeden lub wiele niezależnych tuneli wymagających wspólnej polityki zabezpieczeń. Na liście dla fazy 1 IKE (kolor czerwony) wybieramy ADD celem dodania nowego profilu zabezpieczeń: Router przechowuje dwie globalne listy profili dla obu faz IKE. Wchodzimy kolejno na obie listy (oznaczone dalej różnymi kolorami), aby wykreować własne profile IKE. 12

Wybieramy parametry dla 1 fazy IKE, odpowiednio do profilu w routerze odległym: szyfrowanie AES/autentykacja MD-5 grupa wymiany DH: 2 metoda uwierzytelniania: preshared key tryb IKE: aggressive only włączamy Heartbeats (mechanizm Dead Peer Detection opracowany dla routerów Bintec) Local ID: vpn5 Nat-Traversal: wyłączamy włączone oznacza dodatkowe tunelowanie z wykorzystaniem UDP pozwalające pokonać ograniczenia związane z translacją NAT pomiędzy końcami tunelu Zatwierdzamy SAVE. Nowo zdefiniowany profil o wybranej nazwie pojawia się na liście profili dla 1 fazy IKE. Opuszczamy listę wybierając EXIT. Znajdując się na powrót w menu Peer Specific Settings, wybieramy listę profili dla drugiej fazy IKE (kolor zielony). 13

Podobnie jak wyżej, wybieramy ADD: Wybieramy parametry dla 2 fazy IKE, odpowiednio do profilu w routerze odległym: Protokół ESP, szyfrowanie AES i autentykacja MD-5 PFS z grupą DH: 2 włączamy Heartbeats dla obu kierunków (mechanizm Dead Peer Detection opracowany dla routerów Bintec) Propagate PMTU pozwalamy na działanie mechanizmu wykrywania MTU ścieżki przez systemy operacyjne Zapisujemy SAVE. Po wygenerowaniu własnych profili dla obu faz IKE i umieszczeniu ich na globalnych listach, możemy skojarzyć nasze profile z konfigurowanym tunelem. Powracamy do menu Peer specific settings i strzałkami klawiatury dla obu faz IKE ustawiamy stworzone przez nas profile (nazwa, jaka nadaliśmy pojawia się w polu kursora). 14

Po ustawieniu strzałkami wybranych profili, przechodzimy na pole SAVE i naciskamy Enter. Następuje powrót o poziom wyżej do menu głównego związanego z danym połączeniem IPSec. Wybieramy SAVE aby zapamiętać wszystkie skojarzenia profili. Na liście profili połączeń wybieramy EXIT i przechodzimy do głównego menu IPSec: Tutaj ostatecznie zapisujemy wszystkie zmiany dokonane podczas konfiguracji tunelu. W menu głównym konfiguratora Setup Tool wybieramy EXIT. Na pytanie czy zapisać zmiany do konfiguracji startowej, odpowiadamy twierdząco. 15

Diagnostyka połączenia Maszyny w sieciach LAN w obu lokalizacjach konfigurujemy według schematu: IP: 192.168.10.x, maska 255.255.255.0, brama 192.168.10.1 IP: 192.168.20.x, maska 255.255.255.0, brama 192.168.20.1 Można też uaktywnić serwer DHCP z pulą adresów w ramach podsieci LAN. Należy też pamiętać, że dla uzyskania dostępu do Internetu konieczna jest usługa DNS. Zatem albo wskażemy adresy serwerów DNS operatora na każdym komputerze ręcznie, albo wpiszemy je w konfigurację routera i przydzielimy dynamicznie w ramach konfiguracji puli DHCP. Inna opcja to użycie routera jako serwera Proxy DNS (caching server) i wskazanie komputerom adresu routera jako podstawowego serwera DNS. Sama diagnostyka polega na wykonaniu komendy ping na adres IP leżący w odległej podsieci LAN. Zaczynamy od upewnienia się, że nasz komputer 192.168.10.100 posiada komunikację z lokalnym routerem-bramą 192.168.10.254 (ping 192.168.10.254). Następnie komendą ipconfig upewniamy się, że komputer posiada prawidłowy adres bramy (192.168.10.254) i wykonujemy komendę ping na adres routera odległego ping 192.168.20.254. Jeszcze lepszym testem jest wykonanie komendy ping na adres wewnętrzny routera zdalnego, będąc zalogowanym na konsoli routera lokalnego. Przy domyślnej konfiguracji firewall routery powinny prawidłowo przekazywać ruch ICMP wewnątrz tunelu, łącznie z pobudzeniem mechanizmu routingu na żądanie i wymuszeniu inicjacji tunelu. Szczegółowa diagnostyka połączenia IPSec sięga poza zakres artykułu, ponieważ ze względu na złożoność tego protokołu nie jest możliwe skomentowanie możliwych objawów i ich przyczyn. Dla osób posiadających odpowiednią wiedzę polecić można komendę debug ipsec dostępną w konsoli oraz monitorowanie szczegółów połączenia za pomocą SysLog. W ramach Setup Tool i skryptu konfiguracyjnego HTTP, w menu IPSec do dyspozycji mamy zawsze opcję Monitoring. Menu to umożliwia śledzenie stanu połączeń Spiec i ręczne usuwanie skojarzeń SA dla obu faz IKE (tzw. IKE SA oraz IPSec SA). Uwaga! Przy włączonej na obu routerach opcji Heartbeat, tunel powinien podlegać automatycznej renegocjacji w sytuacji chwilowej utraty połączenia z Internetem przez któryś z routerów, lub też zmiany adresu IP na Neostradzie. Warto jednak podkreślić, że natychmiastowe odbudowanie tunelu jest możliwe tylko w kierunku Neostrada->DSL (tzn. kiedy router X2301 zamierza wysłać pakiet do sieci za routerem VPN5). Powinno to nastąpić w kilka sekund po przywróceniu dostępu do Internetu. Natomiast w kierunku przeciwnym (router VPN5 inicjuje do X2301) reinicjacja może się wiązać z opóźnieniem większym (do kilku minut, jeżeli wcześniej nie dojdzie do inicjacji ze strony X2301). Jest to normalne, ponieważ router VPN5 nie dysponuje jeszcze poprawnym adresem DNS routera X2301 po zmianie IP router VPN5 musi wykonać szereg kwerend DNS zanim zmiana zostanie zaktualizowana przez router X2301 i rozpropagowana w systemie DNS. Problem ten jest w praktyce rzadko dokuczliwy, przy stabilnym dostępie Neostrada niemal niezauważalny (zmiana IP jest wymuszana raz na dobę). Efekt niespodziewanej przerwy można dodatkowo zminimalizować do kilkunastu sekund wymuszając niewielki ruch (np. ping) z oddziału (Neostrada) do centrali (adres stały). Można tu wykorzystać skrypt systemowy, który uruchamia narzędzie ping okresowo (co kilka sekund) na adres zdalny, wymuszając natychmiastową reinicjację tunelu przez router X2301 w kierunku adresu stałego. Dzięki temu oddział będzie zawsze osiągalny dla centrali bez opóźnień wprowadzanych przez mechanizmy DNS. Umożliwia to bezproblemową pracę mechanizmów sieciowych typu replikacja baz danych i zdalny monitoring czy dostęp do plików. Funkwerk Enterprise Communications GmbH Krakowskie Przedmieście 47/51 00-071 Warszawa Telefon +48-22 44 44 797 Faks +48-22 44 44 997 E-mail funkwerk@funkwerk-ec.pl www.funkwerk-ec.pl 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres