Konfiguracja tunelu VPN na module SCALANCE S623 1. Wstęp W tym przykładzie zajmiemy się konfiguracją tunelu VPN (Virtual Private Network) w trybie standard mode. Moduły zabezpieczeń Security module 1 oraz Security module 2 są punktami końcowymi tunelu VPN. Z taką konfiguracją ruch sieciowy w warstwie IP oraz w warstwie 2 (tylko w trybie bridge) jest możliwy tylko poprzez ustanowione połączenie tunelowe z autoryzowanymi partnerami. VPN jest tunelem przez który płynie ruch w ramach prywatnej sieci pomiędzy klientami końcowymi za pośrednictwem sieci publicznej (np. Internet) w taki sposób, że węzły sieci są przezroczyste dla przesyłanych w ten sposób pakietów. Rozwiązania oparte na VPN są często stosowane w sieciach korporacyjnych, gdzie użytkownicy często pracują zdalnie na niezabezpieczonych łączach. Wirtualne Sieci Prywatne charakteryzują się wysokim poziomem bezpieczeństwa (dzięki szyfrowaniu danych) oraz dość dobrą wydajnością, nawet na słabych łączach. Rozwiązanie to sprawdza się w firmach, których pracownicy często podróżują lub korzystają z możliwości pracy zdalnej. Wizualizacja połączenia Internal Network sieć podłączona do interfejsu wewnętrznego modułu zabezpieczeń W tym przypadku, w sieci wewnętrznej, węzeł sieci reprezentowany jest przez komputer klasy PC podłączony do interfejsu wewnętrznego modułu zabezpieczeń. - PC1: Przedstawia węzeł sieci wewnętrznej 1 - PC2: Przedstawia węzeł sieci wewnętrznej 2 Security module 1: Moduł SCALANCE S623 zabezpieczający sieć wewnętrzną 1 Security module 2: Moduł SCALANCE S623 zabezpieczający sieć wewnętrzną 2
External Network sieć podłączona do interfejsu zewnętrznego modułu zabezpieczeń Publiczna, zewnętrzna sieć jest podłączona do interfejsu zewnętrznego modułu zabezpieczeń. - PC3: PC z zainstalowanym Security Configuration Tool 2. Konfiguracja IP urządzeń klasy PC PC Adres IP Maska podsieci PC1 191.0.0.1 255.255.0.0 PC2 191.0.0.2 255.255.0.0 PC3 191.0.0.3 255.255.0.0 3. Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC1 2. Wybierz Project -> New z paska menu 3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przedzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (191.0.0.201), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.0.0) i potwierdź przyciskiem OK.. 8. Wybierz z paska menu Insert -> Module czego skutkiem jest pojawienie się nowego okna dialogowego takiego samego jak poprzednie. (W nowszej wersji Security Configuration Tool zastąpiono tą pozycję menu ikoną Add module lub z paska menu wybierając Paste -> Module ) 9. Powtórz kroki 5-7 odpowiednio dla modułu zabezpieczeń 2. Wprowadź następujące adresy: - IP address (ext.): 191.0.0.202 - Subnet mask (ext.): 255.255.0.0
4. Tworzenie grup VPN Dwa moduły zabezpieczeń mogą ustanowić tunel IPsec dla bezpiecznej komunikacji jeżeli są one przypisane do tej samej grupy VPN w projekcie. 1. Wybierz obiekt VPN groups z panelu nawigacyjnego i klikając prawym klawiszem myszy, z menu kontekstowego wybierz Insert group. 2. W panelu nawigacyjnym wybierz All modules 3. Wybierz pierwszy moduł zabezpieczeń i przeciągnij go do grupy VPN Group1 w panelu nawigacyjnym Moduł zabezpieczeń został przypisany do tej grupy VPN Kolor symbolu klucza zmienił kolor z szarego na niebieski 4. Wybierz drugi moduł zabezpieczeń i przeciągnij go do grupy VPN Group1 w panelu nawigacyjnym Moduł zabezpieczeń również został przypisany do tej grupy VPN 5. Zapisz projekt korzystając ze skrótu klawiszowego Ctrl + S lub z paska menu wybierając Project -> Save.
Konfiguracja tunelu VPN jest zakończona. 5. Wgrywanie konfiguracji do modułów zabezpieczeń 1. W Security Configuration Tool na PC3, wybierz z paska menu Transfer -> To all modules w celu otworzenia następującego okna dialogowego 2. Wybierz oba moduły używając przycisku Select all.
3. Rozpocznij wgrywanie konfiguracji przyciskiem Start. Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W rezultacie moduł SCALANCE S623 działa produktywnie. Sygnalizowane jest to za pomocą zmiany koloru lampki Fault na zielony. Dzięki tej konfiguracji dwa moduły SCALANCE S623 mogą nawiązać tunel komunikacyjny przez który węzły sieci w obu sieciach wewnętrznych mogą się komunikować. 6. Testowanie funkcji tunelu (test ping) W jaki sposób można przetestować skonfigurowaną funkcjonalność? Można to zrobić poprzez komendę ping. Jako alternatywę, możesz również użyć innych programów komunikacyjnych, aby przetestować zaporę ogniową. Uwaga! W systemach Windows, zapora ogniowa może zostać skonfigurowana w taki sposób, że komenda ping jest blokowana. Testowanie faza 1 Przetestuj funkcjonalność ustanowionego tunelu VPN pomiędzy PC1 i PC2: 1. Na PC1 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC1 do PC2 wpisując w wiersz poleceń ping 191.0.0.2 Pozytywna odpowiedź powinna wyglądać tak: W rezultacie, jeżeli pakiety dotarły do PC2, statystyki powinny wyglądać tak jak na załączonym zrzucie ekranu. W związku z tym, że żadna inna komunikacja nie jest dozwolona, pakiety te muszą zostać przetransportowany przez tunel VPN. Testowanie faza 2 Powtórz test wysyłając komendę ping z PC3: 1. Na PC3 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC3 do PC2 wpisując w wiersz poleceń ping 191.0.0.2 Negatywna odpowiedź powinna wyglądać tak:
Pakiety z PC3 nie potrafią osiągnąć PC2 z powodu braku połączenia tunelowego pomiędzy tymi urządzeniami jak również dlatego, że normalny ruch IP jest zabroniony