57

Michelangelo Wave PRO V 3G F.A.Q.

VPn iPSeC

In questa guida viene mostrato il procedimento per collegare tra di loro due reti lan, poste in sedi differenti, tramite un collegamento VPN IPsec. Questo collegamento permetter alle diverse stazioni di rete (computer, stampanti di rete, NAS, ect) di comunicare tra di loro come se fossero in un unica rete locale.

Connessione IPSec con IP Pubblici Statici

INTERNET

Connessione VPN IPSec LAN to LAN

FireGate 30 DualMichelangelo

Wave PRO V 3G

Rete 192.168.3x / 24

IP: 88.54.26.122 IP: 195.103.9.112

Rete 192.168.10x / 24

Per poter progettare un collegamento di questo tipo si deve necessariamente avere:

Dueretilocalicollegateadinternet tramite dispositivi che integrino un supporto VPN IPSec nativo. LedueLandevononecessariamenteavereunaclassediindirizziIPdifferenti, ad esempio se la LAN 1 utilizza la classe di

indirizziIP192.168.3.0consubnetmask255.255.255.0laLAN2puutilizzarelaclassediindirizziIPdiversicome192.168.10.0consubnetmask255.255.255.0.

In questo esempio si utilizza :

1. PerlareteLAN1unMichelangeloWavePROV3GconconnettivitADSLeindirizzoIPpubblico(88.54.26.122).2. Per la rete LAN 2 un Firegate 30 Dual (Firewall Hardware con supportoVPN IPSec nativo) e un indirizzo IP pubblico

(195.103.9.112)

N.B: Questa guida fa riferimento ad impostazioni tipiche di sicurezza del tunnel VPN. Inoltre si basa sul presupposto che i due server VPN IPSec siano configurati con un indirizzo IP pubblico statico. Esistono diverse varianti alla configurazione di connessioni VPN IPSec, in base al livello di sicurezza desiderato, alla tipologia di indirizzi pubblici (statici o dinamici) assegnati ai server VPN, alla presenza o meno di reti sotto NAT (Server VPN con IP privato). Nel caso in cui la tipologia della rete non rispecchi quanto descritto in questa guida, vi invitiamo a contattate il supporto tecnico per richiedere la configurazione delle policy IPSec adatta per la vostra rete.

58

Michelangelo Wave PRO V 3G F.A.Q.

La configurazione della policy VPN di Michelangelo Wave PRO V 3G la seguente:

Alcune considerazioni legata alla policy:

Local/RemoteNetwork: specifica gli indirizzi IP che potranno accedere al tunnel VPN. Lopzione Subnet consente di permettere laccesso al tunnel VPN IPSec a tutte le stazioni di rete che costituiscono la LAN 1 e LAN 2. possibile limitare laccesso ad un range di IP oppure ad un singolo IP. importante che la configurazione sia la stessa su entrambi i server VPN IPSec.

RemoteSecureGateway: specifica lindirizzo IP pubblico del server VPN IPSec remoto (nel nostro esempio lIP pubblico assegnato allaWANdiFiregate30Dual).

Pre-sharedkey: specifica la password che viene utilizzata durante la prima fase della negoziazione del tunnel IPSec. Deve essere impostata uguale su entrambi i dispositivi IPSec.

HashFunction/IPSecProposal: questi parametri permettono di definire il livello di sicurezza del tunnel. fondamentale che siano impostata uguali su entrambi i dispositivi IPSec.

Phase1(IKE)SALifetime/Phase2(IPSec):definisconoitempidirinegoziazionedellechiavidicrittografiaIKEeIPSec.Consigliamodi configurare gli stessi tempi su entrambi i dispositivi.

Inseguitoaquesteconsiderazioni,lapolicyVPNIPSecdiFiregate30Dualsarlaseguente:

59

Michelangelo Wave PRO V 3G F.A.Q.

Nota 1: Dopo aver creato le policy VPN, verificate che siano attive.

Nota 2: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al men Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos).

Nota 3: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.

60

Michelangelo Wave PRO V 3G F.A.Q.

Variante A: Michelangelo Wave PRo V 3g in modalit backup

In questo contesto, la problematica dovuta al fatto che non si pu sapere con certezza lindirizzo IP pubblico che sta utilizzando MichelangeloWavePROV3G.Infatti,seilrouterpermettelaccessoadinternettramiteADSLlIPpubblicosar88.54.26.122mentresestalavorandoinmodalitbackup,tramiteconnessione3G,ilroutersipresenterconunindirizzoIPpubblicodinamico.Per poter garantire linstaurazione del tunnel VPN Ipsec necessario che Michelangelo Wave PRO V 3G sia raggiungibile sempre e univocamente ad un indirizzo. Per questo motivo, la soluzione tipicamente utilizzata prevede la registrazione e utilizzo di un account DDNS nella sede gestita da Michelangelo Wave PRO V 3G.

INTERNET

Connessione VPN IPSec LAN to LAN

FireGate 30 DualMichelangelo

Wave PRO V 3G

Rete 192.168.3x / 24

IP: prova3.homelinux.org IP: 195.103.9.112

Rete 192.168.10x / 24

Configurazione Account DDNS su Michelangelo Wave PRO V 3G:

La configurazione della policy VPN di Michelangelo Wave PRO V 3G la seguente:

61

Michelangelo Wave PRO V 3G F.A.Q.

Alcune considerazioni legata alla policy:

Durante la prima fase della negoziazione della policy VPN, i due dispositivi VPN si scambiano alcune informazione per capire se effettivamente i due endpoint sono abilitati allinstaurazione del Tunnel. Uno di questi (LocalIDtypeeRemoteIDType) legato allindirizzo IP pubblico con cui i server VPN si presentano al remoto. Selezionando il campo default, Michelangelo Wave PRO V 3G si presenta al remoto con lattuale indirizzo IP pubblico di WAN.Rispetto alla situazione precedente, Michelangelo Wave PRO V 3G pu accedere ad Internet con IP Pubblici diversi (in ADSL o in 3G). Per questo motivo necessario cambiare la policy impostando il campo LocalIDType in una delle altre modalit disponibili:

DomainName: si deve utilizzare una stringa con formato simile ad un dominio (digicom.it)E.mail: si utilizza una stringa con formato simile ad un indirizzo E.mail (prova@digicom.it)IPv4Address: siutilizzaunastringainformatonumericosimileadunindirizzoIP(195.103.9.66)

Non importante quale di queste modalit utilizzare, mentre fondamentale che entrambi i dispositivi VPN siano configurati con la stessa modalit e stringa.

Inseguitoaquesteconsiderazioni,lapolicyVPNIPSecdiFiregate30Dualsarlaseguente:

62

Michelangelo Wave PRO V 3G F.A.Q.

Nota 1: Lindirizzo del gateway VPN IPSec remoto stato sostituito con lURL provadyndns.dyndns.org

Nota 2: Il campo Remote ID stato impostato nella modalit FQDN basato sulla stringa digicom.it

Nota 3: Dopo aver creato le policy VPN, verificate che siano attive.

Nota 4: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al men Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos)

Nota 5: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.

63

Michelangelo Wave PRO V 3G F.A.Q.

Variante B: firegate 30 Dual dietro NAt e Michelangelo Wave PRo V 3g in modalit backup

Inquestocontesto,lulterioreproblematicaintrodottadovutaalfattocheilsecondoServerVPNIPSec,Firegate30Dual,sitrovadietroadunrouterxDSLconNATattivo.Firegate30DualquindiconfiguratoconunindirizzoIPdiWANprivato.Questo scenario impone che il router xDSL che fornisce laccesso ad Internet deve supportare il protocollo VPN PassThrough e deve essereconfiguratoperinoltrarelerichiesteVPNIPSeciningresso(porta500inUDPeprotocolloIKEnumero50)versoilFiregate30Dual.QuestaconfigurazionevieneeseguitageneralmentetramiteilmenVirtualServer(chiamatoanchePortForwarding).

INTERNET

Connessione VPN IPSec LAN to LAN

FireGate 30 Dual

MichelangeloWave PRO V 3G

Rete 192.168.3x / 24

IP: prova3.homelinux.org

IP: 195.103.9.112

Rete 192.168.10x / 24

Rete 192.168.5x / 24

In questa guida, non ci soffermiamo sulla configurazione del modem xDSL. Deve comunque essere utilizzato un router VPN Pass Throughedeveaverelaporta500UDPreedirettaversolIPdiWANdelFiregate30Dual.

Configurazione Account DDNS su Michelangelo Wave PRO V 3G:

La configurazione della policy VPN di Michelangelo Wave PRO V 3G la seguente:

64

Michelangelo Wave PRO V 3G F.A.Q.

Alcune considerazioni legata alla policy:

UtilizzandoMichelangeloWavePROV3Ginmodalitbackup,valgonoleconsiderazioniindicatenelparagrafoprecedente.LostessoragionamentodeveoraessereutilizzatoperquantoriguardalasedeconilFiregate30Dual.Infatti,firegate30sitrovain una rete con NAT attivo, e non deve presentarsi al Michelangelo Wave PRO V 3G con il suo indirizzo di WAN, in quanto sarebbe unindirizzoIPprivatoequindinonvalido.PerquestomotivonecessariocambiarelapolicyIPSecdelFiregate30impostandoilcampoLocalIDType in una delle altre modalit disponibili, gi descritte nel paragrafo precedente.

Inseguitoaquesteconsiderazioni,lapolicyVPNIPSecdiFiregate30Dualsarlaseguente:

65

Michelangelo Wave PRO V 3G F.A.Q.

Nota 1: Lindirizzo del gateway VPN IPSec remoto stato sostituito con lURL provadyndns.dyndns.org

Nota 2: Il campo Locale ID stato impostato nella modalit FQUN basato sulla stringa prova@digicom.it

Nota 3: Il campo Remote ID stato impostato nella modalit FQDN basato sulla stringa digicom.it

Nota 4: I campi Local e Remote ID possono essere configurati anche nella stessa modalit e con la stessa stringa. fondamentale che per siano configurati uguali sui due dispositivi IPSec.

Nota 5: Dopo aver creato le policy VPN, verificate che siano attive.

Nota 6: Per verificare lo stato (connessa o disconnessa) della policy VPN, potete fare riferimento al men Status -> IPSec Status oppure potete effettuare del traffico dati da una sede verso la seconda (ad esempio tramite ping da prompt di ms-dos).

Nota 7: in assenza di traffico dati lungo il tunnel IPSec, la policy VPN viene abbattuta. sufficiente effettuare una richiesta dati verso la sede remota, per avviare automaticamente il tunnel.