Konfiguracja Tuneli VPN

5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com

http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 1/12

Konfiguracja tuneli VPN na

urządzeniach LINKSYS

Pznao 2007



Wstęp

Niniejszy pranik bejmuje zakresem pstawwe zaganienia związane z tunelami VPN.

Przedstawiono, jak sknfigurwad bezpieczne płączenie pmięzy ziałami firmy, lub uzyskad

zalny stęp firmwej sieci wykrzystując teg urzązenia marki Linksys. Pmim, iż

knfiguracja była przeprwazana na 2 melach urzązeo: RV082 oraz WRV200, przedstawionewskazówki mgą zstad również zastswane pzstałych meli urzązeo firmy Linksys.

VPN czyli Virtual Private Cnnectin pzwala na stwrzenie lgiczneg tunelu pmięzy

wma lkalizacjami przy wykrzystaniu istniejącej infrastruktury sieciwej. Z punktu widzenia

tunelu VPN nie jest isttne przez jakie sieci przechzi pakiet, najważniejsze, aby urzązenia na bu

kocach tunelu były właściwie sknfigurwane jeg bsługi. Dane przesyłane tunelem VPN są

pakowane w specjalnie szyfrowane pakiety ESP, w celu twrzenia pakietu birca musi znad klucz

i algrytm którym infrmacje zstały zaszyfrwane. D szyfrwania anych wykrzystuje się silne

algorytmy takie jak DES/3DES/AES. Niektóre z algrytmów mgą bniżyd przepustwśd

łączy(sytuacja systematycznie się pprawia i w najnwszych wersjach prgramwania tunele

twrzne przy wykrzystaniu RV082 i algrytmów szyfrujących 3DES uzyskują prękści rzęu 90

Mb/s). Dzięki szyfrowaniu mżemy byd pewni, że nasze ane nie zstaną psłuchane. Tunele VPNznajują zastswanie przy łączeniu różnych ziałów firmy, lub pzwalają na uzyskanie stępu

firmwej sieci la pracwników zalnych(np. z mu lub lkalizacji publicznej). Wyróżniamy wa

główne rzaje tuneli VPN:

- Gateway – to – Gateway – tunel w tym wypaku zestawiany jest pmięzy wma urzązeniami,

które psiaają funkcję twrzenia tuneli VPN teg typu, mgą t byd np. wa rutery, zaletą teg

trybu jest mżliwśd kreślenia, czy cała sied ma mied stęp tunelu zalneg, czy tylk

pojeyncze hsty występujące w tej sieci,

- Client – to – Gateway – tunel zestawiany jest pmięzy hstem w zalnej lkalizacji a urzązeniem

sieciwym(ruterem bąź serwerem VPN), który aje hstwi stęp sieci umieszcznej za nim,

Jak atkwy tryb rutery firmy Linksys psiaają mżliwśd zestawiania tuneli client – to –

gateway przy użyciu aplikacji starcznej przez firmę Linksys, prgramwanie Quick VPN Client,

pzwala w prsty i szybki spsób zestawid tunel VPN pmięzy ruterem a hostem zdalnym.

Gateway – to – Gateway Client – to – Gateway



1. Zestawianie tuneli Gateway – to – Gateway:

W celu zestawienia teg typu tuneli, musimy upewnid się, że sieci lokalne, pmięzy którymi

zstanie zestawiny tunel VPN bęą miały różną aresację. Jeżeli nie zastsujemy się pwyższej

rady, pmim, że bęziemy w stanie zestawid tunel VPN pmięzy wma urzązeniami, pakiety

mgą byd kierwane błęnie, c uniemżliwi kmunikację pmięzy sieciami.

Przykławe ustawienia schematu aresacji la sieci p bu strnach kanału VPN:

Przyjęt, że rutery yspnują p strnie interfejsu WAN statycznymi aresami IP.

Komputery w sieciach lokalnych pbierają aresy IP ynamicznie z ruterów.

Ustawienia routera 1:

Adres IP routera po stronie WAN: 192.168.10.11

Adres IP routera po stronie LAN: 192.168.1.1

Maska podsieci: 255.255.255.0

Serwer DHCP: 192.168.1.100 -254

Ustawienia routera 2:

Adres IP routera po stronie WAN: 192.168.10.10

Adres IP routera po stronie LAN: 192.168.2.1

Maska podsieci: 255.255.255.0

Serwer DHCP: 192.168.2.100 -254

1.1 Knfiguracja ustawieo sieciwych

Wprwazanie ustawieo tyczących zarówn schematów aresacji jak i tuneli VPN bywa

się przy wykrzystaniu interfejsu zarzązania www, wbuwaneg w urzązenie. Dmyślnie interfejs

www jest stępny p aresem http://192.168.1.1 . D knfiguracji urzązeo Linksys plecamy

przegląarkę IE Explrer w wersji 6.0 lub wyżej.

Więcej szczegółów knfiguracji ustawieo interfejsu WAN raz knfiguracji sieci lkalnej w

przewniku użytkwnika eykwanym teg urzązenia stępnym na strnie

http://www.linksys.com .

http://192.168.1.1/

http://192.168.1.1/

http://www.linksys.com/



http://192.168.1.1/



P ustaleniu schematów aresacji, właściweg la każeg z ruterów należy właściwie

sknfigurwad zaprę wbuwaną w urzązenie. Zmiany należy wprwazid w zakłace Firewall w

następujących pcjach:

Block Anonymus Internet Request -> znaczyd haczyk w plu bk parametru(WRV200)

Block Anonymus Internet Request -> zmienid wartśd w plu na Disable(RV042/RV082)

Datkw w niektórych wersjach prgramwania ruterów RV042/RV082, w których występuje

parametr Fragmented Packets Pass Through należy zmienid wartśd tej pcji na Enable.

W dalszej części przestawin zrzuty ekranwe z knfiguracji tuneli na WRV200, jenak

występujące ustawienia są uniwersalne i mgą byd z pwzeniem zastswane innych meliurzązeo marki Linksys.

P ustaleniu schematów aresacji właściweg la każeg z ruterów należy przejśd zakłaki:

VPN > IP Sec VPN(la urzązenia WRV200, w urzązeniach RV przechzimy zakłaki VPN, a

następnie wybieramy interesujący nas typ tunelu).

Należy wybrad tunel który ma zstad wykrzystany(ilśd tuneli IPSec jest uzależnina od modelu

urzązenia: RVL200/WRV200 – 5, RV042 – 50, RV082 – 100 ). P wybraniu nr tunelu należy zaznaczyd

pcję Enabled raz wpisad jeg nazwę. Nazwa tunelu mże byd różna p bu jeg strnach.

Następnym krkiem w twrzeniu tuneli VPN jest wybór które z hstów bęą miały stęp tunelu i

knfiguracja ustawieo sieciwych. Rysunek przestawiny na następnej strnie pkazuje częśd

pzwalającą na wybór które z hstów mają mied stęp tunelu VPN raz knfigurację ustawieo

sieciowych tunelu. W naszym wypaku przyjęliśmy, że wszystkie hsty z bu sieci mają mied stęp

do tunelu VPN.



W tym celu przypisan na urzązeniach następujące ustawienia:

Router 1:

Router 2:

Pszczególne parametry zstały wypełnine zgnie ze schematem aresacji przestawinym na

pczątku rzziału. Oczywiście nie jest t jeyna mżliwa knfiguracja, użytkwnik mże

zecywad, czy stęp tunelu ma mied pjeynczy kmputer, częśd psieci lub cała psied. Za

decyzję które z hstów mają mied stęp tunelu pwiaa parametr Type. D wybru

użytkwnik ma ares IP(czyli tunel zakoczny bęzie na urzązeniu zalnym, wszystkie urzązenia

płączne nieg bęą miały stęp tunelu), psied(Subnet – cała psied lub częśd psieci

bęzie miała stęp tunelu), pjeynczy hst(tunel bęzie zakoczny na ruterze, a przekazanie

ruchu bywad się bęzie pprzez przekierwanie prtów rutera na kreślny kmputer w sieci).

1.2 Knfiguracja ustawieo bezpieczeostwa

P wpisaniu ustawieo sieciwych właściwych la zestawianeg tunelu VPN , kolejnym krokiem jest

konfiguracja ustawieo bezpieczeostwa. Ustawienia bezpieczeostwa muszą zstad sknfigurwane

jenakw na urzązeniach p bu strnach tunelu, wprwazenie różnych ustawieo na

którymklwiek z urzązeo uniemżliwi zestawienie tunelu VPN.

Pierwszym elementem w knfiguracji bezpieczeostwa jest wybór spsbu wymiany klucza

szyfrująceg. Użytkwnik ma wybru wa tryby Aut ( w RV082 pwiaa temu tryb – IKE with

Pre Share Key) lub Manual. Preferwanym trybem wymiany klucza szyfrująceg jest tryb

automatyczny.

Klejnym etapem jest wybór algrytmu szyfrująceg, wybru użytkwnik ma kilka algrytmówszyfrwania. Dstępne tryby szyfrwania t: DES, 3DES, AES (128, 192,156 bitów). Ze wzglęu na siłę

algorytmu zalecanym jest algorytm 3DES.



Następny krk w knfiguracji ustawieo bezpieczeostwa t wybór spsbu uwierzytelniania pakietów

ESP, rutery ferują wybru wie mety uwierzytelniania:

MD5 - jednostronny algorytm szyfrujący, generujący 128 wzrzec

SHA1 – jenstrnny algrytm szyfrujący, generujący wzrzec 160 bitwy

Pnieważ SHA1 jest algrytmem silniejszym, jest zalecany, przy twrzeniu tuneli VPN.

Ostatnim krokiem przy podstawowej konfiguracji tuneli VPN jest przypisanie klucza używaneg w

prcesie zestawiania tunelu VPN. Klucz szyfrujący wpisujemy w plu Pre-Shared-Key. Klucz t ciąg

znaków alfanumerycznych ługści 30 znaków. W celu zapewnienia maksymalneg

bezpieczeostwa tuneli VPN pleca się regularne zmiany klucza szyfrująceg.

UWAGA! W przypaku knfiguracji tuneli pmięzy wma różnymi melami urzązeo, należy

zwrócid uwagę, aby ustawienia grupy DH(Diffie-Hellman) były jenakwe na bu urzązeniach.

Pnieważ prces zestawiania tunelu VPN skłaa się z wóch faz, w przypaku prblemów z tunelem

VPN należy sprawzid czy ustawienia la bu grup są wprwazne jenakw. Ustawienia grupy DH

stępne są w zakłace Avance Settings. Pniżej przestawin przykławe ustawienia la grupy

DH – 1024 bity. W zależnści wybranej grupy, klucz szyfrujący bęzie łuższy(im wyższa grupa tymłuższy klucz) lub krótszy. Długśd klucza szyfrująceg ma znaczenie przy cenie wyajnści tunelu,

krótszy klucz pzwala uzyskad lepsze wartści transferu, jenak łuższy klucz zapewnia większe

bezpieczeostw.

Wszystkie wprwazne zmiany należy zatwierzid klikając Save Settings.



W zakłace VPN Summary mamy mżliwśd ślezenia stanu tunelu. Status tunelu mże byd

kreślny nastepując:

C - tunel jest zestawiony poprawnie

T - urzązenie próbuje zestawid tunel, w przypaku występwania w plu status literki T,

należy spróbwad świeżyd strnę przyciskiem Refresh znajdu jącym się na w lnej części

zakłaki VPN Summary, jeżeli przez łuższy czas występuje literka T, należy kliknąd View VPNLg, lgi związane z tunelami VPN pzwalają łatwiej zlkalizwad błęy knfiguracyjne

Stop – tunel zstał zatrzymany

D – tunel zstał aministracyjnie wyłączny Disable

Any – tunel oczekuje zainicjowanie przez zdalnego hosta

NAT-T – tunel ma włączną pcją NAT-T, umżliwiając wywłanie tunelu przez zalneg

hsta plegająceg translacji aresów.

Poprawne zestawienie tunelu sygnalizowane jest w urzązeniu literą C w statusie pwienieg

tunelu w zakłace VPN Summary, lub pprzez wyświetlenie informacji logach VPN:

251 [Tue 12:50:01] "TunnelA" #30: STATE_QUICK_R2: IPsec SA established

W zależnści parametrów płączenia w nawiasie za tą wiamścią znają się parametry

związane z pszczególnym tunelem.

Działanie tunelu mżemy sprawzid pprzez pingwanie bramy myślnej znajującej się p

strnie LAN. Pniższy rysunek przestawia pwieź na kmenę ping wywłaną z

komputera znajdu jąceg się w sieci 192.168.1.0, prze i p zestawieniu tunelu VPN.

Opwieź hsta zalneg prze zestawieniem tunelu VPN:

Opwieź hsta zalneg p zestawieniu tunelu VPN:

Kniec rzziału pierwszeg pświecneg knfiguracji tuneli VPN typu Gateway – to –

Gateway. Więcej infrmacji na temat zestawiania tuneli teg typu raz kłany pis

pszczególnych parametrów tyczących zakłaek VPN w pręczniku bsługiprzeznaczonym knkretneg urzązenia stępnym na strnie http://www.linksys.com .







2. Zestawianie tuneli Client – to – Gateway:

Tunele typu Client – to – Gateway mgą byd zestawiane przy wykrzystaniu prgramwania

dostarczonego przez firmę Linksys – Quick VPN Client, jak również prgramwania wbuwaneg w

systemy operacyjne, lub darmowego oprogramowania klienckiego pobranego z Internetu.

Zestawianie tuneli przy użyciu prgramwania wbuwaneg w systemy peracyjne, lubzewnętrznego oprogramowania, jest analogiczne do zestawiania tuneli typu Gateway – to – Gateway

i wymaga zgnści infrmacji pawanych p strnie urzązenia stępweg jak i klienta VPN. W

zależnści urzązenia zestawianie tuneli teg typu mże bywad się poprzez wybranie

pjeynczeg aresu IP jak strny zalnej(np. WRV200), lub pprzez knfigurację anych we

właściwej zakłace urzązenia VPN > VPN Client – to – Gateway (np. RV082). Zestawianie tuneli tego

typu przy wykorzystaniu oprogramowania dostarczaneg przez firmę Linksys jest prste i wymaga

użytkwnika pania wyłącznie pstawwych infrmacji, lateg alsza częśd instrukcji zstała

pświęcna zestawianiu tuneli przy wykorzystaniu oprogramowania firmy Linksys. W zależnści

melu, użytkwnik mże zestawid 10(RVL/WRV200/RV042) lub 15(RV082) tuneli QuickVPN.

Datkw firma Linksys feruje mżliwśd kupienia licencji QuickVPN rzszerzającej liczbę

klientów na urzązeniach RV042/RV082 50 użytkwników.

2.1 Linksys Quick VPN Client

W pierwszej klejnści należy ustalid nazwę użytkwnika i hasł na ruterze , robimy to w

zakłace VPN > VPN Client Access. P wpisaniu nazwy i hasła klikamy na A/Save , zaznaczamy, a

następnie zapisujemy zmiany > Save Settings.

Pniżej przestawin odawanie klejneg użytkownika do listy VPN Client List.



Kolejnym krokiem jest instalacja oprogramowania Linksys Quick VPN Client, na komputerze zdalnym

z któreg bęziemy chcieli uzyskad płączenie z urzązeniem VPN. Oprogramowanie Quick VPN

Client powinno znajwad się na płycie łącznej urzązenia, jeżeli nie psiaamy płyty lub

brakuje na niej tego oprogramowania mżna je pbrad ze strony www.fen.pl ział wnla.

Oprogramowanie jest zgodne z systemami operacyjnymi Win2K oraz WinXP.

UWAGA! Podobnie jak w przypadku zestawiania tuneli gateway – to – gateway, jeżeli kmputerzalny płączny jest sieci wewnętrznej i nie yspnuje publicznym aresem IP, należy zabad,

aby schemat adresacji w sieci d której płączny jest kmputer różnił się aresacji sieci p

drugiej stronie tunelu VPN.

Jeżeli pwyższe czynnści mamy za sbą należy uruchmid prgram Quick VPN Client. W pierwszym

etapie twrzymy nazwę prfilu la naszeg płączenia, np. nazwa firmy, w polach user i password

wpisujemy takie same dane jakie ustawiliśmy na ruterze. Następnie wpisujemy ares rutera -

aktywnego interfejsu WAN, lub adresu domenowego, jeśli yspnujemy zmiennym IP.

W pniższej knfiguracji ruter, z którym realizwane był płączenie stępny był z zewnątrz p

adresem 192.168.10.100.

Klikamy Connect i płączenie zostaje zestawione. Rysunki przedstawione pniżej pkazują prces

zestawiania płączenia.

Zestawianie płączenia

Aktywacja certyfikatu

Weryfikacja sieci

http://www.fen.pl/

http://www.fen.pl/

http://www.fen.pl/



Po uruchomieniu aplikacji QuickVPN Client status płączenia wyświetlany jest w pstaci ikny na

pasku zaao systemu Winws.

Tunel aktywny Tunel nieaktywny

Podobnie jak w wypadku tuneli typu Client – to – Gateway, płączenie mżemy przetestwad

używając o tego celu polecenia ping.

Jeżeli kmputer zalny znajuje się w sieci lkalnej zielnej sieci Internet ruterem isttne

jest, aby lkalny ruter miał włączne przepuszczanie tuneli VPN typu IPSec. Urzązenia Linksysa

ają mżliwśd włączenia przepuszczania tuneli VPN i funkcja ta jest myślnie włączna. Więcej

informacji na temat przepuszczania tuneli VPN w rozdziale 3 – Rzwiązywanie prblemów.

Konfiguracja dodatkowa:

Barziej zaawanswane rutery ają mżliwśd wygenerwania nweg certyfikatu bezpieczeostwa,

któreg bęzie używał nasz ruter i klienci. Opcja ta stępna jest w urzązeniach RV042/RV082.Aby wygenerwad nwy certyfikat przechzimy zakłaki VPN > VPN Client Access. W lnej

części zakłaki mamy stępną częśd pświęcną generwaniu i zapisywaniu nwych certyfikatów

bezpieczeostwa.

Aby wygenerwad nwy certyfikat bezpieczeostwa klikamy Generate. Dbrą praktyką jest zapisanie

certyfikatu na kmputerze aministracyjnym, zięki temu p utracie knfiguracji, lub przywróceniu

rutera ustawieo fabrycznych, bęziemy mieli mżliwśd imprtu zapisaneg wcześniej

certyfikatu do routera.

Aby zapisad certyfikat wygenerwany la rutera klikamy na Exprt fr Amin i zapisujemy na

lokalnym komputerze.

Klejnym krkiem jest eksprt certyfikatu la klientów, aby płączenie ziałał pprawnie należy

umieścid certyfikat który eksprtwaliśmy la klientów w katalgu, w którym zstał zainstalwany

Quick VPN Client na komputerze zdalnym. Aby wyeksprtwad certyfikat la klientów klikamy Exprt

for Client, zapisujemy plik na komputerze lokalnym, a następnie przensimy g na kmputer z

zainstalowanym oprogramowaniem QuickVPN Client.

W ten spsób ruter i prgramwanie klienckie bęzie krzystał z unikalneg certyfikatu

bezpieczeostwa eykwaneg tylk la hstów płącznych teg rutera.

Kniec rzziału 2 pświęcneg knfiguracji tuneli typu Client – to – Gateway. Szczegółwe

infrmacje tyczące knfiguracji teg typu tuneli np. przy użyciu prgramwania wbuwaneg w

WinXP mżna znaleźd w pręczniku bsługi urzązenia WRV200.



3. Rzwiązywanie prblemów:

A. Jeżeli płączenie VPN zstał zestawine prawiłw, status płączenia w zakłace Summary

pkazuje C lub Cnnecte la właściweg tunelu, a nie mżemy wymieniad anych pprzez

ten tunel należy sprawzid, czy sieci p bu strnach tunelu VPN mają różny schemat

adresacji(w przypadku zachowania takieg sameg schematu aresacji kmunikacja mże

nie przebiegad prawidłw).

B. W przypaku niemżliwści zestawienia tunelu VPN należy sprawzid ustawienia firewalli

urzązeo stępwych. W przypadku tuneli Client – to – Gateway, jeżeli zalny hst znajduje

się za ruterem, lub firewallem, należy włączyd pcję VPN Passthru(la właściweg prtkłu

VPN(myślnie urzązenia firmy Linksys mają włączną pcję VPN Passthru la IPSec, PPTP

raz L2TP), w przypaku, gy urzązenie nie psiaa pcji VPN Passthru należy blkwad

prty, właściwe la knkretneg prtkłu np. la PPTP należy twrzyd prt TCP – 1723

(umżliwienie zestawienia tunelu VPN) atkw włączyd przepuszczanie ruchu la

prtkłu GRE(IP #47) - dane. Alternatywnie, należy sprawzid mżliwśd zestawienia tunelu

p wyłączeniu firewalla na urzązeniu. C. Prblem z zestawianiem płączenia VPN przy wykrzystaniu prgramwania klienckieg

inneg niż Linksys Quick VPN Client, mże wynikad z nie właściwych ustawieo prtów, lub

prtkłu VPN. Upewnij się, ze prgramwanie wykrzystuje właściwy prtkół.

Zestawianie tuneli Client – to – Gateway na ruterach Linksys bywa się myślnie z

wykrzystaniem prtkłu IPSec.

D. Prblem z zestawieniem tunelu mże wynikad, z różnych ustawieo uwierzytelniania, lub

algrytmów szyfrwania w pszczególnych fazach zestawiania płączenia. W zakłace VPN w

ustawieniach zaawanswanych tunelu(Avance Settings) mżemy sprawzid kłane

ustawienia eykwane la knkretnej fazy płączenia. Ważne, aby ługśd klucza, wartśd

grupy DH p bu strnach tunelu pkrywały się.

Więcej infrmacji tyczących rzwiązywanie prblemów z zestawianiem tuneli VPN w pręczniku

bsługi eykwanym pszczególnych urzązeo.



Pełna ferta dstępna na:

www.fen.pl

http://www.fen.pl/

http://www.fen.pl/

Documents

Konfiguracja Tuneli VPN