Konfiguracja Tuneli VPN

Konfiguracja tuneli VPN na urządzeniach LINKSYS

Pznao 2007

Wstęp Niniejszy pranik bejmuje zakresem pstawwe zaganienia związane z tunelami VPN. Przedstawiono, jak sknfigurwad bezpieczne płączenie pmięzy ziałami firmy, lub uzyskad zalny stęp  firmwej sieci wykrzystując  teg urzązenia marki Linksys. Pmim, iż knfiguracja była przeprwazana na 2 melach urzązeo: RV082 oraz WRV200, przedstawione wskazówki mgą zstad również zastswane  pzstałych meli urzązeo firmy Linksys. VPN czyli Virtual Private Cnnectin pzwala na stwrzenie lgiczneg tunelu pmięzy wma lkalizacjami przy wykrzystaniu istniejącej infrastruktury sieciwej. Z punktu widzenia tunelu VPN nie jest isttne przez jakie sieci przechzi pakiet, najważniejsze, aby urzązenia na bu kocach tunelu były właściwie sknfigurwane  jeg bsługi. Dane przesyłane tunelem VPN są pakowane w specjalnie szyfrowane pakiety ESP, w celu twrzenia pakietu birca musi znad klucz i algrytm którym infrmacje zstały zaszyfrwane. D szyfrwania anych wykrzystuje się silne algorytmy takie jak DES/3DES/AES. Niektóre z algrytmów mgą bniżyd przepustwśd łączy(sytuacja systematycznie się pprawia i w najnwszych wersjach prgramwania tunele twrzne przy wykrzystaniu RV082 i algrytmów szyfrujących 3DES uzyskują prękści rzęu 90 Mb/s). Dzięki szyfrowaniu mżemy byd pewni, że nasze ane nie zstaną psłuchane. Tunele VPN znajują zastswanie przy łączeniu różnych ziałów firmy, lub pzwalają na uzyskanie stępu  firmwej sieci la pracwników zalnych(np. z mu lub lkalizacji publicznej). Wyróżniamy wa główne rzaje tuneli VPN: - Gateway  – to – Gateway – tunel w tym wypaku zestawiany jest pmięzy wma urzązeniami, które psiaają funkcję twrzenia tuneli VPN teg typu, mgą t byd np. wa rutery, zaletą teg trybu jest mżliwśd kreślenia, czy cała sied ma mied stęp  tunelu zalneg, czy tylk pojeyncze hsty występujące w tej sieci,

- Client – to – Gateway – tunel zestawiany jest pmięzy hstem w zalnej lkalizacji a urzązeniem sieciwym(ruterem bąź serwerem VPN), który aje hstwi stęp  sieci umieszcznej za nim, Jak atkwy tryb rutery firmy Linksys psiaają mżliwśd zestawiania tuneli client – to  – gateway przy użyciu aplikacji starcznej przez firmę Linksys, prgramwanie Quick VPN Client, pzwala w prsty i szybki spsób zestawid tunel VPN pmięzy ruterem a hostem zdalnym.

Gateway – to – Gateway

Client – to – Gateway

1.

Zestawianie tuneli Gateway – to – Gateway:

W celu zestawienia teg typu tuneli, musimy upewnid się, że sieci lokalne, pmięzy którymi zstanie zestawiny tunel VPN bęą miały różną aresację. Jeżeli nie zastsujemy się  pwyższej rady, pmim, że bęziemy w stanie zestawid tunel VPN pmięzy wma urzązeniami, pakiety mgą byd kierwane błęnie, c uniemżliwi kmunikację pmięzy sieciami. Przykławe ustawienia schematu aresacji la sieci p  bu strnach kanału VPN:

Przyjęt, że rutery yspnują p strnie interfejsu WAN statycznymi aresami IP. Komputery w sieciach lokalnych pbierają aresy IP ynamicznie z ruterów.

Ustawienia routera 1: Adres IP routera po stronie WAN: 192.168.10.11 Adres IP routera po stronie LAN: 192.168.1.1 Maska podsieci: 255.255.255.0 Serwer DHCP: 192.168.1.100 -254

Ustawienia routera 2: Adres IP routera po stronie WAN: 192.168.10.10 Adres IP routera po stronie LAN: 192.168.2.1 Maska podsieci: 255.255.255.0 Serwer DHCP: 192.168.2.100 -254

1.1

Knfiguracja ustawieo sieciwych

Wprwazanie ustawieo tyczących zarówn schematów aresacji jak i tuneli VPN bywa się przy wykrzystaniu interfejsu zarzązania www, wbuwaneg w urzązenie. Dmyślnie interfejs www jest stępny p aresem http://192.168.1.1 . D knfiguracji urzązeo Linksys plecamy przegląarkę IE Explrer w wersji 6.0 lub wyżej. Więcej szczegółów  knfiguracji ustawieo interfejsu WAN raz knfiguracji sieci lkalnej w przewniku

użytkwnika

http://www.linksys.com .

eykwanym



teg

urzązenia

stępnym

na

strnie

P ustaleniu schematów aresacji, właściweg la każeg z ruterów należy właściwie sknfigurwad zaprę wbuwaną w urzązenie. Zmiany należy wprwazid w zakłace Firewall w następujących pcjach:

Block Anonymus Internet Request -> znaczyd haczyk w plu bk parametru(WRV200)

Block Anonymus Internet Request -> zmienid wartśd w plu na Disable(RV042/RV082)

Datkw w niektórych wersjach prgramwania ruterów RV042/RV082, w których występuje parametr Fragmented Packets Pass Through należy zmienid wartśd tej pcji na Enable. W dalszej części przestawin zrzuty ekranwe z knfiguracji tuneli na WRV200, jenak występujące ustawienia są uniwersalne i mgą byd z pwzeniem zastswane  innych meli urzązeo marki Linksys. P ustaleniu schematów aresacji właściweg la każeg z ruterów należy przejśd  zakłaki: VPN > IP Sec VPN(la urzązenia WRV200, w urzązeniach RV przechzimy  zakłaki VPN, a następnie wybieramy interesujący nas typ tunelu). Należy wybrad tunel który ma zstad wykrzystany(ilśd tuneli IPSec jest uzależnina od modelu urzązenia: RVL200/WRV200 – 5, RV042 – 50, RV082 – 100 ). P wybraniu nr tunelu należy zaznaczyd pcję Enabled raz wpisad jeg nazwę. Nazwa tunelu mże byd różna p bu jeg strnach.

Następnym krkiem w twrzeniu tuneli VPN jest wybór które z hstów bęą miały stęp  tunelu i knfiguracja ustawieo sieciwych. Rysunek przestawiny na następnej strnie pkazuje częśd pzwalającą na wybór które z hstów mają mied stęp  tunelu VPN raz knfigurację ustawieo sieciowych tunelu. W naszym wypaku przyjęliśmy, że wszystkie hsty z bu sieci mają mied stęp do tunelu VPN.

W tym celu przypisan na urzązeniach następujące ustawienia: Router 1:

Router 2:

Pszczególne parametry zstały wypełnine zgnie ze schematem aresacji przestawinym na pczątku rzziału. Oczywiście nie jest t jeyna mżliwa knfiguracja, użytkwnik mże zecywad, czy stęp  tunelu ma mied pjeynczy kmputer, częśd psieci lub cała psied. Za decyzję które z hstów mają mied stęp  tunelu pwiaa parametr Type. D wybru użytkwnik ma ares IP(czyli tunel zakoczny bęzie na urzązeniu zalnym, wszystkie urzązenia płączne  nieg bęą miały stęp  tunelu), psied(Subnet – cała psied lub częśd psieci bęzie miała stęp  tunelu), pjeynczy hst(tunel bęzie zakoczny na ruterze, a przekazanie ruchu bywad się bęzie pprzez przek ierwanie prtów rutera na kreślny kmputer w sieci).

1.2

Knfiguracja ustawieo bezpieczeostwa

P wpisaniu ustawieo sieciwych właściwych la zestawianeg tunelu VPN , kolejnym krokiem jest konfiguracja ustawieo bezpieczeostwa. Ustawienia bezpieczeostwa muszą zstad sknfigurwane   jenakw na urzązeniach p bu strnach tunelu, wprwazenie różnych ustawieo na którymklwiek z urzązeo uniemżliwi zestawienie tunelu VPN. Pierwszym elementem w knfiguracji bezpieczeostwa jest wybór spsbu wymiany klucza szyfrująceg. Użytkwnik ma  wybru wa tryby Aut ( w RV082 pwiaa temu tryb – IKE with Pre Share Key) lub Manual. Preferwanym trybem wymiany klucza szyfrująceg jest tryb automatyczny. Klejnym etapem jest wybór algrytmu szyfrująceg,  wybru użytkwnik ma kilka algrytmów szyfrwania. Dstępne tryby szyfrwania t: DES, 3DES, AES (128, 192,156 bitów). Ze wzglęu na siłę algorytmu zalecanym jest algorytm 3DES.

Następny krk w knfiguracji ustawieo bezpieczeostwa t wybór spsbu uwierzytelniania pakietów ESP, rutery ferują  wybru wie mety uwierzytelniania:  

MD5 - jednostronny algorytm szyfrujący, generujący 128 wzrzec SHA1 – jenstrnny algrytm szyfrujący, generujący wzrzec 160 bitwy

Pnieważ SHA1 jest algrytmem silniejszym, jest zalecany, przy twrzeniu tuneli VPN. Ostatnim krokiem przy podstawowej konfiguracji tuneli VPN   jest przypisanie klucza używaneg w prcesie zestawiania tunelu VPN. Klucz szyfrujący wpisujemy w plu Pre-Shared-Key. Klucz t ciąg znaków alfanumerycznych  ługści  30 znaków. W celu zapewnienia maksymalneg bezpieczeostwa tuneli VPN pleca się regularne zmiany klucza szyfrująceg.

UWAGA! W przypaku knfiguracji tuneli pmięzy wma różnymi melami urzązeo, należy zwrócid uwagę, aby ustawienia grupy DH(Diffie-Hellman) były jenakwe na bu urzązeniach. Pnieważ prces zestawiania tunelu VPN skłaa się z wóch faz, w przypaku prblemów z tunelem VPN należy sprawzid czy ustawienia la bu grup są wprwazne jenakw. Ustawienia grupy DH stępne są w zakłace Avance Settings. Pniżej przestawin przykławe ustawienia la grupy DH – 1024 bity. W zależnści  wybranej grupy, klucz szyfrujący bęzie łuższy(im wyższa grupa tym łuższy klucz) lub krótszy. Długśd klucza szyfrująceg ma znaczenie przy cenie wyajnści tunelu, krótszy klucz pzwala uzyskad lepsze wartści transferu, jenak łuższy klucz zapewnia większe bezpieczeostw.

Wszystkie wprwazne zmiany należy zatwierzid klikając Save Settings.

W zakłace VPN Summary mamy mżliwśd ślezenia stanu tunelu. Status tunelu mże byd kreślny nastepując:  

   

C - tunel jest zestawiony poprawnie T - urzązenie próbuje zestawid tunel, w przypaku występwania w plu status literki T, należy spróbwad świeżyd strnę przyciskiem Refresh znajdu jącym się na w lnej części zakłaki VPN Summary, jeżeli przez łuższy czas występuje literka T, należy kliknąd View VPN Lg, lgi związane z tunelami VPN pzwalają łatwiej zlkalizwad błęy knfiguracyjne Stop – tunel zstał zatrzymany D – tunel zstał aministracyjnie wyłączny Disable Any – tunel oczekuje zainicjowanie przez zdalnego hosta NAT-T  – tunel ma włączną pcją NAT-T, umżliwiając wywłanie tunelu przez zalneg hsta plegająceg translacji aresów.

Poprawne zestawienie tunelu sygnalizowane jest w urzązeniu literą C w statusie pwienieg tunelu w zakłace VPN Summary, lub pprzez wyświetlenie informacji logach VPN: 251 [Tue 12:50:01] "TunnelA" #30: STATE_QUICK_R2: IPsec SA established

W zależnści  parametrów płączenia w nawiasie za tą wiamścią znają się parametry związane z pszczególnym tunelem. Działanie tunelu mżemy sprawzid pprzez pingwanie bramy myślnej znajującej się p strnie LAN. Pniższy rysunek przestawia pwieź na kmenę ping wywłaną z komputera znajdu jąceg się w sieci 192.168.1.0, prze i p zestawieniu tunelu VPN. Opwieź hsta zalneg prze zestawieniem tunelu VPN:

Opwieź hsta zalneg p zestawieniu tunelu VPN:

Kniec rzziału pierwszeg pświecneg knfiguracji tuneli VPN typu Gateway – to  – Gateway. Więcej infrmacji na temat zestawiania tuneli teg typu raz kłany pis pszczególnych

parametrów

tyczących

zakłaek

VPN

w

pręczniku

bsługi

przeznaczonym  knkretneg urzązenia stępnym na strnie http://www.linksys.com .

2. Zestawianie tuneli Client – to – Gateway: Tunele typu Client – to – Gateway mgą byd zestawiane przy wykrzystaniu prgramwania dostarczonego przez firmę Linksys – Quick VPN Client, jak również prgramwania wbuwaneg w systemy operacyjne, lub darmowego oprogramowania klienckiego pobranego z Internetu. Zestawianie tuneli przy użyciu prgramwania wbuwaneg w systemy peracyjne, lub zewnętrznego oprogramowania, jest analogiczne do zestawiania tuneli typu Gateway  – to – Gateway i wymaga zgnści infrmacji pawanych p strnie urzązenia stępweg jak i klienta VPN. W zależnści  urzązenia zestawianie tuneli teg typu mże bywad się poprzez wybranie pjeynczeg aresu IP jak strny zalnej(np. WRV200), lub pprzez knfigurację anych we właściwej zakłace urzązenia VPN > VPN Client – to – Gateway (np. RV082). Zestawianie tuneli tego typu przy wykorzystaniu oprogramowania dostarczaneg przez firmę Linksys jest prste i wymaga  użytkwnika pania wyłącznie pstawwych infrmacji, lateg alsza częśd instrukcji zstała pświęcna zestawianiu tuneli przy wykorzystaniu oprogramowania firmy Linksys. W zależnści  melu, użytkwnik mże zestawid 10(RVL/WRV200/RV042) lub 15(RV082) tuneli QuickVPN. Datkw firma Linksys feruje mżliwśd kupienia licencji QuickVPN rzszerzającej liczbę klientów na urzązeniach RV042/RV082  50 użytkwników. 2.1

Linksys Quick VPN Client

W pierwszej klejnści należy ustalid nazwę użytkwnika i hasł na ruterze , robimy to w zakłace VPN > VPN Client Access. P wpisaniu nazwy i hasła klikamy na A/Save , zaznaczamy, a następnie zapisujemy zmiany > Save Settings. Pniżej przestawin odawanie klejneg użytkownika do listy VPN Client List.

Kolejnym krokiem jest instalacja oprogramowania Linksys Quick VPN Client, na komputerze zdalnym z któreg bęziemy chcieli uzyskad płączenie z urzązeniem VPN. Oprogramowanie Quick VPN Client powinno znajwad się na płycie łącznej  urzązenia, jeżeli nie psiaamy płyty lub brakuje na niej tego oprogramowania mżna   je pbrad ze strony www.fen.pl ział wnla. Oprogramowanie jest zgodne z systemami operacyjnymi Win2K oraz WinXP. UWAGA! Podobnie jak w przypadku zestawiania tuneli gateway  – to  – gateway, jeżeli kmputer zalny płączny jest  sieci wewnętrznej i nie yspnuje publicznym aresem IP, należy zabad, aby schemat adresacji w sieci d której płączny   jest kmputer różnił się  aresacji sieci p drugiej stronie tunelu VPN. Jeżeli pwyższe czynnści mamy za sbą należy uruchmid prgram Quick VPN Client. W pierwszym etapie twrzymy nazwę prfilu la naszeg płączenia, np. nazwa firmy, w polach user i password wpisujemy takie same dane jakie ustawiliśmy na ruterze. Następnie wpisujemy ares rutera aktywnego interfejsu WAN, lub adresu domenowego, jeśli yspnujemy zmiennym IP. W pniższej knfiguracji ruter, z którym realizwane był płączenie stępny był z zewnątrz p adresem 192.168.10.100.

Klikamy Connect i płączenie zostaje zestawione. Rysunki przedstawione pniżej pkazują prces zestawiania płączenia.

Zestawianie płączenia

Aktywacja certyfikatu

Weryfikacja sieci

Po uruchomieniu aplikacji QuickVPN Client status płączenia wyświetlany jest w pstaci ikny na pasku zaao systemu Winws.

Tunel aktywny

Tunel nieaktywny

Podobnie jak w wypadku tuneli typu Client  – to  – Gateway, płączenie mżemy przetestwad używając o tego celu polecenia ping. Jeżeli kmputer zalny znajuje się w sieci lkalnej zielnej  sieci Internet ruterem isttne   jest, aby lkalny ruter miał włączne przepuszczanie tuneli VPN typu IPSec. Urzązenia Linksysa ają mżliwśd włączenia przepuszczania tuneli VPN i funkcja ta jest myślnie włączna. Więcej informacji na temat przepuszczania tuneli VPN w rozdziale 3 – Rzwiązywanie prblemów. Konfiguracja dodatkowa:

Barziej zaawanswane rutery ają mżliwśd wygenerwania nweg certyfikatu bezpieczeostwa, któreg bęzie używał nasz ruter i klienci. Opcja ta stępna jest w urzązeniach RV042/RV082. Aby wygenerwad nwy certyfikat przechzimy  zakłaki VPN > VPN Client Access. W lnej części zakłaki mamy stępną częśd pświęcną generwaniu i zapisywaniu nwych certyfikatów bezpieczeostwa.

Aby wygenerwad nwy certyfikat bezpieczeostwa klikamy Generate. Dbrą praktyką jest zapisanie certyfikatu na kmputerze aministracyjnym, zięki temu p utracie knfiguracji, lub przywróceniu rutera  ustawieo fabrycznych, bęziemy mieli mżliwśd imprtu zapisaneg wcześniej certyfikatu do routera. Aby zapisad certyfikat wygenerwany la rutera klikamy na Exprt fr Amin i zapisujemy na lokalnym komputerze. Klejnym krkiem jest eksprt certyfikatu la klientów, aby płączenie ziałał pprawnie należy umieścid certyfikat który eksprtwaliśmy la klientów w katalgu, w którym zstał zainstalwany Quick VPN Client na komputerze zdalnym. Aby wyeksprtwad certyfikat la klientów klikamy Exprt for Client, zapisujemy plik na komputerze lokalnym, a następnie przensimy g na kmputer z zainstalowanym oprogramowaniem QuickVPN Client. W ten spsób ruter i prgramwanie klienckie bęzie krzystał z unikalneg certyfikatu bezpieczeostwa eykwaneg tylk la hstów płącznych  teg r utera.

Kniec rzziału 2 pświęcneg knfiguracji tuneli typu Client – to – Gateway. Szczegółwe infrmacje tyczące knfiguracji teg typu t uneli np. przy użyciu prgramwania wbuwaneg w WinXP mżna znaleźd w pręczniku bsługi urzązenia WRV200.

3.

Rzwiązywanie prblemów:

A. Jeżeli płączenie VPN zstał zestawine prawiłw, status płączenia w zakłace Summary pkazuje C lub Cnnecte la właściweg tunelu, a nie mżemy wymieniad anych pprzez ten tunel należy sprawzid, czy sieci p bu strnach tunelu VPN mają różny schemat adresacji(w przypadku zachowania takieg sameg schematu aresacji kmunikacja mże nie przebiegad prawidłw). B. W przypaku niemżliwści zestawienia tunelu VPN należy sprawzid ustawienia firewalli urzązeo stępwych. W przypadku tuneli Client – to – Gateway, jeżeli zalny hst znajduje się za ruterem, lub firewallem, należy włączyd pcję VPN Passthru(la właściweg prtkłu VPN(myślnie urzązenia firmy Linksys mają włączną pcję VPN Passthru la IPSec, PPTP raz L2TP), w przypaku, gy urzązenie nie psiaa pcji VPN Passthru należy blkwad prty, właściwe la knkretneg prtkłu np. la PPTP należy twrzyd prt TCP – 1723 (umżliwienie zestawienia tunelu VPN) atkw włączyd przepuszczanie ruchu la prtkłu GRE(IP #47) - dane. Alternatywnie, należy sprawzid mżliwśd zestawienia tunelu p wyłączeniu firewalla na urzązeniu. C. Prblem z zestawianiem płączenia VPN przy wykrzystaniu prgramwania klienckieg inneg niż Linksys Quick VPN Client, mże wynikad z nie właściwych ustawieo prtów, lub prtkłu VPN. Upewnij się, ze prgramwanie wykrzystuje właściwy prtkół. Zestawianie tuneli Client  – to  – Gateway na ruterach Linksys bywa się myślnie z wykrzystaniem prtkłu IPSec. D. Prblem z zestawieniem tunelu mże wynikad, z różnych ustawieo uwierzytelniania, lu b algrytmów szyfrwania w pszczególnych fazach zestawiania płączenia. W zakłace VPN w ustawieniach zaawanswanych tunelu(Avance Settings) mżemy sprawzid kłane ustawienia eykwane la knkretnej fazy płączenia. Ważne, aby ługśd klucza, wartśd grupy DH p bu strnach tunelu pkrywały się.

Więcej infrmacji tyczących rzwiązywanie prblemów z zestawianiem tuneli VPN w pręczniku bsługi eykwanym  pszczególnych urzązeo.

Pełna ferta dstępna na:

www.fen.pl