Shrew i Netasq v.9

Wersja 9 firmware Netasq wprowadza możliwość zastosowania trybu Config Mode do automatycznego zaadresowania interfejsu wirtualnego IPsec.
Klient Shrew zawdzięcza swoją popularność faktem, że jest oprogramowaniem bezpłatnym, program można pobrać ze strony www.shrew.net. Opisywana w artykule konfiguracja dotyczy oprogramowania w wersji 2.1.7 zainstalowanego w Windows 7 PL 64-bit Ultimate.
W opisywanej konfiguracji serwer VPN NETASQ został skonfigurowany do autoryzacji przy pomocy certyfikatów wystawionych w PKI Netasq-a.
Sama konfiguracja urzędu certyfikacji CA nie jest tematem artykułu, można jedynie wspomnieć, że na urządzeniu został powołany nadrzędy urząd certyfikacji oraz wystawione zostały certyfikaty dla samego urządzenia (serwera IPSEC VPN) oraz certyfikat dla użytkownika.

KONFIGURACJA SERWERA IPSEC

Założenia: tunel IPSEC ma zapewnić połączenie mobilnego użytkownika do zasobów lokalnej sieci instytucji. Do zaadresowania mobilnego użytkownika zostanie wykorzystana funkcjonalność Config Mode. Dla lepszego zobrazowania konfiguracji klienta Shrew publikuję główne ekrany konfiguracji NETASQ-a dotyczące serwera IPSec dla połączeń Client-TO-Site.

Konfiguracja tunelu mobilnego

Konfiguracja tunelu mobilnego

 

gdzie:

Network_lan (192.168.0.0/24) jest obiektem typu network definiującym sieć lokalną instytucji do której dostęp zapewniamy poprzez połączenie tunelowane

Remote_VPN_Mobile (172.16.0.0/24) jest obiektem typu network definiującym podsieć z której będą przyznawane adresy łączącym się klientom mobilnym

W przypadku korzystania z funkcjonalności Config Mode definicja sieci lokalnej nie może być grupą sieci – musi to być pojedyncza podsieć.

 

Konfiguracja klienta mobilnego

Konfiguracja klienta mobilnego

 

Konfiguracja profili IPSEC

Konfiguracja profilu IKE

Konfiguracja profilu IKE

 

Konfiguracja profilu IPSEC

Konfiguracja profilu IPSEC

 

Konfiguracja profilu IPSEC

Konfiguracja profilu IPSEC

 

KONFIGURACJA SHREW

Poniżej przestawiam wszystkie ekrany konfiguracyjne klienta SHREW. Zaprezentowanych ustawień nie należy traktować w sposób bezkrytyczny, wiele z nich może mieć inne ustawienia. Zaprezentowana konfiguracja była wielokrotnie sprawdzona.
 


W miejscu wyboru certyfikatów, trzykrotnie wskazujemy miejsce gdzie znajduje się plik certyfikatu użytkownika wyksportowany z NETASQ-a do kontenera p12.

Dodaj komentarz

Aktualny firmware wersji 9 to: 9.1.2.4 (Release Note) - OpenSSL w wersji 1.0.1g. Data publikacji: 2014-05-06
Aktualny firmware wersji 8 to: 8.2.2.3 (Release Note) - nowy moduł protokołów routingu dynamicznego, poprawiono kilka usterek. Data publikacji: 2014-01-27