konfiguracja tuneli vpn
TRANSCRIPT
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 1/12
Konfiguracja tuneli VPN na
urządzeniach LINKSYS
Pznao 2007
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 2/12
Wstęp
Niniejszy pranik bejmuje zakresem pstawwe zaganienia związane z tunelami VPN.
Przedstawiono, jak sknfigurwad bezpieczne płączenie pmięzy ziałami firmy, lub uzyskad
zalny stęp firmwej sieci wykrzystując teg urzązenia marki Linksys. Pmim, iż
knfiguracja była przeprwazana na 2 melach urzązeo: RV082 oraz WRV200, przedstawionewskazówki mgą zstad również zastswane pzstałych meli urzązeo firmy Linksys.
VPN czyli Virtual Private Cnnectin pzwala na stwrzenie lgiczneg tunelu pmięzy
wma lkalizacjami przy wykrzystaniu istniejącej infrastruktury sieciwej. Z punktu widzenia
tunelu VPN nie jest isttne przez jakie sieci przechzi pakiet, najważniejsze, aby urzązenia na bu
kocach tunelu były właściwie sknfigurwane jeg bsługi. Dane przesyłane tunelem VPN są
pakowane w specjalnie szyfrowane pakiety ESP, w celu twrzenia pakietu birca musi znad klucz
i algrytm którym infrmacje zstały zaszyfrwane. D szyfrwania anych wykrzystuje się silne
algorytmy takie jak DES/3DES/AES. Niektóre z algrytmów mgą bniżyd przepustwśd
łączy(sytuacja systematycznie się pprawia i w najnwszych wersjach prgramwania tunele
twrzne przy wykrzystaniu RV082 i algrytmów szyfrujących 3DES uzyskują prękści rzęu 90
Mb/s). Dzięki szyfrowaniu mżemy byd pewni, że nasze ane nie zstaną psłuchane. Tunele VPNznajują zastswanie przy łączeniu różnych ziałów firmy, lub pzwalają na uzyskanie stępu
firmwej sieci la pracwników zalnych(np. z mu lub lkalizacji publicznej). Wyróżniamy wa
główne rzaje tuneli VPN:
- Gateway – to – Gateway – tunel w tym wypaku zestawiany jest pmięzy wma urzązeniami,
które psiaają funkcję twrzenia tuneli VPN teg typu, mgą t byd np. wa rutery, zaletą teg
trybu jest mżliwśd kreślenia, czy cała sied ma mied stęp tunelu zalneg, czy tylk
pojeyncze hsty występujące w tej sieci,
- Client – to – Gateway – tunel zestawiany jest pmięzy hstem w zalnej lkalizacji a urzązeniem
sieciwym(ruterem bąź serwerem VPN), który aje hstwi stęp sieci umieszcznej za nim,
Jak atkwy tryb rutery firmy Linksys psiaają mżliwśd zestawiania tuneli client – to –
gateway przy użyciu aplikacji starcznej przez firmę Linksys, prgramwanie Quick VPN Client,
pzwala w prsty i szybki spsób zestawid tunel VPN pmięzy ruterem a hostem zdalnym.
Gateway – to – Gateway Client – to – Gateway
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 3/12
1. Zestawianie tuneli Gateway – to – Gateway:
W celu zestawienia teg typu tuneli, musimy upewnid się, że sieci lokalne, pmięzy którymi
zstanie zestawiny tunel VPN bęą miały różną aresację. Jeżeli nie zastsujemy się pwyższej
rady, pmim, że bęziemy w stanie zestawid tunel VPN pmięzy wma urzązeniami, pakiety
mgą byd kierwane błęnie, c uniemżliwi kmunikację pmięzy sieciami.
Przykławe ustawienia schematu aresacji la sieci p bu strnach kanału VPN:
Przyjęt, że rutery yspnują p strnie interfejsu WAN statycznymi aresami IP.
Komputery w sieciach lokalnych pbierają aresy IP ynamicznie z ruterów.
Ustawienia routera 1:
Adres IP routera po stronie WAN: 192.168.10.11
Adres IP routera po stronie LAN: 192.168.1.1
Maska podsieci: 255.255.255.0
Serwer DHCP: 192.168.1.100 -254
Ustawienia routera 2:
Adres IP routera po stronie WAN: 192.168.10.10
Adres IP routera po stronie LAN: 192.168.2.1
Maska podsieci: 255.255.255.0
Serwer DHCP: 192.168.2.100 -254
1.1 Knfiguracja ustawieo sieciwych
Wprwazanie ustawieo tyczących zarówn schematów aresacji jak i tuneli VPN bywa
się przy wykrzystaniu interfejsu zarzązania www, wbuwaneg w urzązenie. Dmyślnie interfejs
www jest stępny p aresem http://192.168.1.1 . D knfiguracji urzązeo Linksys plecamy
przegląarkę IE Explrer w wersji 6.0 lub wyżej.
Więcej szczegółów knfiguracji ustawieo interfejsu WAN raz knfiguracji sieci lkalnej w
przewniku użytkwnika eykwanym teg urzązenia stępnym na strnie
http://www.linksys.com .
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 4/12
P ustaleniu schematów aresacji, właściweg la każeg z ruterów należy właściwie
sknfigurwad zaprę wbuwaną w urzązenie. Zmiany należy wprwazid w zakłace Firewall w
następujących pcjach:
Block Anonymus Internet Request -> znaczyd haczyk w plu bk parametru(WRV200)
Block Anonymus Internet Request -> zmienid wartśd w plu na Disable(RV042/RV082)
Datkw w niektórych wersjach prgramwania ruterów RV042/RV082, w których występuje
parametr Fragmented Packets Pass Through należy zmienid wartśd tej pcji na Enable.
W dalszej części przestawin zrzuty ekranwe z knfiguracji tuneli na WRV200, jenak
występujące ustawienia są uniwersalne i mgą byd z pwzeniem zastswane innych meliurzązeo marki Linksys.
P ustaleniu schematów aresacji właściweg la każeg z ruterów należy przejśd zakłaki:
VPN > IP Sec VPN(la urzązenia WRV200, w urzązeniach RV przechzimy zakłaki VPN, a
następnie wybieramy interesujący nas typ tunelu).
Należy wybrad tunel który ma zstad wykrzystany(ilśd tuneli IPSec jest uzależnina od modelu
urzązenia: RVL200/WRV200 – 5, RV042 – 50, RV082 – 100 ). P wybraniu nr tunelu należy zaznaczyd
pcję Enabled raz wpisad jeg nazwę. Nazwa tunelu mże byd różna p bu jeg strnach.
Następnym krkiem w twrzeniu tuneli VPN jest wybór które z hstów bęą miały stęp tunelu i
knfiguracja ustawieo sieciwych. Rysunek przestawiny na następnej strnie pkazuje częśd
pzwalającą na wybór które z hstów mają mied stęp tunelu VPN raz knfigurację ustawieo
sieciowych tunelu. W naszym wypaku przyjęliśmy, że wszystkie hsty z bu sieci mają mied stęp
do tunelu VPN.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 5/12
W tym celu przypisan na urzązeniach następujące ustawienia:
Router 1:
Router 2:
Pszczególne parametry zstały wypełnine zgnie ze schematem aresacji przestawinym na
pczątku rzziału. Oczywiście nie jest t jeyna mżliwa knfiguracja, użytkwnik mże
zecywad, czy stęp tunelu ma mied pjeynczy kmputer, częśd psieci lub cała psied. Za
decyzję które z hstów mają mied stęp tunelu pwiaa parametr Type. D wybru
użytkwnik ma ares IP(czyli tunel zakoczny bęzie na urzązeniu zalnym, wszystkie urzązenia
płączne nieg bęą miały stęp tunelu), psied(Subnet – cała psied lub częśd psieci
bęzie miała stęp tunelu), pjeynczy hst(tunel bęzie zakoczny na ruterze, a przekazanie
ruchu bywad się bęzie pprzez przekierwanie prtów rutera na kreślny kmputer w sieci).
1.2 Knfiguracja ustawieo bezpieczeostwa
P wpisaniu ustawieo sieciwych właściwych la zestawianeg tunelu VPN , kolejnym krokiem jest
konfiguracja ustawieo bezpieczeostwa. Ustawienia bezpieczeostwa muszą zstad sknfigurwane
jenakw na urzązeniach p bu strnach tunelu, wprwazenie różnych ustawieo na
którymklwiek z urzązeo uniemżliwi zestawienie tunelu VPN.
Pierwszym elementem w knfiguracji bezpieczeostwa jest wybór spsbu wymiany klucza
szyfrująceg. Użytkwnik ma wybru wa tryby Aut ( w RV082 pwiaa temu tryb – IKE with
Pre Share Key) lub Manual. Preferwanym trybem wymiany klucza szyfrująceg jest tryb
automatyczny.
Klejnym etapem jest wybór algrytmu szyfrująceg, wybru użytkwnik ma kilka algrytmówszyfrwania. Dstępne tryby szyfrwania t: DES, 3DES, AES (128, 192,156 bitów). Ze wzglęu na siłę
algorytmu zalecanym jest algorytm 3DES.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 6/12
Następny krk w knfiguracji ustawieo bezpieczeostwa t wybór spsbu uwierzytelniania pakietów
ESP, rutery ferują wybru wie mety uwierzytelniania:
MD5 - jednostronny algorytm szyfrujący, generujący 128 wzrzec
SHA1 – jenstrnny algrytm szyfrujący, generujący wzrzec 160 bitwy
Pnieważ SHA1 jest algrytmem silniejszym, jest zalecany, przy twrzeniu tuneli VPN.
Ostatnim krokiem przy podstawowej konfiguracji tuneli VPN jest przypisanie klucza używaneg w
prcesie zestawiania tunelu VPN. Klucz szyfrujący wpisujemy w plu Pre-Shared-Key. Klucz t ciąg
znaków alfanumerycznych ługści 30 znaków. W celu zapewnienia maksymalneg
bezpieczeostwa tuneli VPN pleca się regularne zmiany klucza szyfrująceg.
UWAGA! W przypaku knfiguracji tuneli pmięzy wma różnymi melami urzązeo, należy
zwrócid uwagę, aby ustawienia grupy DH(Diffie-Hellman) były jenakwe na bu urzązeniach.
Pnieważ prces zestawiania tunelu VPN skłaa się z wóch faz, w przypaku prblemów z tunelem
VPN należy sprawzid czy ustawienia la bu grup są wprwazne jenakw. Ustawienia grupy DH
stępne są w zakłace Avance Settings. Pniżej przestawin przykławe ustawienia la grupy
DH – 1024 bity. W zależnści wybranej grupy, klucz szyfrujący bęzie łuższy(im wyższa grupa tymłuższy klucz) lub krótszy. Długśd klucza szyfrująceg ma znaczenie przy cenie wyajnści tunelu,
krótszy klucz pzwala uzyskad lepsze wartści transferu, jenak łuższy klucz zapewnia większe
bezpieczeostw.
Wszystkie wprwazne zmiany należy zatwierzid klikając Save Settings.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 7/12
W zakłace VPN Summary mamy mżliwśd ślezenia stanu tunelu. Status tunelu mże byd
kreślny nastepując:
C - tunel jest zestawiony poprawnie
T - urzązenie próbuje zestawid tunel, w przypaku występwania w plu status literki T,
należy spróbwad świeżyd strnę przyciskiem Refresh znajdu jącym się na w lnej części
zakłaki VPN Summary, jeżeli przez łuższy czas występuje literka T, należy kliknąd View VPNLg, lgi związane z tunelami VPN pzwalają łatwiej zlkalizwad błęy knfiguracyjne
Stop – tunel zstał zatrzymany
D – tunel zstał aministracyjnie wyłączny Disable
Any – tunel oczekuje zainicjowanie przez zdalnego hosta
NAT-T – tunel ma włączną pcją NAT-T, umżliwiając wywłanie tunelu przez zalneg
hsta plegająceg translacji aresów.
Poprawne zestawienie tunelu sygnalizowane jest w urzązeniu literą C w statusie pwienieg
tunelu w zakłace VPN Summary, lub pprzez wyświetlenie informacji logach VPN:
251 [Tue 12:50:01] "TunnelA" #30: STATE_QUICK_R2: IPsec SA established
W zależnści parametrów płączenia w nawiasie za tą wiamścią znają się parametry
związane z pszczególnym tunelem.
Działanie tunelu mżemy sprawzid pprzez pingwanie bramy myślnej znajującej się p
strnie LAN. Pniższy rysunek przestawia pwieź na kmenę ping wywłaną z
komputera znajdu jąceg się w sieci 192.168.1.0, prze i p zestawieniu tunelu VPN.
Opwieź hsta zalneg prze zestawieniem tunelu VPN:
Opwieź hsta zalneg p zestawieniu tunelu VPN:
Kniec rzziału pierwszeg pświecneg knfiguracji tuneli VPN typu Gateway – to –
Gateway. Więcej infrmacji na temat zestawiania tuneli teg typu raz kłany pis
pszczególnych parametrów tyczących zakłaek VPN w pręczniku bsługiprzeznaczonym knkretneg urzązenia stępnym na strnie http://www.linksys.com .
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 8/12
2. Zestawianie tuneli Client – to – Gateway:
Tunele typu Client – to – Gateway mgą byd zestawiane przy wykrzystaniu prgramwania
dostarczonego przez firmę Linksys – Quick VPN Client, jak również prgramwania wbuwaneg w
systemy operacyjne, lub darmowego oprogramowania klienckiego pobranego z Internetu.
Zestawianie tuneli przy użyciu prgramwania wbuwaneg w systemy peracyjne, lubzewnętrznego oprogramowania, jest analogiczne do zestawiania tuneli typu Gateway – to – Gateway
i wymaga zgnści infrmacji pawanych p strnie urzązenia stępweg jak i klienta VPN. W
zależnści urzązenia zestawianie tuneli teg typu mże bywad się poprzez wybranie
pjeynczeg aresu IP jak strny zalnej(np. WRV200), lub pprzez knfigurację anych we
właściwej zakłace urzązenia VPN > VPN Client – to – Gateway (np. RV082). Zestawianie tuneli tego
typu przy wykorzystaniu oprogramowania dostarczaneg przez firmę Linksys jest prste i wymaga
użytkwnika pania wyłącznie pstawwych infrmacji, lateg alsza częśd instrukcji zstała
pświęcna zestawianiu tuneli przy wykorzystaniu oprogramowania firmy Linksys. W zależnści
melu, użytkwnik mże zestawid 10(RVL/WRV200/RV042) lub 15(RV082) tuneli QuickVPN.
Datkw firma Linksys feruje mżliwśd kupienia licencji QuickVPN rzszerzającej liczbę
klientów na urzązeniach RV042/RV082 50 użytkwników.
2.1 Linksys Quick VPN Client
W pierwszej klejnści należy ustalid nazwę użytkwnika i hasł na ruterze , robimy to w
zakłace VPN > VPN Client Access. P wpisaniu nazwy i hasła klikamy na A/Save , zaznaczamy, a
następnie zapisujemy zmiany > Save Settings.
Pniżej przestawin odawanie klejneg użytkownika do listy VPN Client List.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 9/12
Kolejnym krokiem jest instalacja oprogramowania Linksys Quick VPN Client, na komputerze zdalnym
z któreg bęziemy chcieli uzyskad płączenie z urzązeniem VPN. Oprogramowanie Quick VPN
Client powinno znajwad się na płycie łącznej urzązenia, jeżeli nie psiaamy płyty lub
brakuje na niej tego oprogramowania mżna je pbrad ze strony www.fen.pl ział wnla.
Oprogramowanie jest zgodne z systemami operacyjnymi Win2K oraz WinXP.
UWAGA! Podobnie jak w przypadku zestawiania tuneli gateway – to – gateway, jeżeli kmputerzalny płączny jest sieci wewnętrznej i nie yspnuje publicznym aresem IP, należy zabad,
aby schemat adresacji w sieci d której płączny jest kmputer różnił się aresacji sieci p
drugiej stronie tunelu VPN.
Jeżeli pwyższe czynnści mamy za sbą należy uruchmid prgram Quick VPN Client. W pierwszym
etapie twrzymy nazwę prfilu la naszeg płączenia, np. nazwa firmy, w polach user i password
wpisujemy takie same dane jakie ustawiliśmy na ruterze. Następnie wpisujemy ares rutera -
aktywnego interfejsu WAN, lub adresu domenowego, jeśli yspnujemy zmiennym IP.
W pniższej knfiguracji ruter, z którym realizwane był płączenie stępny był z zewnątrz p
adresem 192.168.10.100.
Klikamy Connect i płączenie zostaje zestawione. Rysunki przedstawione pniżej pkazują prces
zestawiania płączenia.
Zestawianie płączenia
Aktywacja certyfikatu
Weryfikacja sieci
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 10/12
Po uruchomieniu aplikacji QuickVPN Client status płączenia wyświetlany jest w pstaci ikny na
pasku zaao systemu Winws.
Tunel aktywny Tunel nieaktywny
Podobnie jak w wypadku tuneli typu Client – to – Gateway, płączenie mżemy przetestwad
używając o tego celu polecenia ping.
Jeżeli kmputer zalny znajuje się w sieci lkalnej zielnej sieci Internet ruterem isttne
jest, aby lkalny ruter miał włączne przepuszczanie tuneli VPN typu IPSec. Urzązenia Linksysa
ają mżliwśd włączenia przepuszczania tuneli VPN i funkcja ta jest myślnie włączna. Więcej
informacji na temat przepuszczania tuneli VPN w rozdziale 3 – Rzwiązywanie prblemów.
Konfiguracja dodatkowa:
Barziej zaawanswane rutery ają mżliwśd wygenerwania nweg certyfikatu bezpieczeostwa,
któreg bęzie używał nasz ruter i klienci. Opcja ta stępna jest w urzązeniach RV042/RV082.Aby wygenerwad nwy certyfikat przechzimy zakłaki VPN > VPN Client Access. W lnej
części zakłaki mamy stępną częśd pświęcną generwaniu i zapisywaniu nwych certyfikatów
bezpieczeostwa.
Aby wygenerwad nwy certyfikat bezpieczeostwa klikamy Generate. Dbrą praktyką jest zapisanie
certyfikatu na kmputerze aministracyjnym, zięki temu p utracie knfiguracji, lub przywróceniu
rutera ustawieo fabrycznych, bęziemy mieli mżliwśd imprtu zapisaneg wcześniej
certyfikatu do routera.
Aby zapisad certyfikat wygenerwany la rutera klikamy na Exprt fr Amin i zapisujemy na
lokalnym komputerze.
Klejnym krkiem jest eksprt certyfikatu la klientów, aby płączenie ziałał pprawnie należy
umieścid certyfikat który eksprtwaliśmy la klientów w katalgu, w którym zstał zainstalwany
Quick VPN Client na komputerze zdalnym. Aby wyeksprtwad certyfikat la klientów klikamy Exprt
for Client, zapisujemy plik na komputerze lokalnym, a następnie przensimy g na kmputer z
zainstalowanym oprogramowaniem QuickVPN Client.
W ten spsób ruter i prgramwanie klienckie bęzie krzystał z unikalneg certyfikatu
bezpieczeostwa eykwaneg tylk la hstów płącznych teg rutera.
Kniec rzziału 2 pświęcneg knfiguracji tuneli typu Client – to – Gateway. Szczegółwe
infrmacje tyczące knfiguracji teg typu tuneli np. przy użyciu prgramwania wbuwaneg w
WinXP mżna znaleźd w pręczniku bsługi urzązenia WRV200.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 11/12
3. Rzwiązywanie prblemów:
A. Jeżeli płączenie VPN zstał zestawine prawiłw, status płączenia w zakłace Summary
pkazuje C lub Cnnecte la właściweg tunelu, a nie mżemy wymieniad anych pprzez
ten tunel należy sprawzid, czy sieci p bu strnach tunelu VPN mają różny schemat
adresacji(w przypadku zachowania takieg sameg schematu aresacji kmunikacja mże
nie przebiegad prawidłw).
B. W przypaku niemżliwści zestawienia tunelu VPN należy sprawzid ustawienia firewalli
urzązeo stępwych. W przypadku tuneli Client – to – Gateway, jeżeli zalny hst znajduje
się za ruterem, lub firewallem, należy włączyd pcję VPN Passthru(la właściweg prtkłu
VPN(myślnie urzązenia firmy Linksys mają włączną pcję VPN Passthru la IPSec, PPTP
raz L2TP), w przypaku, gy urzązenie nie psiaa pcji VPN Passthru należy blkwad
prty, właściwe la knkretneg prtkłu np. la PPTP należy twrzyd prt TCP – 1723
(umżliwienie zestawienia tunelu VPN) atkw włączyd przepuszczanie ruchu la
prtkłu GRE(IP #47) - dane. Alternatywnie, należy sprawzid mżliwśd zestawienia tunelu
p wyłączeniu firewalla na urzązeniu. C. Prblem z zestawianiem płączenia VPN przy wykrzystaniu prgramwania klienckieg
inneg niż Linksys Quick VPN Client, mże wynikad z nie właściwych ustawieo prtów, lub
prtkłu VPN. Upewnij się, ze prgramwanie wykrzystuje właściwy prtkół.
Zestawianie tuneli Client – to – Gateway na ruterach Linksys bywa się myślnie z
wykrzystaniem prtkłu IPSec.
D. Prblem z zestawieniem tunelu mże wynikad, z różnych ustawieo uwierzytelniania, lub
algrytmów szyfrwania w pszczególnych fazach zestawiania płączenia. W zakłace VPN w
ustawieniach zaawanswanych tunelu(Avance Settings) mżemy sprawzid kłane
ustawienia eykwane la knkretnej fazy płączenia. Ważne, aby ługśd klucza, wartśd
grupy DH p bu strnach tunelu pkrywały się.
Więcej infrmacji tyczących rzwiązywanie prblemów z zestawianiem tuneli VPN w pręczniku
bsługi eykwanym pszczególnych urzązeo.
5/13/2018 Konfiguracja Tuneli VPN - slidepdf.com
http://slidepdf.com/reader/full/konfiguracja-tuneli-vpn 12/12
Pełna ferta dstępna na:
www.fen.pl