Technical Note #047 Auteur:Mark Vork Gemaakt op:14 februari 2003 Gewijzigd op:9 februari 2004
Een IPsec tunnel opzetten met een Netasq door middel van een Safenet client Met behulp van deze technical note kunt u een IPsec tunnel opzetten tussen een Safenet client en een Netasq firewall. We hebben een paar gegevens die we van te voren moeten weten, voor deze technote gebruik in een aantal verzonnen waardes: Extern IP adres firewall Intern netwerk achter de firewall Extern IP adres mobile client Intern (virteel netwerk adres client)
212.129.144.2 192.168.20.0/24 wisselend 192.168.199.1 – 192.168.199.254 Open (na installatie van de client) onder start->programma’s>softremote de Security Policy editor
Klik op de button om een nieuwe policy aan te maken (rood omcirceld). Kies voor connection security “secure”. Bij Remote Party Identity and Addressing geef ik in dit geval een ip subnet op, dit is dus het lokale netwerk waar we mee gaan verbinden. Vinkje aan bij Connect using, en in het pulldown menu seleteer je Secure Gateway Tunnel. ID Type is Any en daarachter Gateway IP Address: Het externe IP adress van de Netasq
9-2-2004 11:35 AM
Mark Vork
2
Top-IT Technical Note:
Open nu onder het menu options de Global Policy Security
Vink nu Allow to Specify Internal Network Address aan, en klik op ok.
Klik nu op security policy, en selecteer bij select phase1 negotiation Mode voor de Aggressive mode. Zet het vinkje bij Enable Perfect Forward Secrecy (PFS) uit. Enable Replay Detection mag aan.
9-2-2004 11:35 AM
Mark Vork
3
Top-IT Technical Note:
Klik nu op my identity en vul daar in: Select certificate: None. ID type: E-mail Address. Vul een E-mail adres in:
[email protected]. Virutal Adapter: Required. Internal Network IP Adress: 192.168.199.1 (zorg ervoor dat deze op de verschillende remotes verschillend zijn). Dit subnet mag niet hetzelfde zijn als het interne Netwerk van de Firewall!!! Internet interface: ANY Klik op de button Pre-shared key en geef een woord op bv: eenvpntunnel (zorg ervoor dat deze op de verschillende remotes verschillend zijn). Klik nu op Security Policy-> Authentication (Phase1)-> Proposal 1 Selecteer als authentication Method Pre-Shared Key Bij Encryption and Data Integrity Algorithems Encrypt Alg: DES Hash Alg: MD5 SA life: seconds 3600 Key Group: Diffie-Hellman Group 2
Klik nu op Security Policy->Key Exchange (Phase 2)-> Proposal 1 SA life: Secinds 600 Compression: None Zet het vinkje aan bij Encapsulation Protocol (ESP) Encrypt Alg: DES Hash Alg: MD5 Encapsulation: Tunnel
9-2-2004 11:35 AM
Mark Vork
4
Top-IT Technical Note:
Klik nu op save en sluit het venster:
De vpn client is nu geconfigureerd, leg nu een verbinding via de manager met de firewall. Indien dit de eerste tunnel is die geconfigureerd word in de firewall, dan kun je via configuration->Vpn-> IPSec Tunnels het eerste slot dubbelklikken
9-2-2004 11:35 AM
Mark Vork
5
Top-IT Technical Note:
Mochten er al één of meerdere tunnels in de firewall staan dan kun je het juiste slot selecteren door er op te dubbelklikken of enkel klikken en dan Edit. De lijst met tunnels zal nu verschijnen, je kunt hier ook op NEW klikken. De wizard verschijnt: Geef de tunnel een naam naar keuze. Klik op next
Selecteer hier Dynamic (PreShared Key). Klik op next.
9-2-2004 11:35 AM
Mark Vork
6
Top-IT Technical Note:
Bij Choose the local firewall’s interface selecteert u de juiste interface, (bij een Dial-UP verbinding zoals een Mxstream verbinding met PPtP selecteert u de dial-up interface. Bij een routed subnet verbinding of een bridge naar het internet selecteert u de interface waarachter “het internet” zich bevind, in de meeste gevallen zal dat interface_out zijn.
Bij local host at traffic end point selecteer je het netwerk waarmee de client verbonden moet worden (dit is het netwerk zoals ingegeven bij de mobile client onder Remote Party Identity and Addressing). In de meeste gevallen zal dit network_in zijn. Als remote traffic endpoint maak je onder objects network een netwerk aan die bijvoorbeeld mobielnet heet en ip subnet 192.168.199.1 met subnet mask 255.255.255.0 heeft. Klik nu op finish
Het scherm zoals links komt naar voren. Geef bij filename linksboven een naam voor het VPN slot op. In het rechterveld vul je het volgende in. Onder tunnel configuration selecteer je Pre-shared keys. Bij Phase 1 negotiation mode selecteer je Aggressive mode. Bij Pre-shared key configuration onder identity type kies je user@Full qualified domain name. Daar vul je een E-mail adres is anders dan bij de client:
[email protected]
9-2-2004 11:35 AM
Mark Vork
7
Top-IT Technical Note:
Klik op authentication (Phase1). SA life is 60 minuten. Key group is Diffie-Hellman group 2. Verwijder onder authentication phase1, proposal 2 en proposal 3. Klik nu op proposal 1
Onder Proposal 1 bij Hash algorithm kies je MD5 en onder Encryption algorithm kies je DES. Klik nu op Policy 1 bij key exchange bij phase 2
Onder het tabje general maak je de volgende instellingen: Proposal method: ESP protocol, Perfect Forward Secrecy (PFS) No Perfect Forward Secrecy, SA life 10 minuten. Klik nu op het tabje Authentication
Zet het knopje bij hmac-md5 op on en zet deze door middel van de rode pijltjes (rechts) bovenaan. De rest van de knopjes mag op off. Klik nu op het tabje Encryption.
9-2-2004 11:35 AM
Mark Vork
8
Top-IT Technical Note:
Zet hier het knopje bij des aan en de rest uit. Verplaats des door middel van de rode pijltjes aan de rechterkant naar boven. Klik nu op het tabje Traffic end points.
Hier hoef je niets te wijzigen, je kunt eventueel een beperking opleggen aan de protocollen die er over de tunnel mogen gaan, maar dit is verder niet nodig. Klik op send.
Open nu onder Configuration->Vpn-> Pre-shared Keys.
Geef een naam voor de key op: mobiel, het type is user@fqdn, peer identity is
[email protected] klik op preshared key en vul hier dezelfde key in als in de client: eenvpntunnel (zorg ervoor dat deze voor de verschillende remotes verschillend zijn dus 1 key per remote).
9-2-2004 11:35 AM
Mark Vork
9
Top-IT Technical Note:
Open nu onder de slots de VPN tunnels, selecteer het slot welke actief moet worden en klik op activate.
De tunnel is nu klaar voor gebruik.
9-2-2004 11:35 AM
Mark Vork