Technical Note VPN Siemens i.c.m NetASQ Author:
Jorn de Vries
VPN verbinding tussen een NETASQ en een Siemens 583x router. Instellingen van de NETASQ: Kies in het menu voor VPN > Pre-shared Keys De Pre-shared key dient er op deze manier uit te zien. Key name VPN
Type user@FQDN (E-mail)
Peer identity
[email protected]
Shared key (HEXA) VPNkey
Vul het boven staande op deze manier in, maar dan met uw eigen waarden. Kies hierna voor het menu VPN > IPSec VPN tunnels Kies voor een leeg slot en klik op Edit. In de wizard kies een naam voor de tunnel en kies voor Good Encryption. Klik nu op volgende. Kies voor Dynamic (Pre-Shared Key). Klik nu op volgende. Kies voor de interface voor de Tunnel Endpoint van de firewall voor Network_OUT. Kies bij Select VPN Peer het object dat u heeft aangemaakt voor het publieke IP adres van de router. Klik nu op volgende. Kies bij Participating LOCAL hosts / networks voor: Network_IN Kies bij Participating REMOTE hosts / networks voor het object dat u heeft aangemaakt voor het netwerk van de router aan de LAN kant. Klik nu op volgende en daarna op Finish. Na het doorlopen van de wizard opent er een venster waarin u uw in de wizard opgegeven configuratie kunt terugvinden. In dit venster kunt u ook de Authenticatie en Key Exchange voor Phase 1 en 2 opgeven.
Verander het in de afbeelding hierboven aan gegeven menu Main mode in Aggressive mode. Bij Pre-shared Key configuration onder het menu van “Main mode” kiest u bij Identity type voor: user@FDQN (E-mail). Bij identity kunt u de identiteit van de NetASQ opgeven als op deze manier:
[email protected] Ga nu naar de optie Authentication (Phase 1) in het linker menu. Zorg ervoor dat de Lifetimes van de NetASQ en de Siemes 583x identiek zijn. Anders werkt de VPN verbinding niet. De Key Group dient ook op beide identiek te zijn.
Kies nu voor de optie Proposal 1 in het linker menu.
Het is belangrijk dat de waarden uit Proposal 1 hetzelfde zijn op zowel de NetASQ en de Siemens 583x. Als deze niet gelijk zijn werkt de VPN verbinding namelijk niet. De Key Group kan in dit venster niet gekozen worden, dit heeft u in het vorige venster kunnen doen. Houdt er wel rekening mee dat de NetASQ meer beveiligingsmogelijkheden heeft dan de Siemens 583x. Het is dus belangrijk dat u de NetASQ op de 583x afstemt.
In dit venster kunt u Phase 2 opgeven. Deze dient ook voor beide apparaten identiek te zijn. PFS Key group dient op No Perfect Forward Secrecy te staan. Dit is omdat de Siemens 583x deze functie niet ondersteund. SA Life dient een identieke waarde te hebben bij de NetASQ en de 583x.
Geef in dit tabblad op welke authenticatie u wilt gebruiken. De 583x ondersteund alleen SHA1 en MD5, en kan er ook maar 1 van de 2 gebruiken. Laat de Strenght op de standaardwaarde staan. Houd hiermee rekening.
Geef in dit tabblad op welke encryptie u wilt gebruiken. De 583x ondersteund alleen null, 3DES, en kan er ook maar 1 van de 2 gebruiken. Laat de Strenght op de standaardwaarde staan. Houd hiermee rekening.
In dit tabblad kunt u de IP ranges van de interne netwerken van beide kanten opgeven. Dit heeft u in de wizard al gedaan, hier kunt u het wijzigen als dat nodig is.
Instellingen van de Siemens 583x router. Log in op de router, en kies in het menu voor de optie: IKE/IPSec configuration >> Advanced IKE/IPSec Setup. Kies nu voor de eerste optie IKE Peers:
IKE Peer Name kan een willekeurige naam worden ingevoerd, dit is voor u zelf om de andere zijde van de VPN verbinding te benoemen. Dit staat los van de configuratie. Pre-shared Secret dient gelijk te zijn aan de Pre-shared key die u bij de NetASQ heeft opgeven. Peer Gateway IP Address geeft u het publieke IP adres van de NetASQ op, zodat de router weet waar hij de VPN verbinding kan vinden. Wanneer alles goed is ingevuld klikt u op de knop Apply. Kies voor de tweede optie IKE Proposals:
IKE Phase 1 Proposal Definition is wat de NetASQ, Phase 1 noemt. IKE Proposal Name is een benoeming voor uzelf om de IKE Phase 1 proposal te benoemen, dit heeft geen invloed op de VPN configuratie. Message Authentication Scheme is wat de NetASQ, Hash Algorithm noemt. Zorg ervoor dat de optie die u in de Siemens 583x kiest identiek is aan de optie die u in de NetASQ kiest bij Hash Algorithm bij Phase 1. Diffie-Hellman (Oakley) group dient gelijk te zijn aan de keygroup die u bij Phase 1 in de NetASQ heeft ingesteld.
Encryption Type dient gelijk te zijn aan de optie die u in de NetASQ kiest bij Encryption Algorithm bij Phase 1. Phase 1 Proposal Lifetime (seconds) dient gelijk te zijn aan de optie SA Life die u in Phase 1 van de VPN verbinding in de NetASQ heeft ingesteld. Let wel, de NetASQ rekent de Life Time in minuten en de Siemens 583x in seconden. Zorg er dus voor dat deze een gelijke tijd krijgen. Kies voor de derde optie IKE IPSec Proposals:
De IKE IPSec Proposal Definition is wat de NetASQ, Phase 2 noemt. IPSec Proposal Definition is een benaming voor u zelf om dit menu te benoemen. Dit heeft geen invloed op de VPN configuratie. AH Authentication Scheme dient u leeg te laten, de NetASQ maakt namelijk geen gebruik van deze functie. Het toch invullen van deze optie maakt de VPN verbinding ongeldig. ESP Authentication Scheme dient gelijk te zijn aan het tabblad Authentication die u bij Phase 2 in de NetASQ heeft opgegeven. ESP Encryption Scheme dient gelijk te zijn aan het tabblad Encryption die u bij Phase 2 in de NetASQ heeft opgegeven. Phase II Proposal Lifetime (seconds) dient gelijk te zijn aan de optie SA Life die u in Phase 1 van de VPN verbinding in de NetASQ heeft ingesteld. Let wel, de NetASQ rekent de Life Time in minuten en de Siemens 583x in seconden. Zorg er dus voor dat deze een gelijke tijd krijgen. Phase II proposal Lifedata (Kbytes) dient op 0 te blijven staan, omdat deze niet gebruikt wordt in de NetASQ. Het opgeven van een andere waarde maakt de VPN verbinding ongeldig. Kies voor de vierde optie IKE IPSec Policies:
IPSec Policy Name is een naam die u zelf kunt opgeven om dit menu te benoemen, dit staat los van de VPN configuratie. Peer Binding, hier kiest u voor de IKE Peers die u eerder heeft ingesteld. Het keuze menu geeft de benaming weer die u eerder heeft ingevuld voor dit menu. PFS Group dient op none te blijven staan. IP Protocol dient u naar eigen voorkeur in te stellen, standaard staat deze op all. Source IP Address is het IP adres van het interne LAN netwerk van de Siemens 583x Source Subnet Mask is het subnet mask van het interne LAN van de Siemens 583x. Destination IP Address is het IP adres van het interne LAN netwerk van de NetASQ. Destination Subnet Mask is het subnet mask van het interne LAN netwerk van de NetASQ. Source port dient naar eigen voorkeur worden ingesteld, standaard staat deze op all. Destination port dient naar eigen voorkeur worden ingesteld, standaard staat deze op all.
Default tunnel laat u kiezen of dit de standaard tunnel voor de router wordt. Kies voor ja als dit zo is, of als dit de enige geconfigureerde VPN verbinding is. Start de router nu opnieuw op, u heeft als u alle stappen goed doorlopen heeft nu een werkende VPN verbinding opgezet tussen uw NetASQ en uw Siemens 583x.
