Home / VPN IPSEC / Stormshield VPN Client con metodo di autenticazione con Certificato e X Auth(iPhone/Android)

Stormshield VPN Client con metodo di autenticazione con Certificato e X Auth(iPhone/Android)


Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui

Collegarsi al FW ed effettuare la seguente procedura (diamo per scontato che la configurazione di un LDAP interno(in questo caso saltare il punto 3), esterno oppure l'integrazione con AD sia già stata fatta)
In caso andiamo a modificare la configurazione di un FW dove abbiamo già una vpn di tipo mobile dobbiamo ricordarci di modificare le configuirazioni dei client che attualmente stanno lavorando in modo che anche loro usino questa nuova modalità.


  1. Aprire la GUI
  2. Andare sotto USERS  Directory configuration → nel tab Structure tab rimuovere il flag su You are accessing
    the directory in read-only mode. The creation of users and groups is not allowed.
  3. Andare sotto OBJECTS  Certificates and PKI
  4. Cliccare su Add e selezionare Add a root CA e seguire il wizard per la creazione della CA (ATTENZIONE: come validtà della CA è consigliabile mettere 3650 days)
  5. Selezionare la CA appena create e cliccare su Set as default in modo che questa CA sia quella di default.
  6. Creazione del certificato di tipo server:
    1. In caso disponiamo di un FQDN legato all'ip della nostra Firewall_out cliccare  su Add scegliere Add a server certificate.(nella prima pagina del wizard dobbiamo inserire due campi, l'FQDN che andiamo ad inserire in questi due campi dovrà essere lo stesso che andremo a configurare come gateway nell'iPhone).
      Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 4 (il nome del server certificate dovrà essere lo stesso FQDN che andremo a configurare come gateway nell'iPhone)ATTENZIONE: come validtà del Server Certificate è consigliabile mettere 3650 days
    2. In caso non dovessimo disporre di un FQDN legato all'ip della nostra Firewall_out clicchiamo qui per vedere come creare il certificato di tipo server.
  7. Andare sotto VPN  Ipsec VPN
  8. Selezionare uno slot libero
  9. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
    1. inserire il nome che vogliamo dare al PEER
    2. selezionare come metodo di autenticazione Certificate and XAuth(iPhone)
    3. selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 5)
    4. terminare il wizard cliccando su Finish
    5. cliccare sul peer appena creato e configurare GoodEncryption come IKE profile.
      Se questo peer lo dobbiamo usare per instaurare vpn anche con Android creare un IKE profile seguendo questa procedura e impostarlo su questo peer.
  10. Andare ora nel tab ENCRYPTION POLICY – TUNNEL  ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
  11. Selezionare l'anonymous peer creato al punto 8
  12. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN (usando device Android dobbiamo per forza di cosa impostare All perchè non accettano una network)
  13. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
  14. Attivare il mode config
  15. Come profilo di encryption selezionare iPhoneEncryption
  16. Applicare la configurazione
  17. Andare nel tab IDENTIFICATION e aggiungere il la root CA creata al punto 4
  18. Salvare la configurazione e attivare lo slot
  19. Andare sotto USERS  VPN Access privileges  spostiamoci nel tab VPN ACCESS  e cliccando su Add aggiungiamo una linea nella quale dichiarisoamo quali sono gli utenti o i gruppi di utenti che saranno abilitati a fare IPSEC mettendo Allow sotto la colonna corrispondente(nell'esempio qui sotto permettiamo la VPN IPSEC per l'utente test ma la blocchiamo all'utente testuser)

  20. Andare sotto USERS  Authentication → nel tab AVAILABLE METHOD e cliccando su +Add a method e aggiungere il metodo (LDAP o Kerberos) in base al DB a cui siamo collegati, se aggiungiamo Kerberos ricordiamoci di configurare tutti i parametri nella parte destra della schermata
  21. Andare sotto USERS  Authentication → nel tab AUTHENTICATION POLICY e cliccando su +New Rule  partirà un wizard che andremo a compilare così:
    1. nella prima schermata scegliamo a che utenti, gruppo di utenti vogliamo applicare la regola che stiamo andando a creare (nell'esempio qui sotto abbiamo messo All che significa tutti)
    2. dopo aver premuto Next ci verrà proposta la seconda schermata in cui andiamo a decidere su che sorgente applicare questa regola(nel nostro caso non si tratta di network ma di un'interfaccia)
    3. premendo ancora Next ci si presenterà l'ultima schermata dove dobbiamo selezionare il metodo di autenticazione che vogliamo utilizzare
    4. terminiamo la creazione di questa regola cliccando su Finish e assicuriamoci che la regola creata sia al primo posto.
      In caso non lo fosse usiamo la freccia per spostarla al primo posto.
    5. Qui sotto possiamo trovare due esempi relativi alla regola che dovremmo creare in caso usiamo LDAP interno o esterno oppure ACTIVE DIRECTORY
      LDAP INTERNO/ESTERNO

      ACTIVE DIRECTORY


Creare e scaricare il certificati

  1. Aprire la GUI
  2. Andare sotto USERS  Users e selezionare l'utente per il quale vogliamo abilitare la vpn ipsec
  3. Selezionare il tab CERTIFICATE e crearlo
  4. Andare sotto OBJECTS  Certificates and PKI e
    1. scaricare in formato DER (cliccando sul tasto Download) la CA che abbiamo usato per generare i certificati
    2. scaricare in formato P12(cliccando sul tasto Download) il certificato di tipo utente

Sul pc windows dove installeremo il STORMSHIELD VPN CLIENT

  1. Installare la CA scaricata dal FW in modo da rendere trusted il .p12 che andremo ad installare nel punto 4
  2. Scaricare e installare il Stormshield VPN Client dal sito MyStormshield
  3. Aprire il pannello di configurazione del Netasq VPN Client
  4. Cliccare con il tasto destro su VPN Configuration e selezionare New Phase 1
    1. nel tab Authenticationselezionare:
      1. Gateway Remoto(l'ip pubblico della Firewall_out),
      2. selezionare certificato e importare il certificato di tipo utente scaricato dal FW in formato P12
      3. settare i parametri IKE come quelli selezionati sul FW(nel test fatto da me ho usato GoodEncryption)
    2. sopostarsi sul secondo tab e mettere il flag su:
      1. Mode Config
      2. X-Auth Popup
      3. come Local ID selezionare Email e inserire l'email
  5. Cliccare con il tasto destro sulla fase 1 e aggiungere una nuova fase 2
  6. Selezionare la rete remota (nel mio test ho messo Network_in)
  7. Selezionare gli algoritmi ESP come quelli configurati sul FW (nel mio test ho usato iPhoneEncryption)
  8. Salvare
  9. Doppio click sulla fase 2 e selezionare open tunnel
  10. Inserire login/password nel popup
  11. ora il tunnel dovrebbe essere up

Su iPhone

  1. installare la CA che ha generato i certificati (file .der)
  2. installare il certificato di tipo utente (file .p12)
  3. andare sotto Impostazioni  VPN  Aggiungi config. VPN... → selezionare IPSec e configurare i seguenti parametri:
    1. Descrizione: il nome della vostra VPN
    2. Server: deve essere lo stesso FQDN oppure l'indrizzo ip che abbiamo usato per creare il certificato di tipo server
    3. Account: deve essere la login dell'utente
    4. Password: Chiedi ogni volta
    5. Usa certificato: settare questo parametro a 1
    6. Certificato: selezionare il certificato che abbiamo importato nell'iPhone al punto 1
Qui sotto uno screenshot preso dall'iPhone:


    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.




     RSS of this page

    Author: Netwhat   Version: 1.6   Last Edited By: Netwhat   Modified: 29 Aug 2017