Home/VPN IPSEC/
Stormshield VPN Client con metodo di autenticazione con Certificato e X Auth(iPhone/Android)
Uploading ....
Stormshield VPN Client con metodo di autenticazione con Certificato e X Auth(iPhone/Android)
Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui
Collegarsi al FW ed effettuare la seguente procedura (diamo per scontato che la configurazione di un LDAP interno(in questo caso saltare il punto 3), esterno oppure l'integrazione con AD sia già stata fatta) In caso andiamo a modificare la configurazione di un FW dove abbiamo già una vpn di tipo mobile dobbiamo ricordarci di modificare le configuirazioni dei client che attualmente stanno lavorando in modo che anche loro usino questa nuova modalità.
Aprire la GUI
Andare sottoUSERS→Directory configuration→ nel tabStructuretab rimuovere il flag suYou are accessing the directory in read-only mode. The creation of users and groups is not allowed.
Andare sottoOBJECTS→Certificates and PKI
Cliccare suAdde selezionareAdd a root CAe seguire il wizard per la creazione della CA (ATTENZIONE: come validtà della CA è consigliabile mettere 3650 days)
Selezionare la CA appena create e cliccare su Set as default in modo che questa CA sia quella di default.
Creazione del certificato di tipo server:
In caso disponiamo di un FQDN legato all'ip della nostra Firewall_out cliccare suAddscegliereAdd a server certificate.(nella prima pagina del wizard dobbiamo inserire due campi, l'FQDN che andiamo ad inserire in questi due campi dovrà essere lo stesso che andremo a configurare come gateway nell'iPhone). Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 4 (il nome del server certificate dovrà essere lo stesso FQDN che andremo a configurare come gateway nell'iPhone)ATTENZIONE: come validtà del Server Certificate è consigliabile mettere 3650 days
Nel tabPEERselezionareAdde poiNew anonymous (mobile) peera questo punto partirà un wizard:
inserire il nome che vogliamo dare al PEER
selezionare come metodo di autenticazioneCertificate andXAuth(iPhone)
selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 5)
terminare il wizard cliccando suFinish
cliccare sul peer appena creato e configurare GoodEncryption come IKE profile. Se questo peer lo dobbiamo usare per instaurare vpn anche con Android creare un IKE profile seguendo questa procedura e impostarlo su questo peer.
Andare ora nel tabENCRYPTION POLICY – TUNNEL→ANONYMOUS – MOBILE USERSe cliccare suAdd a new policy
Selezionare l'anonymous peer creato al punto 8
Aggiungere laNetwork_innelle local resources oppureAllse vogliamo raggiungere tutto tramite la VPN (usando device Android dobbiamo per forza di cosa impostare All perchè non accettano una network)
Aggiungere una network o un range nellaRemote Netwok(verrà utilizzata per il mode config)
Attivare il mode config
Come profilo di encryption selezionare iPhoneEncryption
Applicare la configurazione
Andare nel tabIDENTIFICATIONe aggiungere il la root CA creata al punto 4
Salvare la configurazione e attivare lo slot
Andare sotto USERS →VPN Access privileges →spostiamoci nel tab VPN ACCESS e cliccando su Add aggiungiamo una linea nella quale dichiarisoamo quali sono gli utenti o i gruppi di utenti che saranno abilitati a fare IPSEC mettendo Allow sotto la colonna corrispondente(nell'esempio qui sotto permettiamo la VPN IPSEC per l'utente test ma la blocchiamo all'utente testuser)
Andare sottoUSERS→Authentication→ nel tab AVAILABLE METHOD e cliccando su +Add a method e aggiungere il metodo (LDAP o Kerberos) in base al DB a cui siamo collegati, se aggiungiamo Kerberos ricordiamoci di configurare tutti i parametri nella parte destra della schermata
Andare sotto USERS→Authentication→ nel tab AUTHENTICATION POLICY e cliccando su +New Rule partirà un wizard che andremo a compilare così:
nella prima schermata scegliamo a che utenti, gruppo di utenti vogliamo applicare la regola che stiamo andando a creare (nell'esempio qui sotto abbiamo messo All che significa tutti)
dopo aver premuto Next ci verrà proposta la seconda schermata in cui andiamo a decidere su che sorgente applicare questa regola(nel nostro caso non si tratta di network ma di un'interfaccia)
premendo ancora Next ci si presenterà l'ultima schermata dove dobbiamo selezionare il metodo di autenticazione che vogliamo utilizzare
terminiamo la creazione di questa regola cliccando su Finish e assicuriamoci che la regola creata sia al primo posto. In caso non lo fosse usiamo la freccia per spostarla al primo posto.
Qui sotto possiamo trovare due esempi relativi alla regola che dovremmo creare in caso usiamo LDAP interno o esterno oppure ACTIVE DIRECTORY LDAP INTERNO/ESTERNO ACTIVE DIRECTORY
Creare e scaricare il certificati
Aprire la GUI
Andare sottoUSERS→Userse selezionare l'utente per il quale vogliamo abilitare la vpn ipsec
Selezionare il tabCERTIFICATEe crearlo
Andare sottoOBJECTS→Certificates and PKIe
scaricare in formato DER (cliccando sul tastoDownload) la CA che abbiamo usato per generare i certificati
scaricare in formato P12(cliccando sul tastoDownload) il certificato di tipo utente
Sul pc windows dove installeremo il STORMSHIELD VPN CLIENT
Installare la CA scaricata dal FW in modo da rendere trusted il .p12 che andremo ad installare nel punto 4
Scaricare e installare il Stormshield VPN Client dal sito MyStormshield
Aprire il pannello di configurazione del Netasq VPN Client
Cliccare con il tasto destro suVPN Configuratione selezionareNew Phase 1
nel tabAuthenticationselezionare:
Gateway Remoto(l'ip pubblico della Firewall_out),
selezionare certificato e importare il certificato di tipo utente scaricato dal FW in formato P12
settare i parametri IKE come quelli selezionati sul FW(nel test fatto da me ho usatoGoodEncryption)
sopostarsi sul secondo tab e mettere il flag su:
Mode Config
X-AuthPopup
comeLocal IDselezionareEmaile inserire l'email
Cliccare con il tasto destro sulla fase 1 e aggiungere una nuova fase 2
Selezionare la rete remota (nel mio test ho messo Network_in)
Selezionare gli algoritmi ESP come quelli configurati sul FW (nel mio test ho usatoiPhoneEncryption)
Salvare
Doppio click sulla fase 2 e selezionare open tunnel
Inserire login/password nel popup
ora il tunnel dovrebbe essere up
Su iPhone
installare la CA che ha generato i certificati (file .der)
installare il certificato di tipo utente (file .p12)
andare sottoImpostazioni→VPN→Aggiungi config. VPN...→ selezionareIPSece configurare i seguenti parametri:
Descrizione: il nome della vostra VPN
Server: deve essere lo stesso FQDN oppure l'indrizzo ip che abbiamo usato per creare il certificato di tipo server
Account: deve essere la login dell'utente
Password: Chiedi ogni volta
Usa certificato: settare questo parametro a 1
Certificato: selezionare il certificato che abbiamo importato nell'iPhone al punto 1