Stormshield VPN Client con metodo di autenticazione Hybrid e AD

Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui

Collegarsi al FW ed effettuare la seguente procedura (diamo per scontato che l'integrazione con AD sia già stata fatta, se non è così cliccare qui )
In caso andiamo a modificare la configurazione di un FW dove abbiamo già una vpn di tipo mobile dobbiamo ricordarci di modificare le configuirazioni dei client che attualmente stanno lavorando in modo che anche loro usino questa nuova modalità.

1. Aprire la GUI
2. Andare sotto Users → Directory configuration on Structure tab rimuovere la spunta su You are accessing the directory in read-only mode. The creation of users and groups is not allowed
3. Andare sotto Objects → Certificates and PKI
4. Cliccare su Add e selezionare Add a root CA e seguire il wizard per la creazione della CA
5. Cliccare ancora su Add scegliere Add a server certificate.
   Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 4
6. Andare sotto VPN → Ipsec VPN
7. Selezionare uno slot libero
8. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
   1. inserire il nome che vogliamo dare al PEER
   2. come metodo di auth selezioniamo Hybrd
   3. Selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 5)
   4. Terminare il wizard cliccando su Finish
9. Andare ora nel tab ENCRYPTION POLICY – TUNNEL → ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
10. Selezionare l'anonymous peer creato al punto 8
11. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN
12. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
13. Attivare il mode config
14. Salvare la configurazione e attivare lo slot
15. Andare sotto USERS → VPN Access privileges → spostiamoci nel tab VPN ACCESS  e cliccando su Add aggiungiamo una linea nella quale dichiarisoamo quali sono gli utenti o i gruppi di utenti che saranno abilitati a fare IPSEC mettendo Allow sotto la colonna corrispondente(nell'esempio qui sotto permettiamo la VPN IPSEC per l'utente test ma la blocchiamo all'utente testuser)
    
    
16. Andare sotto USERS → Authentication → nel tab AVAILABLE METHOD e cliccando su +Add a method e aggiungere il metodo  Kerberos ricordandoci di configurare tutti i parametri nella parte destra della schermata
17. Andare sotto USERS → Authentication → nel tab AUTHENTICATION POLICY e cliccando su +New Rule  partirà un wizard che andremo a compilare così:
1. nella prima schermata scegliamo a che utenti, gruppo di utenti vogliamo applicare la regola che stiamo andando a creare (nell'esempio qui sotto abbiamo messo All che significa tutti)
   
2. dopo aver premuto Next ci verrà proposta la seconda schermata in cui andiamo a decidere su che sorgente applicare questa regola(nel nostro caso non si tratta di network ma di un'interfaccia)
   
3. premendo ancora Next ci si presenterà l'ultima schermata dove dobbiamo selezionare il metodo di autenticazione(in questo caso Kerberos) che vogliamo utilizzare
   
4. terminiamo la creazione di questa regola cliccando su Finish e assicuriamoci che la regola creata sia al primo posto. In caso non lo fosse usiamo la freccia per spostarla al primo posto.
   
5. Qui sotto possiamo trovare l'esempio di come sarà la nostra regola
   
   

Sul PC con installato il client VPN Stormshield:

1. Scaricare e installare il Stormshield VPN Client dalla vostra MyStormshield area
   
2. Aprire il pannello di configurazione del Stormshield VPN Client
3. Cliccare con il tasto destro su VPN Configuration e selezionare New Phase 1
   1. nel tab Authenticationselezionare:
      1. Gateway Remoto(l'ip pubblico della Firewall_out),
      2. il certificato (scaricare dal FW il certificato di tipo server)
      3. settare i parametri IKE come quelli selezionati sul FW(nel test fatto da me ho usato GoodEncryption)
   2. sopostarsi sul secondo tab e mettere il flag su:
      1. Mode Config
      2. X-Auth Popup
      3. Hybrid Mode
4. Cliccare con il tasto destro sulla fase 1 e aggiungere una nuova fase 2
5. Selezionare la rete remota (nel mio test ho messo Network_in)
6. Selezionare gli algoritmi ESP come quelli configurati sul FW (nel mio test ho usato GoodEncryption)
7. Salvare
8. Doppio click sulla fase 2 e selezionare open tunnel
9. Inserire login/password nel popup
10. ora il tunnel dovrebbe essere up