Home / VPN IPSEC / Come instaurare una VPN ipsec site to site un sito con ip dinamico/aggressive mode

Come instaurare una VPN ipsec site to site un sito con ip dinamico/aggressive mode

Vediamo in questa procedura come configurare due FW Netasq in modo da poter collegare le due Network_in tramite un tunnel VPN IPSEC.
Questo tipo di configurazione soilitamente si usa per far sì che una sede remota si possa connettere ai server presenti nella sede centrale.
Poniamo di avere una configurazione come questa:


Per configurare un tunnel ipsec eseguiamo quindi questi passi sul FW della sede Centrale
  1. andare sotto OBJECTS  Network objects 
  2. cliccare su Add e aggiungere:
    • un oggetto di tipo Network chiamandolo net_sede_remota e assegnando il valore della Network_in della sede remota
  3. spostiamoci ora sotto VPN IPSec VPN e clicchiamo sul tab PEERS
  4. clicchiamo su Add New anonymous (mobile) peer , a questo punto si apre il wizard per la creazione del peer:
    • nel campo inseriamo un nome per questo tunnel,io in questo esempio userò Site_fw_sede_remota
    • clicchiamo su Next
    • scegliamo Pre-shared key (PSK) 
    • clicchiamo Next
    • alla schermata successiva clicchiamo su Add e inseriamo un indirizzo email (nel mio esempio userò test@test.it) e una presharedkey.
    • il FW ci presenterà il peer appena creato quindi possiamo cliccare su Finish
  5. dopo aver creato il peer ci spostiamo sul tab ENCRYPTION POLICY - TUNNELS e poi su tab ANONYMOUS - MOBILE USERS
  6. clicchiamo su AddNew Policy e nel wizard che partirà inseriamo questi dati:
    • Mobile peer used  il peer creato al punto 4
    • LOCAL RESOURCES clicchiamo su Add e inseriamo l'oggetto Network_in
    • clicchiamo su Finish
    • ora modifichiamo il valore Any sotto la colonna Mobile network inserendo net_sede_remota
    • clicchiamo su Save una volta che abbiamo una schermata come questa:

    • nella colonna Encryption profile selezioniamo il profilo di encryption che vogliamo usare per la fase 2 (questo dovrà essere uguale a quello che configureremo sull'altro FW).
  7. terminata la configurazione della fase 2 attiviamo questo slot cliccando su Activate this policy
  8. ora andiamo sotto USERS → Users e creiamo(se non abbiamo un database creiamone uno seguendo questa procedura) un utente che abbia come email quella configurata al punto 4 (nel nostro esempio test@test.it)

  9. dopo avere creato l'utente andiamo sotto USERS → VPN access privileges
  10. clicchiamo sul tab VPN ACCESS poi clicchiamo su Add e inseriamo l'utente test  mettendo a pass la colonna relativa all'ipsec

  11. su questo FW la procedura è terminata e ora ci spostiamo sul FW della sede remota


Per configurare un tunnel ipsec eseguiamo quindi questi passi sul FW della sede Remota

  1. cliccare su Add e aggiungere:
    • un oggetto di tipo Host chiamandolo fw_sede_centrale e assegnando l'ip che ci permette di raggiungere il FW delle sede centrale da Internet
    • un oggetto di tipo Network chiamandolo net_sede_centrale e assegnando il valore della Network_in della sede centrale
  2. spostiamoci ora sotto VPN IPSec VPN e clicchiamo sul tab PEERS
  3. clicchiamo su Add New Remote site , a questo punto si apre il wizard per la creazione del peer:
    • nel campo Remote gateway inserire l'oggetto fw_sede_centrale
    • nel campo Name inseriamo un nome per questo tunnel, io in questo esempio userò Site_fw_sede_centrale
    • clicchiamo su Next
    • scegliamo Pre-shared key (PSK)  e digitiamo la preshared key due volte negli appositi campi (la dobbiamo inseirire perchè nel wizard è obbligatoria ma poi non la utilizzeremo)
    • clicchiamo Next
    • a questo punto avremo la pagina di riepilogo quindi clicchiamo su Finish per terminare la creazione del peer o su Previous se vogliamo modificare qualcosa.
    • selezioniamo il peer appena creato e inseriamo come Local ID l'email configurata sul FW della sede centrale(nel mio esempio è test@test.it)
    • definiamo anche  il profilo IKE di encryption che vogliamo usare (questo dovrà essere uguale a quello configurato sul FW della sede centrale).
  4. dopo aver creato il peer ci spostiamo sul tab ENCRYPTION POLICY - TUNNELS
  5. clicchiamo su AddSite-to-site-tunnel e nel wizard che partirà inseriamo questi dati:
    • Local Network  l'oggetto Network_in
    • Peer selection il peer appena creato Site_fw_sede_centrale
    • Remote network l'oggetto net_sede_centrale
    • clicchiamo su Fisnish e otterremo una schermata come questa:
    • nella colonna Encryption profile selezioniamo il profilo di encryption che vogliamo usare per la fase 2 (questo dovrà essere uguale a quello configurato sul FW della sede centrale).
  6. terminata la configurazione della fase 2 attiviamo questo slot cliccando su Activate this policy


Terminata la configurazione su entrambi i FW possiamo procedere con la verifica del tunnel e per fare questo seguite questi consigli:

  1. come regola di filtro settare any any pass su entrambi i FW
  2. controllare sul Real Time Monitor che il tunnel sia up e se non dovesse esserlo lanciare un ping da un pc della sede centrale verso un pc della sede remota e viceversa o abilitare il keep alive(clicca qui se non sai come fare)
  3. in caso il tunnel non dovesse salire controllare che i profili di encryption per fase 1 e fase 2 siano uguali su enrtambe le configurazioni e verificare anche che le network dichiarate nella config siano le stesse(network_in FW sede Centrale uguale a net_sede_centrale e network_in FW sede Remota uguale a net_sede_remota)
  4. una volta verificato che il tunnel sia up e che il traffico passi correttamente nel tunnel possiamo passare alla configurazione delle regole di filtro (per quanto rigurarda le regole per gestire il traffico nel tunnel ipsec vedere questo articolo)

    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.3   Last Edited By: Netwhat   Modified: 27 May 2015