Shrew VPN Client con Certificato

1. Aprire la GUI
2. Andare sotto Objects → Certificates and PKI
3. Cliccare su Add e selezionare Add a root CA e seguire il wizard per la creazione della CA (Consigliamo di mettere come validità della CA 3650 giorni)
   
4. Cliccare ancora su Add scegliere Add a server certificate. (Consigliamo di mettere come validità del certificato di tipo server 3650 giorni)
   Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 3
5. selezionare la CA appena create e cliccare su Set as default in modo che questa CA sia quella di default.
   
6. Andare sotto VPN → Ipsec VPN
7. Selezionare uno slot libero
8. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
   1. inserire il nome che vogliamo dare al PEER
   2. come metodo di auth selezioniamo Certificate
      
   3. Selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 4)
   4. Terminare il wizard cliccando su Finish
9. Andare ora nel tab ENCRYPTION POLICY – TUNNEL → ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
10. Selezionare l'anonymous peer creato al punto 7
    
11. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN
12. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
13. Attivare il mode config
14. Salvare la configurazione e attivare lo slot
    
15. Andare sotto USERS → VPN Access privileges → nel tab VPN ACCESS e aggiungere una riga che permette all'utente o al gruppo di utenti di instaurare un tunnel vpn settando Allow sotto la colonna IPSEC
16. Andare ora sotto USERS → Authentication  e seguire questi passi:
• nel tab AVAILABLE METHODS cliccare su +Add a method ed aggiungere SSL certificate aggiungendo nella parte destra dello schermo la CA che abbiamo usato per creare i certificati(quella creata al punto 3)
• nel tab AUTHENTICATION POLICY cliccare su +New Rule e aggiungere una regola al primo posto fatta in questo modo:
  

Creare e scaricare il certificati

1. Aprire la GUI
2. Andare sotto USERS → Users e selezionare l'utente per il quale vogliamo abilitare la vpn ipsec
3. Selezionare il tab CERTIFICATE e crearlo se non è già stato creato
   
4. Andare sotto OBJECTS → Certificates and PKI e
   1. scaricare in formato pem (cliccando sul tasto Download) la CA che abbiamo usato per generare i certificati
   2. scaricare in formato P12(cliccando sul tasto Download) il certificato di tipo utente

Procedura da seguire per evitare che il client shrew ci chieda ogni volta di inserire la password

1. Scaricare openssl.exe da questo sito
2. Una volta che abbiamo scaricato openssl-0.9.8k_WIN32.zip estrarlo in una direcotry a nostro piacimento(io ho usato c:\tmp)
3. Aprire il prompt dei comandi e andare sotto la cartella c:\tmp\openssl-0.9.8k_WIN32\bin e lanciare questi comandi:
   • openssl.exe pkcs12 -in file.p12 -clcerts -nokeys -out client_pem.pem
   • openssl pkcs12 -in file.p12 -nocerts -out file.key
   • openssl rsa -in file.key -out file_nopwd.key
4. I comandi eseguiti sopra sono serviti a generare i file da inserire nella sezione Credentials:
• Server Certificate Autority File : inserire la CA (il file .pem) che abbiamo scaricato dal FW
• Client Certificate File : inserire il certificato utente (il file client_pem.pem) che abbiamo ottenuto con il primo comando lanciato al punto 3
• Client Private Key File : inserire il certificato utente (il file file_nopwd.key) che abbiamo ottenuto con il terzo comando lanciato al punto 3 

Sul PC dove installeremo Shrew VPN Client:

1. Scaricare e installare Shrew VPN Client
2. Cliccare su Add per aggiungere una nuova vpn
3. nel tab General settare:
   1. l'ip address o l'FQDN del FW e lasciare il resto a default
4. nel tab Client
   1. lasciare tutto a default tranne l'opzione Enable Client Login Banner che va disabilitata (il Stormshield non invia nessun banner)
5. nel tab Name Resolution
   1. settare dns o wins se eventualmente li vogliamo usare
6. nel tab Authentication
   1. settare Mutual RSA
      
   2. nella sezione Local Identity selezionare
      1. Identification Type : User Fully Qualified Domain Name
      2. UFQDN String : Impostare l'indirizzo email dell'utente che stiamo configurando
         
   3. nella sezione Remote Identity lasciare vuoto
   4. nella sezione Credentials importare i seguenti file:
      
      1. Server Certificate Autority File : inserire la CA (il file .pem) che abbiamo scaricato dal FW
      2. Client Certificate File : inserire il certificato utente (il file .p12) che abbiamo scaricato dal FW
      3. Client Private Key File : inserire il certificato utente (il file .p12) che abbiamo scaricato dal FW
         
7. nel tab Phase1
   1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase 1 sul FW ponendo particolare attenzione al campo Exchange Mode che dovrà essere settato a Main
8. nel tab della Phase2
   1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase2 sul FW
9. nel tab Policy
   
   1. se presente, togliere il flag da Maintain Persistent Security Associations
   2. mettere il flag su Obtain Topology Automatically or Tunnel All
10. lanciate il tunnel, inserite la password del file .p12(se vogliamo evitare di inserire la password ogni volta leggere la procedura riportata qui sotto) e a questo punto il tunnel dovrebbe essere up