Home / VPN IPSEC / Shrew VPN Client con metodo di autenticazione Hybrid e AD

Shrew VPN Client con metodo di autenticazione Hybrid e AD

Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui

Collegarsi al FW ed effettuare la seguente procedura (diamo per scontato che l'integrazione con AD sia già stata fatta, se non è così cliccare qui)
In caso andiamo a modificare la configurazione di un FW dove abbiamo già una vpn di tipo mobile dobbiamo ricordarci di modificare le configuirazioni dei client che attualmente stanno lavorando in modo che anche loro usino questa nuova modalità.

  1. Aprire la GUI
  2. Andare sotto Users  Directory configuration on Structure tab rimuovere la spunta su You are accessing the directory in read-only mode. The creation of users and groups is not allowed
  3. Andare sotto Objects  Certificates and PKI
  4. Cliccare su Add e selezionare Add a root CA e seguire il wizard per la creazione della CA
  5. Cliccare ancora su Add scegliere Add a server certificate.
    Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 4
  6. Andare sotto VPN  Ipsec VPN
  7. Selezionare uno slot libero
  8. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
    1. inserire il nome che vogliamo dare al PEER
    2. come metodo di auth selezioniamo Hybrd
    3. Selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 5)
    4. Terminare il wizard cliccando su Finish
  9. Andare ora nel tab ENCRYPTION POLICY – TUNNEL  ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
  10. Selezionare l'anonymous peer creato al punto 8
  11. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN
  12. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
  13. Attivare il mode config
  14. Salvare la configurazione e attivare lo slot
  15. Andare sotto USERS  VPN Access privileges  spostiamoci nel tab VPN ACCESS  e cliccando su Add aggiungiamo una linea nella quale dichiarisoamo quali sono gli utenti o i gruppi di utenti che saranno abilitati a fare IPSEC mettendo Allow sotto la colonna corrispondente(nell'esempio qui sotto permettiamo la VPN IPSEC per l'utente test ma la blocchiamo all'utente testuser)

  16. Andare sotto USERS  Authentication → nel tab AVAILABLE METHOD e cliccando su +Add a method e aggiungere il metodo  Kerberos ricordandoci di configurare tutti i parametri nella parte destra della schermata
  17. Andare sotto USERS  Authentication → nel tab AUTHENTICATION POLICY e cliccando su +New Rule  partirà un wizard che andremo a compilare così:
    1. nella prima schermata scegliamo a che utenti, gruppo di utenti vogliamo applicare la regola che stiamo andando a creare (nell'esempio qui sotto abbiamo messo All che significa tutti)
    2. dopo aver premuto Next ci verrà proposta la seconda schermata in cui andiamo a decidere su che sorgente applicare questa regola(nel nostro caso non si tratta di network ma di un'interfaccia)
    3. premendo ancora Next ci si presenterà l'ultima schermata dove dobbiamo selezionare il metodo di autenticazione(in questo caso Kerberos) che vogliamo utilizzare
    4. terminiamo la creazione di questa regola cliccando su Finish e assicuriamoci che la regola creata sia al primo posto. In caso non lo fosse usiamo la freccia per spostarla al primo posto.
    5. Qui sotto possiamo trovare l'esempio di come sarà la nostra regola


Sul PC dove installeremo Shrew VPN Client:

  1. Scaricare e installare Shrew VPN Client
  2. Cliccare su Add per aggiungere una nuova vpn
  3. nel tab General settare:
    1. l'ip address o l'FQDN del FW e lasciare il resto a default
  4. nel tab Client
    1. lasciare tutto a default tranne l'opzione Enable Client Login Banner che va disabilitata (il Stormshield non invia nessun banner)
  5. nel tab Name Resolution
    1. settare dns o wins se eventualmente li vogliamo usare
  6. nel tab Authentication
    1. settare Hybrid RSA + Xauth
    2. nella sezione Local Identity lasciare vuoto
    3. nella sezione Remote Identity lasciare vuoto
    4. nella sezione Credentials selezionare il certificato di tipo server che dobbiamo esportare dal FW(va esportato con il formato .p12)
  7. nel tab Phase1
    1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase 1 sul FW ponendo particolare attenzione al campo Exchange Mode che dovrà essere settato a Main
  8. nel tab della Phase2
    1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase2 sul FW
  9. nel tab Policy:
    1. come Policy Generation Level settare require
    2. se presente, togliere il flag da Maintain Persistent Security Associations
    3. mettere il flag su Obtain Topology Automatically or Tunnel All
  10. lanciate il tunnel, inserite le credenziali e a questo punto il tunnel dovrebbe essere up


    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.4   Last Edited By: Netwhat   Modified: 23 Aug 2018