Home / VPN IPSEC / Shrew VPN Client con presharedkey

Shrew VPN Client con presharedkey

Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui

Per poter conifgurare la vpn in modo da utilizzare come metodo di autenticazione la presharedkey dobbiamo seguire questi passi

  1. Andare sotto VPN  Ipsec VPN
  2. Selezionare uno slot libero
  3. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
    1. inserire il nome che vogliamo dare al PEER
    2. come metodo di auth selezioniamo Pre-shared key (PSK)
    3. in questa schermata dovremmo aggiungere l'indirizzo email e la presharedkey che l'utente configurerà sul cilent VPN Stormshield poi clicchiamo next
      ATTENZIONE PERCHE' L'EMAIL DEVE ESSERE PRESENTE NELLA CONFIGURAZIONE DI UN UTENTE NEL FW(sia che il FW abbia un LDAP interno oppure sia connesso ad AD o LDAP esterno)
    4. apparirà quindi la schermata di riepilogo quindi clicchiamo su Finish
  4. Andare ora nel tab ENCRYPTION POLICY – TUNNEL  ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
  5. Selezionare l'anonymous peer creato al punto 8
  6. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN
  7. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
  8. Attivare il mode config
  9. Salvare la configurazione e attivare lo slot
  10. Andare sotto USERS  VPN Access privileges → nel tab VPN ACCESS e aggiungere una linea che permette all'utente o al gruppo di utenti di instaurare un tunnel IPSEC settando Allow sotto l'apposita colonna

Sul pc windows dove installeremo il client Shrew

  1. Scaricare e installare Shrew VPN Client
  2. Cliccare su Add per aggiungere una nuova vpn
  3. nel tab General settare:
    1. l'ip address o l'FQDN del FW e lasciare il resto a default
  4. nel tab Client
    1. lasciare tutto a default tranne l'opzione Enable Client Login Banner che va disabilitata (il Stormshield non invia nessun banner)
  5. nel tab Name Resolution
    1. settare dns o wins se eventualmente li vogliamo usare
  6. nel tab Authentication
    1. settare Mutual PSK
    2. nella sezione Local Identity mettere User Fully Qualified Domain Name e l'email address dello user
    3. nella sezione Remote Identity lasciare vuoto
    4. nella sezione Credentials settare la presharedkey
  7. nel tab Phase1
    1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase 1 sul FW ponendo particolare attenzione al campo Exchange Mode che dovrà essere settato adAggressive
  8. nel tab della Phase2
    1. selezionare i parametri in modo che siano uguali a quelli impostati nella fase2 sul FW
  9. nel tab Policy:
    1. come Policy Generation Level settare require
    2. se presente, togliere il flag da Maintain Persistent Security Associations
    3. mettere il flag su Obtain Topology Automatically or Tunnel All
  10. salvate il tutto e lanciate il tunnel

    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.3   Last Edited By: Netwhat   Modified: 29 Aug 2017