Home / VPN IPSEC / Stormshield VPN Client con Certificato

Stormshield VPN Client con Certificato

Prima di effettuare questa procedura assicurarsi di aver configurato le regole di filtro necessarie per poter gestire la VPN IPSEC da client nomadici, se non sappiamo come fare clicchiamo qui

Collegarsi al FW ed effettuare la seguente procedura (diamo per scontato che il server LDAP sia già stato creato sul FW, se non è così cliccare qui)
La stessa procedura può essere eseguita anche se il FW è integrato con AD ricordandosi di importare nel FW i certificati e la CA nel caso questa sia stata fatta su AD.

  1. Aprire la GUI
  2. Andare sotto Objects  Certificates and PKI
  3. Cliccare su Add e selezionare Add a root CA e seguire il wizard per la creazione della CA (Consigliamo di mettere come validità della CA 3650 giorni)
  4. Selezionare la CA appena create e cliccare su Set as default in modo che questa CA sia quella di default.
  5. Cliccare ancora su Add scegliere Add a server certificate. (Consigliamo di mettere come validità del certificato di tipo server 3650 giorni)
    Durante il wizard verrà chiesto di scegliere quale CA usare per questo certificato quindi selezionare la CA creata al punto 3
  6. Andare sotto VPN  Ipsec VPN
  7. Selezionare uno slot libero
  8. Nel tab PEER selezionare Add e poi New anonymous (mobile) peer a questo punto partirà un wizard:
    1. inserire il nome che vogliamo dare al PEER
    2. come metodo di auth selezioniamo Certificate
    3. Selezionare il certificato(dopo aver cliccato sulla lente di ingrandimento apparirà una finestra vuota,cliccare sulla X per poter visualizzare la lista dei certificati e poi selezionare quello creato nel punto 4)
    4. Terminare il wizard cliccando su Finish
  9. Andare ora nel tab ENCRYPTION POLICY – TUNNEL  ANONYMOUS – MOBILE USERS e cliccare su Add a new policy
  10. Selezionare l'anonymous peer creato al punto 7
  11. Aggiungere la Network_in nelle local resources oppure All se vogliamo raggiungere tutto tramite la VPN
  12. Aggiungere una network o un range nella Remote Netwok (verrà utilizzata per il mode config)
  13. Attivare il mode config
  14. Salvare la configurazione e attivare lo slot
  15. Andare sotto USERS  VPN Access privileges → nel tab VPN ACCESS e aggiungere una riga che permette all'utente o al gruppo di utenti di instaurare un tunnel vpn settando Allow sotto la colonna IPSEC
  16. Andare ora sotto USERS  Authentication  e seguire questi passi:
    • nel tab AVAILABLE METHODS cliccare su +Add a method ed aggiungere SSL certificate aggiungendo nella parte destra dello schermo la CA che abbiamo usato per creare i certificati(quella creata al punto 3)
    • nel tab AUTHENTICATION POLICY cliccare su +New Rule e aggiungere una regola al primo posto fatta in questo modo:

Creare e scaricare il certificati

  1. Aprire la GUI
  2. Andare sotto USERS  Users e selezionare l'utente per il quale vogliamo abilitare la vpn ipsec
  3. Selezionare il tab CERTIFICATE e crearlo se non è già stato creato
  4. Andare sotto OBJECTS  Certificates and PKI e scaricare in formato P12(cliccando sul tasto Download) il certificato di tipo utente

Sul pc windows dove installeremo il Stormshield VPN CLIENT

  1. Scaricare e installare il Stormshield VPN Client  inserendo come Serial la parola demo che vi da diritto di scaricare il cliente in versione demo per 30 giorni
  2. Aprire il pannello di configurazione del Stormshield VPN Client
  3. Cliccare con il tasto destro su VPN Configuration e selezionare New Phase 1
    1. nel tab Authentication selezionare:
      1. Gateway Remoto(l'ip pubblico o l'FQDN della Firewall_out),
      2. selezionare certificato e importare il certificato di tipo utente scaricato dal FW in formato P12
      3. settare i parametri IKE come quelli selezionati sul FW(nel test fatto da me ho usato GoodEncryption)
    2. sopostarsi sul secondo tab e mettere il flag su:
      1. Mode Config
      2. come Local ID selezionare Email e inserire l'email relativa all'utente che stiamo configurando
  4. Cliccare con il tasto destro sulla fase 1 e aggiungere una nuova fase 2
  5. Selezionare la rete remota (nel mio test ho messo Network_in)
  6. Selezionare gli algoritmi ESP come quelli configurati sul FW (nel mio test ho usato  GoodEncryption)
  7. Salvare
  8. Doppio click sulla fase 2 e selezionare open tunnel
  9. ora il tunnel dovrebbe essere up


    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.3   Last Edited By: Netwhat   Modified: 29 Aug 2017