VPN mit IPSec und Gateway to Gateway
Transcription
VPN mit IPSec und Gateway to Gateway
How-to: VPN mit IPSec und Gateway to Gateway Securepoint Security System Version 2007nx How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway ....................................................................................................... 3 1 Konfiguration der Appliance.......................................................................................................................... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager .................................................................. 4 1.2 Erstellen von Firewall-Regeln ........................................................................................................................ 7 1.3 IPSec-Konfiguration ................................................................................................................................... 10 2 Konfiguration des zweiten VPN-Gateways.................................................................................................... 16 Seite 2 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx VPN mit IPSec und Gateway to Gateway Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein VPN ist ebenso möglich. Zielsetzung: Aufbau einer VPN mit IPSec zwischen der Securepoint Appliance und einem VPN-Gateway Abb. VPN Seite 3 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx 1 Konfiguration der Appliance 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager Als erstes müssen einige Netzwerkobjekte erstellt werden. Damit zur Firewall ein IPSec-Tunnel aufgebaut werden kann, wird das externe Interface als Netzwerkobjekt benötigt. Die weiteren Netzwerkobjekte beschreiben die Netze, welche über das VPN miteinander kommunizieren sollen. Es werden 3 Objekte und 3 Rechnergruppen erstellt: Rechnergruppe Rechner Bedeutung Grp-external-interface External-Interface Das externes Firewall-Interface Grp-internal-net Internal-net Das interne Netz Grp-ipsec-net ipsec-net Das IPSec-Netz Gehen Sie folgendermaßen vor: ¾ Wählen Sie über Firewall den Folder Netzwerkobjekte. Klicken Sie auf den Button Rechner. Es werden Ihnen hier zwei Möglichkeiten dargestellt. Wenn Sie über eine feste IP-Adresse verfügen fahren Sie mit 1. (Feste IPAdresse) fort. Im Fall von dynamischen IP-Adressen fahren Sie mit 2. (Dynamische IP-Adresse) fort. Abb. Externes Interfaces mit fester IP-Adresse ¾ 1. Feste IP-Adresse: Die IP wird angegeben, daher muss der Bitcount 32 (= Host) sein. Die Zone ist firewall-external. Bei der Gruppe Grp-external-interface muss ein Symbol ausgewählt werden. Seite 4 How-to: VPN mit IPSec und Gateway to Gateway ¾ Securepoint Version 2007nx 2. Dynamische IP-Adresse: Falls keine feste externe IP vorhanden ist, sondern ein dynamischer DNS Dienst (dyn-DNS) verwendet wird, muss das Interface mit der IP 0.0.0.0 und der Maske 0 angelegt werden. Abb. Externes Interfaces mit Dyn-DNS ¾ Legen Sie nun das interne Netz und das IPSec-Netz wie dargestellt an. Abb. Internes Netz Abb. IPSec-Netz Seite 5 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx Das Ergebnis zeigt folgende Abbildung. Abb. Ergebnis Netzwerkobjekte erstellen Seite 6 How-to: VPN mit IPSec und Gateway to Gateway 1.2 Securepoint Version 2007nx Erstellen von Firewall-Regeln Gehen Sie folgendermaßen vor: ¾ Wählen Sie über Firewall den Folder Portfilter und legen Sie die Firewall-Regeln wie in der Abbildung an. Damit das Remote Gateway den Tunnel initialisieren kann, muss ihm erlaubt werden, die IPSec-Dienste auf dem externen Interface anzusprechen. In diesem Beispiel wird allen externen IPs der Zugriff gestattet. Zur Kommunikation zwischen den Netzen müssen weitere Regeln angelegt werden. Um beiden Netzen kompletten Zugriff auf das jeweils andere zu gestatten, kann der vordefinierte Dienst „any“ verwendet werden. Sie benötigen nur drei Regeln. ¾ Die erste Regel erlaubt dem externen Gateway über das Internet eine IPSec-Verbindung zum externen Interface der Appliance aufzubauen. Abb. Firewall-Regeln Internet -> Firewall extern Seite 7 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx ¾ Die zweite Regel ermöglicht dem internen Netzwerk auf das entfernte Netz zuzugreifen. Abb. Firewall-Regeln Internes Netz -> IPSec Netz ¾ Die dritte Regel gestattet dem entfernten Netz den Zugriff auf das interne Netzwerk. Abb. Firewall-Regeln IPSec Netz -> internes Netz ¾ Nachdem die Regeln angelegt wurden, ist ein Regelupdate zum Aktivieren der Regeln erforderlich. Seite 8 How-to: VPN mit IPSec und Gateway to Gateway ¾ Securepoint Version 2007nx Achtung: Falls ein Hide-NAT für Verbindungen von intern nach extern konfiguriert ist, muss eine Ausnahme für das VPN erstellt werden, ansonsten kann das interne Netz nicht auf das entfernte Netz zugreifen. In diesem Fall wechseln Sie auf den Folder Hide-NAT. ¾ Alle Verbindungen, die vom internen Netz auf das IPSec-Netz gehen, sollen nicht genattet werden, siehe Abbildung. Falls diese Regel nicht erstellt wird, bekommen alle Verbindungen aus dem internen Netz, die das IPSec-Netz erreichen wollen, die IP von eth0 (existierende Hide-NAT Regel) zugewiesen. Abb. Hide-NAT Ausnahme Seite 9 How-to: VPN mit IPSec und Gateway to Gateway 1.3 Securepoint Version 2007nx IPSec-Konfiguration Nachdem die Regeln angelegt sind, muss die VPN-Konfiguration durchgeführt werden. Dazu wird ein Gateway angelegt, welches zusammen mit der Securepoint Firewall in die Arbeitsmappe vom VPN gezogen wird. Die Konfiguration der VPNVerbindung öffnet sich, wenn die beiden Objekte miteinander verbunden werden. Gehen Sie folgendermaßen vor: ¾ Klicken Sie über VPN auf den Folder VPN Verbindungen. ¾ Ziehen Sie nun das bestehende Firewallobjekt aus dem linken Fenster auf die VPN Arbeitsfläche. Abb. Firewall-Symbol auf die Arbeitsfläche ziehen Seite 10 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx Jetzt erstellen Sie ein neues Firewall-Objekt im linken Fenster. ¾ Klicken Sie auf das „blaue Firewall-Symbol“ in der Bildleiste des linken Fensters. Falls das andere Gateway eine Securepoint Appliance ist, wählen Sie das „rote Firewall-Symbol“. Abb. Neues Firewall-Objekt erstellen ¾ Ziehen Sie das neu erstellte Symbol aus dem linken Fenster dann ebenfalls auf die VPN Arbeitsfläche. Abb. Neues Firewall-Objekt auf die Arbeitsfläche ziehen Seite 11 How-to: VPN mit IPSec und Gateway to Gateway ¾ Securepoint Version 2007nx Klicken Sie nun auf das Icon Verbinden und dann auf das Firewall-Objekt. Es erscheint eine Fahne am Firewall-Objekt mit der Information Bitte Zielobjekt anklicken. ¾ Klicken Sie nun das blaue Firewall-Objekt an. Abb. Objekte verbinden Seite 12 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx Es öffnet sich automatisch das Dialog-Fenster IPSec-Verbindung übernehmen. ¾ Da beide Gateways eine feste IP haben, wird die Konfiguration über einen Preshared Key (PSK) realisiert (bei dynamischen IPs empfiehlt sich die Verwendung von Zertifikaten, da die Gegenstellen sich nicht über die IP als eindeutige ID identifizieren können). Die Verschlüsselung und andere Parameter müssen auf der Securepoint mit denen auf dem Remote Gateway übereinstimmen. Die Securepoint nimmt standardmäßig alle ihr möglichen Verschlüsselungen an, falls nur eine bestimmte zugelassen werden soll, muss die untere Checkbox ausgewählt werden. ¾ Wählen Sie im neuen Fenster das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall einfach zu übernehmen. Abb. VPN-Verbindung definieren ¾ Klicken Sie unter Lokaler Schlüssel auf das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein. Abb. VPN-Verbindung definieren Abb. Lokalen Schlüssel eingeben Seite 13 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx Nach dem Erstellen der Verbindung muss auch das Subnetz für den Firewall konfiguriert werden. Die Verbindung wird jetzt rot dargestellt, da die Subnetze, welche miteinander kommunizieren sollen noch nicht eingetragen wurden. ¾ Klicken Sie hierzu mit der rechten Maustaste auf die schwarzen Kästchen, die zwischen den Verbindungslinien sind und wählen Sie Subnetz aus. Ein neues Fenster zur Definition der Subnetze erscheint. ¾ Legen Sie nun ein neues Subnetz an, indem Sie auf das Icon Neu klicken und dann Ihre Daten im Dialog-Fenster eingeben. Zwischen den hier eingetragenen Netzen wird nach erfolgreichem Aufbau des Tunnels geroutet. Abb. Subnetz eintragen Nach dem Anlegen des Subnetzes wird die Verbindungslinie grün. Ein VPN kann nun aufgebaut werden. ¾ Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen. Abb. Verbindungen aktualisieren Seite 14 How-to: VPN mit IPSec und Gateway to Gateway ¾ Securepoint Version 2007nx Überprüfen Sie anschließend den Status der Dienste unter Applikationen im Folder Dienste Status. Für die VPN-Verbindung wird der SERVICE_IPSEC benötigt. Abb. Überprüfung, ob die VPN-Services in Betrieb sind Seite 15 How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx 2 Konfiguration des zweiten VPN-Gateways ¾ Ist die Gegenstelle ebenfalls eine Securepoint, wird die VPN-Konfiguration automatisch auf beiden Firewalls gespeichert. Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden. ¾ Die Securepoint kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSecVPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen. Seite 16