Vigor 2900 – Nortel VPN router (tunel IPSec) I. WPROWADZENIE Zakładamy, że mamy dwie odległe lokalizacje, w których dostęp do Internetu obsługują routery Vigor 2900 i Nortel VPN router. Przykład odnosi się do całej rodziny produktów typu „Nortel VPN router” (wcześniejsza nazwa „Contivity Secure IP Services”). Będą to zatem modele: 1000, 1010, 1050, 1600, 1700, 1740, 2000, 2500, 2600, 2700, 4000, 4500, 4600, 5000 oraz model 600. Aby połączyć odległe sieci LAN tunelem VPN, wybieramy protokół IPSec w trybie ESP z autentykacją wstępną IKE typu pre-shared key. Przyjmujemy następujące założenia adresacji IP: V2900: publiczny, niezmienny adres IP: 213.10.12.2, podsieć lokalna: 192.168.7.0/24 Nortel: publiczny, niezmienny adres IP: 80.14.71.90, podsieć lokalna: 192.168.2.0/24 Vigor 2900 IP: 213.10.12.2

Nortel VPN Internet

IP: 80.14.71.90

192.168.7.1

192.168.2.1

192.168.7.20

192.168.2.20

II. KONFIGURACJA WSTĘPNA ROUTERÓW 1. Konfigurujemy interfejs LAN routera Vigor dla obsługi podsieci prywatnej: LAN TCP/IP and DHCP Setup

1

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Jako adres własny routera wybieramy adres 192.168.7.1. W przykładzie włączono również serwer DHCP z początkowym adresem 192.168.7.10 i pulą obejmującą 50 kolejnych adresów. Podano też adresy publicznych serwerów DNS, które zostaną przyznane hostom. Uwaga: drugi adres LAN (for IP routing usage) ma domyślnie postać 192.168.2.1. Można tak zostawić tylko pod warunkiem, że druga podsieć pozostanie wyłączona (Disable). Inaczej mogłoby to zakłócić routing z siecią po drugiej stronie tunelu (w routerze Nortel przyjęliśmy podsieć domyślną 192.168.2.0/24). Oczywiście problem można wyeliminować zmieniając adresację po stronie routera Nortel (np. na 192.168.3.0/24 czy inną prywatną). 2. Konfigurujemy interfejs WAN routera Vigor dla obsługi dostępu do Internetu: Uwaga! W przykładzie założymy, że oba routery są podłączone w standardzie Ethernet do urządzenia posiadającego własny adres IP i będącego bramą do Internetu. Może to być modem ADSL (np. usługa Internet DSL) lub inny router (np. osobny Firewall). Dla konfiguracji VPN tryb czy protokół dostępu do Internetu nie jest zresztą ważny. Istotne jest jedynie czy adres WAN routera jest adresem publicznym czy „NATowanym” przez inny router, oraz czy jest on stały czy zmienny. Przyjęliśmy sytuację idealną, tzn. oba routery posiadają stały, publiczny adres IP interfejsu WAN. Internet Access Setup → Static or Dynamic IP

Zakładamy maskę podsieci 255.255.255.252, typową dla usługi Internet DSL z 1 adresem publicznym do wykorzystania przez urządzenie abonenta (tutaj 213.10.12.2). Adres 213.10.12.1 jest adresem modemu/routera, który stanowi bramę domyślną dla routera Vigor.

2

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) 3. Konfigurujemy interfejsy Ethernet po stronie routera Nortel System → LAN Interfaces

192.168.2.1

255.255.255.0

80.14.71.90

255.255.255.252

W naszym przypadku port Fast Ethernet służy jako wewnętrzny, natomiast Interfejs 1 w gnieździe Slot 1 będzie łączem zewnętrznym (do Internetu). 4. W routerze Nortel konfigurujemy routing do Internetu Routing → Static Routes W sekcji Default Routes wpisujemy adres bramy domyślnej (analogicznie jak w routerze DrayTek załóżmy że jest to usługa Internet DSL i modem ADSL ma adres 80.14.71.89). Klikamy Add Public Route i wpisujemy adres bramy w polu Gateway Address:

80.14.71.89

3

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Dodana trasa pojawia się w sekcji Default Routes:

80.14.71.89

III. KONFIGURACJA VPN (tunel IPSec łączący zdalne podsieci) 1. W routerze Vigor zaznaczamy IPSec jako akceptowany przez router protokół VPN: VPN and Remote Access Setup → Remote Access Control Setup

2. Tworzymy profil zawierający definicję połączenia. VPN and Remote Access Setup → LAN to LAN Dialer Profile Setup 4

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec)

Wybieramy dowolny, nieużywany profil, klikając na odpowiedni indeks. Profil jest bardzo rozbudowany, gdyż zawiera opcje VPN dla protokołów IPSec, L2TP, L2TP/IPSec jak i PPTP, choć dany protokół VPN wykorzystuje tylko część z tych parametrów. Ustawienia istotne w naszym przykładzie będą zaznaczone na czerwono. W części Common Settings włączamy profil, podajemy dowolną nazwę i określamy zachowanie się połączenia. Opcja Both zapewnia możliwość inicjowania tunelu zarówno przez router odległy (Nortel) jak i przez router lokalny (Vigor). Tunel będzie rozłączony po określonym czasie nieaktywności (Idle Timeout), i ponownie nawiązany gdy któryś z hostów odwoła się do zdalnej sieci. Opcja Always On powoduje, że tunel jest trwały, ale inicjacja początkowa jest możliwa tylko w wykonaniu routera Vigor (następuje przejście w tryb DialOut). Jeżeli oba routery posiadają stabilne łącze, które nie ulega awariom, tryb Alway On sprawdzi się dobrze. Inaczej lepiej skorzystać z trybu automatycznego, ewentualnie wydłużając czas Idle Timeout tak aby przypadki rozłączenia były rzadsze. Można też sztucznie utrzymywać tunel za pomocą ping. Czas zestawienia tunelu trwa typowo od 1 do kilku sekund i jest to niemal nieodczuwalne dla większości aplikacji.

To Nortel

Profil Name – dowolna nazwa dla profilu Enable – włączenie profilu (inaczej połączenie nie będzie możliwe) Call Direction: 5 2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Both – tunel może być inicjowany i odbierany przez Vigor1 Dial-Out – tylko inicjowanie do Vigor 2 (Vigor 1 nie odbierze wywołania od Vigor 2) Dial-In – odwrotnie (tylko odbiór), brak podniesienia tunelu przez Vigor 1 „na żądanie” Uwaga: dotyczy to procesu inicjowania tunelu jeżeli nie jest o aktywny. W aktywnym tunelu istnieje pełna komunikacja w obu kierunkach (dotyczy również inicjowania sesji TCP pomiędzy podsieciami) Always on – tunel stale aktywny Idle Timeout – tunnel rozłączany po podanym czasie nieaktywności i automatycznie inicjowany “na żadanie” komputerów W części Dial-Out wybieramy parametry IPSec. Przyjmujemy: - protokół ESP - szyfrowanie 3DES z autentykacją pakietów SHA-1 - klucz wstępny IKE (pre-shared key): “test” Server IP – publiczny adres IP interfejsu WAN odległego routera (routera Nortel). Można by tutaj użyć nazwy DNS skojarzonej z adresem IP, o ile router będzie miał możliwość prawidłowego jej „rozwiązania” w skutek odwołania do serwera DNS. Przydaje się to kiedy adres zdalny się zmienia (np. Neostrada + DynDNS). Type of server – protokół VPN jaki zostanie użyty przez Vigor podczas inicjowania tunelu..

IKE Pre-Shared Key – należy tutaj podać wspólny klucz uwierzytelniania wstępnego dla obu routerów. Identyczny klucz wpiszemy w routerze Nortel (przyjmujemy: test). Advance – konfiguracja protokołu wymiany IKE. Użyjemy trybu Main bez opcji PFS:

6

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec)

Pozostawiamy ustawienia czasu życia kluczy oraz postać Phase 1 proposal. Można też zmieniać te ustawienia na własne (nie będą one tutaj szczegółowo omawiane, choć nieumiejętna konfiguracja trybu negocjacji po obu stronach może mieć uniemożliwić albo wydłużyć zestawianie tunelu). Można też użyć trybu wymiany Agressive zamiast Main. Część Dial-In określa parametry IPSec dla sytuacji kiedy router Vigor odbiera wywołanie inicjowane przez zdalny router. Zaznaczamy więc przynajmniej 3DES jako akceptowany algorytm szyfrowania ESP (można zaznaczyć również inne). Wpisujemy identyczny klucz IKE: test.

Specify Remote VPN Gateway – zanaczenie tego pola ogranicza możliwość nawiązania połączenia wyłącznie spod podanego adresu IP (jako adresu źródłowego hosta inicjującego). Gdyby zdalny router używał zmiennego adresu, nie należy zaznaczać tego pola. My wpiszemy adres publicznego interfejsu zdalnego routera Fortel (jest to adres niezmienny). IKE Pre-Shared Key – według komentarza wyżej, wpisujemy: test Allowed Dial-In Type – zaznaczamy tunel IPSec jako akceptowany protokół IPSec

7

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Cześć ostatnia dotyczy zagadnień routingu IP wewnątrz tunelu VPN:

To co absolutnie musimy podać, to informacje o odległej podsieci IP, leżącej za zdalnym routerem Nortel, do której dotarcie wymaga zestawienia tunelu: Remote Network/Network Mask – adres/maska zdalnej podsieci prywatnej Po prawidłowym wpisaniu powyższych parametrów router posiada statyczną trasę do odległej podsieci, prowadzącą przez wirtualny interfejs oznaczający ten konkretny tunel VPN. Przedstawione na rysunku ustawienia TCP/IP są poprawne w odniesieniu do naszego przykładu. Dodatkowe opcje do wykorzystania: More – jeżeli inne zdalne podsieci również mają być osiągane przez ten tunel VPN, można tutaj dopisać ich adresy IP. RIP – routing dynamiczny wewnątrz tunelu For NAT operation – sposób traktowania sieci zdalnej podczas negocjowania adresów IP w kontekście rodzaju stosowanej adresacji (prywatne lub publiczne adresy IP, ewentualna konieczność zastosowania NAT): Private IP – informuje Vigor 1 że zdalna podsieć stosuje adresy prywatne Public IP – analogicznie – Vigor 1 zakłada że po drugiej stronie tunelu ma do czynienia z adresami publicznymi w ramach LAN. Opcja Public IP może być użyteczna w celu połączenia VPN pomiędzy podsiecią prywatną a Intranetem stosującym adresy publiczne, lub pomiędzy dwoma takimi Intranetami. Normalnie jednak zawsze pozostawia się ustawieni domyślne (Private IP). Change default route to this tunnel – po zaznaczeniu, lokalne komputery będą zmuszone korzystać z Internetu poprzez ten tunel i bramę domyślną w podsieci zdalnej. Normalnie zatem należy pozostawić układ domyślny (pole nie zaznaczone). Uzupełnienie: pole Scheduler sluży do planowania profilu czasowego dla aktywności połączenia. Podaje się tutaj numery reguł czasowych, zdefiniowanych w menu Call Schedule Setup. Dzięki temu można w bardziej zaawansowany sposób zaplanować o jakiej porze dnia i w jaki dni tygodnia połączenie VPN będzie dostępne. Opcję Enable Ping... można wykorzystać do informowania odległego routera o stanie lokalnego połączenia z Internetem, wysyłając regularne komunikaty ICMP na adres w zdalnej sieci. Podtrzymuje się w ten sposób połączenie VPN, natomiast jeżeli router generujący ping przestaje nadawać z powodu kłopotów z dostępem do Internetu, router odbierający może zamknąć tunel i oczekiwać na nowe wywołanie po ustąpieniu kłopotów. Wszelkie opcje nie opisane w niniejszym opracowaniu odnoszą się do połączeń VPN wykorzystujących mechanizmy protokołu PPP (a więc L2TP, PPTP, L2TP/IPSec). 8

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Zaprezentowany przykład pokazuje czysty tunel IPSec, gdzie opcje te nie są stosowane (np. PPP user/password, protokół PAP/CHAP, Call Back itp.). 3. W routerze Nortel konfigurujemy profil połączenia VPN Profiles → Branch Office Wybieramy grupę do której ma należeć profil (w przykładzie używamy domyślnej grupy /Base). Można dodać nową grupę o innej nazwie. W sekcji Connections klikamy Add. Wprowadzamy dane: - name: dowolna nazwa - pozostawiamy Control Tunnel jako Disabled - Tunel Type: IPSec - Connection Type: Peer to Peer - klikamy OK

To Vigor

Po kliknięciu OK otworzy się ekran konfiguracji połączenia. Omówimy kolejne sekcje.

9

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Connection Zaznaczamy Enable:

To Vigor

Endpoints Wybieramy adresy IP dla obu końców połączenia VPN:

80.14.71.90 213.10.12.2

Filters

Authentication Wybór formy autentykacji wstępnej. Ustawiamy Test Pre-Shared Key i dwukrotnie wpisujemy klucz: test

10

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) MTU Pozostawiamy wartość domyslną.

NAT

IP Configuration

Local Networks Klikamy Create Local Network

Pojawia się ekran Networks. Podajemy nazwę sieci i klikamy Create.

192.168.2.0

11

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Następnie wpisujemy adres podsieci: 192.168.2.0 i maskę: 255.255.255.0 i klikamy Add.

192.168.2.0

Remote Networks Klikamy Add aby zdefiniować podsieć odegłą (leżącą po drugiej stronie tunelu):

Wpisujemy podsieć prywatną po stronie routera Vigor: 192.168.7.0

Wpisana podsieć pojawia się na liście:

192.168.7.0

Po skonfigurowaniu profilu należy pamiętać o kliknięciu OK dla zatwierdzenia zmian: 12

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec)

80.14.71.90 213.10.12.2

192.168.2.0

192.168.2.0

192.168.7.0

13

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) W oknie Connections obecne jest nasze połączenie IPSec:

80.14.71.90

213.10.12.2

4. W routerze Nortel konfigurujemy parametry zabezpieczeń dla IPSec Klikamy Services →IPSec →IPSec Settings i zaznaczamy opcje wyróżnione na czerwono:

14

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Dodatkowo na górze zaznaczamy rodzaj autentykacji:

Na koniec zatwierdzamy wszystko klawiszem OK na dole:

Klikamy Profiles → Branch Office i dla grupy /Base wybieramy Configure:

W obszarze IPSec/Configure wykonujemy następujące działania:

15

2004 BRINET Sp. z o. o.

Vigor 2900 – Nortel VPN router (tunel IPSec) Włączamy ESP-Triple DES with SHA1 Integrity Właczamy Triple DES with Group 2 IKE Encryption and Diffie-Hellman Group Wyłączamy Vendor ID. Wyłączamy Perfect Forward Secrecy (PFS). Wyłączamy Compression. Klikamy OK:

Piotr Ponitka Inżynier Systemów Teleinformatycznych BRINET, Poznań [email protected]

16

2004 BRINET Sp. z o. o.