Tajniki VPN-u

Tunel VPN umożliwia bezpieczne połączenie przez internet dwóch lub większej liczby sieci LAN. Komputery, umieszczone w różnych sieciach, mogą komunikować się ze sobą w taki sam sposób, jakby były w tej samej sieci lokalnej. W artykule omawiamy konfiguracje VPN na przykładzie różnych urządzeń i przeznaczone do różnych zastosowań.

Wyróżnia się dwie podstawowe konfiguracje połączeń VPN. W trybie LAN-to-LAN (także site-to-site) tunel VPN łączy dwie bramy sieciowe, umożliwiając komunikację komputerów wewnątrz obu sieci lokalnych. W trybie Client-to-LAN (także remote access) pracownicy korzystający ze swoich komputerów i urządzeń mobilnych mogą uzyskiwać dostęp do zasobów umieszczonych w firmowej sieci LAN. Tanie urządzenia sieciowe z reguły nie mają wbudowanej funkcji serwera VPN, a zatem mogą być wykorzystywane wyłącznie do zestawiania tuneli typu LAN-to-LAN. Dla połączeń VPN w trybie zdalnego dostępu konieczne jest, aby brama dostępowa (router) miała wbudowany tzw. serwer VPN.

Serwer VPN w firmie

Najczęściej wykorzystywaną w zastosowaniach komercyjnych implementacją VPN jest IPsec. Stanowi bezpieczniejszą i bardziej funkcjonalną alternatywę dla technologii PPTP oraz L2TP. To właśnie te trzy rozwiązania są najczęściej implementowane w sprzętowych bramach sieciowych różnej klasy, począwszy od urządzeń dla użytku domowego, po najbardziej skomplikowane rozwiązania sieciowe przedsiębiorstw i operatorów ISP.

W roli serwera dostępowego VPN/IPsec w naszym przykładowym wdrożeniu wystąpi router TP-Link TL-ER6120. To wydajne urządzenie wyposażone w dwa gigabitowe porty WAN oraz trzy gigabitowe porty LAN, z których jeden można skonfigurować do obsługi tzw. strefy zdemilitaryzowanej (DMZ). Dzięki wbudowanemu modułowi sprzętowej akceleracji VPN router może utrzymywać do 100 jednoczesnych połączeń IPsec w trybie LAN-to-LAN lub Client-to-LAN.

TP-Link, w porozumieniu z firmą TheGreenBow, udostępnia dedykowanego klienta VPN do systemu Windows. Wersja testowa tego narzędzia dostępna jest do pobrania ze strony thegreenbow.com/tplink. W praktyce jest to dobrze znana na rynku aplikacja VPN o nazwie TheGreenBow IPSec VPN Client. Program jest płatny. Ceny za pojedynczego użytkownika rozpoczynają się od 46 euro przy zakupie od 25 do 49 licencji, do 58 euro przy zamówieniu 1 lub 2 licencji.

Procedura konfiguracji bezpiecznego tunelu w trybie Client-to-LAN wymaga przygotowania routera do obsługi połączeń zdalnych VPN oraz instalacji i konfiguracji oprogramowania klienta VPN na każdej ze stacji roboczych Windows, które mają mieć dostęp do zasobów sieci lokalnej w firmie. Rzecz jasna, obie strony muszą mieć połączenie z internetem.

Konfiguracja routera TL-ER6120

Niniejszy poradnik został przygotowany na podstawie oficjalnej dokumentacji TP-LINK „How to configure VPN function on TP-Link routers” i dotyczy routerów tego producenta: modeli TL-ER6120, TL-ER6020, TL-ER604W oraz TL-R600VPN.

Procedura konfiguracji serwera VPN (routera) wymaga zdefiniowania kolejno jednej lub kilku propozycji IKE, polityki IKE, jednej lub kilku propozycji IPsec oraz polityki IPsec. IPsec stosuje jeden z dwóch protokołów ochrony danych: AH (Authentication Header), który zapewnia mechanizmy uwierzytelniania i integralności pakietów przesyłanych w sieciach publicznych lub ESP (Encapsulating Security Payload), który wprowadza dodatkową warstwę zabezpieczeń, m.in. szyfrowanie transmisji danych.

W trakcie zestawiania połączenia VPN strony „negocjują” między sobą sposób zabezpieczenia transmisji. Warunki te nazywane są skojarzeniami (związkami) bezpieczeństwa, przy czym z reguły posługujemy się tutaj angielską nazwą Security Association (SA).

Negocjowanie sesji może odbywać się ręcznie lub za pomocą protokołu IKE (Internet Key Exchange). Sam proces ustalania skojarzeń zabezpieczeń odbywa się w dwóch fazach. W fazie 1 (negocjacja IKE) ustanawiany jest bezpieczny kanał komunikacji dla dalszych negocjacji prowadzonych w fazie 2 (negocjacja IPsec), w której to następuje uzgodnienie związków zabezpieczeń dla właściwej transmisji danych. Negocjowanie sesji w protokole IKE może być prowadzone w trybie zwykłym (Main) lub przyspieszonym (Aggressive). Ogólnie rzecz biorąc, tryb zwykły, pomimo że wolniejszy, zapewnia nieco wyższy poziom bezpieczeństwa.

Uwierzytelnianie stron połączenia VPN może odbywać się na podstawie stałego klucza współdzielonego (Pre-Shared Key), pary nazwa użytkownika i hasło (także z serwera LDAP, RADIUS) oraz certyfikatów cyfrowych. Model routera TL-ER6120 umożliwia skorzystanie tylko z pierwszej (i niestety najmniej bezpiecznej) z metod.

1. Adres IP i maska podsieci

Zaloguj się do webowego panelu zarządzania routerem, a następnie na karcie podsumowania (Network | Status) odczytaj zewnętrzny adres IP routera (IP Address w sekcji WAN) oraz zakres adresów IP i maskę sieci lokalnej, do której chcesz się podłączyć zdalnie (pola IP Address oraz Subnet Mask w sekcji LAN/DMZ).

2. IKE Proposal

Przejdź do modułu VPN | IKE | IKE Proposal, aby zdefiniować możliwe propozycje IKE dla fazy 1. Wprowadź nazwę zestawu propozycji, wskaż algorytm uwierzytelniania (MD5 lub SHA1), algorytm szyfrowania (3DES, AES128, AES192, AES256) oraz opcje wyznaczania tajnego klucza za pomocą algorytmu Diffiego-Hellmana (DH1, DH2, DH5). Przykładowy zestaw propozycji fazy 1 (IKE) to SHA1-AES256-DH5. Kliknij Add, aby dodać ten zestaw do listy.

Tajniki VPN-u

3. IKE Policy

W oknie konfiguracji routera zmień zakładkę na IKE Policy, a następnie zdefiniuj politykę IKE. Wprowadź jej nazwę (Policy name), tryb negocjacji zabezpieczeń w fazie 1 (Exchange Mode), typ i wartość lokalnego oraz zdalnego identyfikatora (Local ID Type, Remote ID Type), klucz współdzielony (Pre-shared Key), opcje wyznaczania kluczy PFS oraz czas życia skojarzeń zabezpieczeń (SA Lifetime). Wskaż co najmniej jedną propozycję IKE dostępną dla tej polityki (IKE Proposal 1).

Tajniki VPN-u

W naszym przykładzie tryb negocjacji zabezpieczeń ustaw na Main, natomiast dla opcji Local ID Type oraz Remote ID Type wybierz FQDN. Jako Local ID wpisz 123456, natomiast Remote ID 654321. Dzięki takiej konfiguracji tunel VPN będzie mógł być zestawiany również z komputerów znajdujących się za routerem (NAT). Wprowadź klucz współdzielony (np. BardzoTrudneHaslo9). Domyślny czas życia skojarzeń zabezpieczeń (SA) jest właściwy dla większości zastosowań (28800 sekund). Opcję DPD pozostaw wyłączoną. Zakończ, klikając Add.

4. IPsec Proposal

Przejdź teraz do ustawień IPsec, klikając kolejno VPN | IPsec | IPsec Proposal. To tutaj zdefiniujesz propozycje zabezpieczeń dla fazy 2. Wprowadź nazwę konfiguracji, protokół zabezpieczeń (AH lub ESP) oraz algorytmy uwierzytelniania (MD5, SHA1) i szyfrowania (NONE, DES, 3DES, AES128, AES192, AES256). Przykładowy zestaw propozycji fazy 2 (IPsec) to ESP-SHA1-AES256. Kliknij Add, aby dodać ten zestaw do listy.

Tajniki VPN-u

5. IPsec Policy

Ostatni krok polega na zdefiniowaniu polityki IPsec. Zmień kartę na IPsec Policy, a następnie wprowadź nazwę nowej polityki. Wskaż tryb połączeń VPN spośród opcji LAN-to-LAN oraz Client-to-LAN. Wybierz drugą z nich, aby umożliwić użytkownikom zdalne połączenia do sieci lokalnej. W polu Local Subnet wpisz maskę lokalnej podsieci przedsiębiorstwa, np. 192.168.1.0. W trybie Client-to-LAN pole Remote Subnet (zdalna podsieć) pozostaje nieaktywne.

Wybierz port WAN, na którym router będzie nasłuchiwał żądań IPsec. Opcja ta jest tutaj stosowana z uwagi na fakt, że TL-ER6120 wyposażono w dwa porty WAN. W polu Remote Host pozostaw domyślną wartość 0.0.0.0.

Tajniki VPN-u

Tryb negocjacji sesji VPN (opcja Policy Mode) ustaw na IKE, po czym wskaż zdefiniowane wcześniej politykę IKE (IKE Policy) oraz propozycję IPsec (IPsec Proposal 1). Nie włączaj własności PFS (opcja PFS równa NONE), natomiast wartość zmiennej SA Lifetime pozostaw ustawioną na 28800 sekund. Zaznacz Activate w polu Status i przyciskiem Add dodaj nową politykę IPsec do listy.

Na koniec w sekcji General zmień wartość opcji IPsec na Enabled, po czym zatwierdź zmiany. TL-ER6120 nie wymaga definiowania dodatkowych reguł zapory sieciowej.

Konfiguracja klienta TheGreenBow IPsec VPN Client

Na komputerze pracownika powinien znaleźć się program TheGreenBow IPsec VPN Client. Aplikacja dostępna jest w języku polskim, choć wiele nazw parametrów i ich wartości nie zostało przetłumaczonych. Zostańmy więc przy angielskim języku interfejsu tego programu.

1. Konfiguracja bramy

Konfiguracja VPN w programie TheGreenBow odbywa się w dwóch krokach, analogicznie do dwóch faz negocjacji parametrów połączenia. Kliknij prawym przyciskiem myszy (ppm) gałąź VPN Configuration, a następnie z menu wybierz New Phase 1. Na liście pozycji w drzewie znajdziesz nowy wpis Gateway. Kliknij go, aby wyświetlić opcje pierwszej fazy. Na karcie Authentication wpisz adres routera w sieci lokalnej (pole Remote Gateway) oraz klucz współdzielony (Preshared Key), a następnie wprowadź parametry negocjacji kluczy IKE. Ustawienia te powinny być zgodne z konfiguracją, którą przed chwilą ustaliłeś na routerze.

Tajniki VPN-u

2. Kolejne ustawienia

Przejdź na kartę Advanced, gdzie zdefiniujesz wartości Local ID oraz Remote ID. W obu przypadkach jako typ identyfikatora wybierz DNS (opcja ta odpowiada wartości FQDN w ustawieniach routera). UWAGA! W programie klienta wartość pól Local ID oraz Remote ID przypisz odwrotnie niż zrobiłeś to w konfiguracji bramy VPN. W naszym przykładzie pole Local ID będzie miało wartość 654321, a Remote ID 123456. Na koniec zapisz wprowadzone zmiany, klikając kolejno Apply | Save.

Tajniki VPN-u

3. Konfiguracja tunelu

W kolejnym kroku zdefiniuj ustawienia negocjacji fazy 2. Kliknij prawym przyciskiem myszy opcję Gateway (lub inną, jeśli zmieniłeś nazwę nowego połączenia VPN), a następnie wybierz New Phase 2. Kliknij Tunnel, aby wprowadzić ustawienia połączenia. Jako typ adresu (Address type) wybierz Subnet address, a w polu Remote LAN address wprowadź adres zdalnej podsieci (192.168.1.0) oraz jej maskę.

Ustal algorytmy szyfrowania i uwierzytelniania (SHA1, AES256) oraz tryb VPN. Do wyboru masz Tunnel (wybierz tę opcję) oraz Transport. Wyłącz opcję PFS. Nie będziemy jej używać w tym miejscu. Zapisz zmiany w konfiguracji klienta.

Aby nawiązać połączenie, kliknij ppm. nazwę nowo utworzonego połączenia (tutaj Tunnel), a następnie wybierz Open tunnel. Gotowe.

Tajniki VPN-u

The Shrew Soft VPN Client

TheGreenBow jest znakomitym klientem VPN, ale niestety sporo kosztuje. Alternatywą dla niego może być program The Shrew Soft VPN Client, który występuje w dwóch wersjach: bezpłatnej Standard oraz płatnej Professional. Shrew Soft jest klientem VPN-u dla systemu Windows, Linux oraz BSD. Aplikacja została zaprojektowana, aby zapewnić możliwość tworzenia bezpiecznych tuneli między komputerami przenośnymi Windows a programowymi bramami VPN implementowanymi w Linuksie za pomocą technologii ipsec-tools, OpenSWAN, StrongSWAN, Libreswan czy isakmpd. W chwili obecnej aplikacja zawiera wiele funkcji spotykanych w komercyjnym oprogramowaniu VPN, które pozwalają wykorzystać ją do tworzenia zdalnych połączeń do sprzętowych bram VPN takich producentów, jak Cisco, Juniper, Checkpoint, Fortinet, Netgear, Linksys, Zywall i oczywiście TP-Link.

Program wspiera wiele metod uwierzytelniania, w tym te oparte na kluczu współdzielonym oraz certyfikatach cyfrowych, wszystkie najważniejsze algorytmy szyfrowania, wymianę kluczy IKE w trybie Main i Aggressive, mechanizm PFS oraz tryb Tunnel. Tryb Transport nie jest obsługiwany. W wersji Professional dodano możliwość bezpiecznego logowania się do domeny Windows oraz wsparcie dla funkcji Split DNS Domain List i DNS Transparent Proxy Service.

Shrew Soft w praktyce

1. Otwórz program Shrew VPN Access Manager, a następnie kliknij Add, aby utworzyć nową konfigurację połączenia. Na karcie General, w polu Host Name or IP Address wprowadź nazwę lub adres bramy internetowej (routera) w przedsiębiorstwie. Wartość pola Auto Configuration zmień na disabled, natomiast Adapter Mode na Use an existing adapter and current address.

Tajniki VPN-u

2. Przejdź na kartę Name Resolution, a następnie na dwóch kolejnych zakładkach odznacz opcje Enable DNS oraz Enable WINS.

Tajniki VPN-u

W kolejnym kroku zmień kartę na Authentication, po czym jako metodę uwierzytelniania (Authentication Method) wskaż Mutual PSK. Następnie dla Local Identity oraz Remote Identity ustal typ identyfikacji (Identification Type) na Fully Qualified Doman Name, a w dalszej kolejności w polach FQDN String wprowadź lokalny i zdalny ID, odwrotnie niż skonfigurowano to na routerze TP LINK.

Tajniki VPN-u

Przejdź na kartę Credentials, gdzie w polu Pre Shared Key wpisz klucz współdzielony.

Tajniki VPN-u

Na karcie Phase 1 oraz Phase 2 wprowadź ustawienia negocjacji zabezpieczeń. W naszym przykładzie dla fazy 1 będą to Exchange Type (main), DH Exchange (group 5), Cipher Algorithm (aes), Cipher Key Lenght (256), Hash Algorithm (sha1).

Tajniki VPN-u

Z kolei dla fazy 2 masz Transform Algorithm (esp-aes), Transform Key Length (256), HMAC Algorithm (sha1), PFS Exchange (disabled) oraz Compress Algorithm (disabled).

Tajniki VPN-u

Zmień kartę na Policy, gdzie następnie odznacz opcję Obtain Topology Automatically or Tunnel All, po czym kliknij Add, aby dodać adres IP oraz maskę zdalnej podsieci (tutaj: 192.168.1.0 oraz 255.255.255.0). Zapisz zmiany, wprowadź nazwę dla zestawu ustawień, a następnie kliknij kolejno Connect | Connect, aby zainicjować nowe połączenie.

Tajniki VPN-u

Problem z dostawcą sieci

Konfiguracja tuneli IPsec może nastręczyć wiele trudności mniej doświadczonym administratorom, szczególnie jeśli robią to pierwszy raz. Zanim poświęcisz długie godziny na szukanie przyczyny problemu, zadzwoń do swojego dostawcy internetu i zapytaj o konfigurację modemu DSL lub routera brzegowego. Nowoczesny modem DSL może pracować w jednym z dwóch trybów: podstawowym i rozszerzonym. W drugim z nich urządzenie dostarcza dodatkowe funkcje sieciowe, m.in. usługi DHCP, mechanizmy translacji adresów NAT, zapory sieciowej lub punktu dostępowego Wi-Fi.

Na potrzeby IPSec wymagane jest przełączenie modemu w tryb podstawowy, wyłączenie lub odpowiednie skonfigurowanie NAT i reguł zapory sieciowej oraz usunięcie przekierowań podsieci, oczywiście jeśli takie istnieją.

Tajniki VPN-u

W konfiguracji routera/zapory sieciowej w sieci komputera klienta, który uzyskuje dostęp VPN, należy włączyć opcję przekazywania pakietów IPsec o nazwie IPsec Passthrough. W routerach TP-Link znajdziesz ją w sekcji Security | Basic Security obok PPTP Passthrough oraz L2TP Passthrough.


TOP 200