Pytania dotyczące konfiguracji w NETASQ-u połączenia mobilnego IPSEC, najlepiej z wykorzystaniem darmowego SHREW, pojawiają się praktycznie każdego dnia. Postanowiłem definitywnie rozstrzygnąć ten temat opisując najprostszą z możliwych konfiguracji, bez tokenów,  bez certyfikatów, bez LDAP, bez żadnych zawiłości i tricków konfiguracyjnych. Ponieważ konfiguracja jest pozbawiona jakichkolwiek bardziej finezyjnych rozwiązań sieciowych cała energia została skierowana w kierunku maksymalnie precyzyjnego opisania poszczególnych kroków (konfiguracji ipsec, reguł zapory, konfiguracji klienta vpn). Oczywiście, klientem do połączeń IPSEC będzie program SHREW.

Zadanie jakie zrealizujemy będzie polegało na zbudowaniu konfiguracji pozwalającej na zdalne połączenie użytkownika mobilnego do zasobów sieci lokalnej (Network_In) chronionej przez urządzenie NETASQ UTM. W celu zminimalizowania kroków konfiguracyjnych nie będziemy się zajmować możliwością podłączenia do zasobów użytkownika mobilnego (chociaż tego rodzaju tunel zapewnia łączność w obu kierunkach).

 

Konfiguracja tunelu pokazana została w poniższym materiale filmowym:

Można podać więcej identyfikatorów (FQDN)  i powiązanych z nimi haseł. Należy pamiętać aby w sytuacji gdy nie powołaliśmy użytkowników nie podawać jako identyfikatora adresu email.

Kolejnym etapem jest konfiguracja reguł zapory. Konfigurację tą można podzielić na dwa bloki: konfigurację reguł niezbędnych do autoryzacji i działania samego tunelu IPSEC oraz reguł zarządzających ruchem „wewnątrz utworzonego tunelu”. Reguły należy umieścić na początku listy reguł:

Pozostaje zainstalować i skonfigurować oprogramowanie klienta IPsec VPN SHREW. Program pobieramy ze strony: http://www.shrew.net (oprogramowanie występuje w wersji płatnej i bezpłatnej). Sama instalacja jest trywialna i nie wymaga praktycznie żadnego komentarza.

Za pomocą polecenia ping możemy skontrolować działanie (drożność) tunelu: