
NETASQ Mobile IPSec
NETASQ IPSEC VPN ma zaprojektowany dedykowany profil dla połączeń realizowanych z urządzeń mobilnych z systemem iOS (Apple iPad, iPhone, iPod Touch). Opiszę jak skonfigurować takie połączenia, zarówno dla urządzeń iOS jak i komputerów z systemem Windows i Mac OS X. Przedstawione konfiguracje będą bazować na wbudowanym w system iOS kliencie VPN oraz oprogramowania TheGreenBow i SHREW w przypadku Windows i VPN Tracker 7 dla Mac OS X Maverics.
Zakładam, że na NETASQ-u jest:
- powołana baza LDAP (lub urządzenie jest zintegrowane z AD)
- utworzono użytkownika(ów)
- wybrani użytkownicy mają zezwolenie na nawiązywanie połączeń IPSEC
- jest powołane CA i wystawiono certyfikat dla serwera VPN oraz certyfikaty dla użytkowników mających mieć możliwość nawiązywania tuneli VPN
- zostały wyeksportowane certyfikaty: użytkowników i CA (potrzebne dla iOS)
UWAGA
Należy pamietać aby FQDN podany przy tworzeniu certyfikatu serwera odpowiada rzeczywistej nazwie domenowej serwera, czyli jeżeli w certyfikacie zadeklarujemy FQDN jako vpn.firma.pl to połączenia do serwera będziemy wywoływali poprzez adres vpn.firma.pl.
Opis sytuacji
Klient mobilny (telefon, tablet, notebook) łączy się z zasobami sieci lokalnej (podsieć 192.168.99.0 255.255.255.0) poprzez tunel IPSEC VPN. Bramą połączenia tunelowanego (serwer VPN) jest urządzenie NETASQ UTM. Autoryzacja połączenia realizowana jest w oparciu o certyfikat i poświadczenia użytkownika (nazwa użytkownika i hasło). Adresy IP dla użytkownika mobilnego przyznawane są automatycznie przez mechanizm CONFIG MODE. Adresy przyznawane są z puli 172.16.60.0/255.255.255.248 (obiekt typu sieć o nazwie Virtual_VPN).
Konfiguracja SERWERA VPN
Zdalna lokalizacja – definicja. Profile IPSEC nie wymagają modyfikacji (stosujemy profile domyślne).
Shrew
Certyfikat (wyeksportowany z PKI NETASQ-a plik p12) należy wgrać do katalogu: a następnie wskazać ten plik w trzech polach (Server Certificate CA, Client Certificate File, Client Private Key File) zakładki Credentials opcji Authentication. Podczas nawiązywania połączenia otrzymamy monit o podanie nazwy użytkownika i hasła (podajemy nazwę i hasło użytkownika z LDAP (AD)) a następnie hasła chroniącego plik p12.Program Files/ShrewSoft/VPN Client/certificates
TheGreeBow
VPN Tracker 7