V této kapitole uvádíme příklad složitější konfigurace VPN, kdy mezi propojenými privátními sítěmi vznikají redundantní cesty (tzn. mezi dvěma sítěmi existuje více různých cest, kterými mohou být pakety směrovány).
Oproti VPN bez redundantních cest (viz kapitola 23.5 Příklad konfigurace Kerio VPN: firma s pobočkou) se konfigurace Kerio VPN liší pouze v nastavení směrování mezi konci jednotlivých tunelů. V tomto případě je třeba nastavit směrování mezi jednotlivými konci VPN tunelů ručně, použití automatické výměny cest není vhodné. Důvodem je, že Kerio VPN nepoužívá žádný směrovací protokol a výměna cest probíhá pouze na základě porovnání směrovacích tabulek na jednotlivých koncích VPN tunelu (viz též kapitola 23.4 Výměna směrovacích informací). Při použití automatické výměny cest nebude směrování mezi jednotlivými sítěmi optimální!
Konfigurace je z důvodu názornosti popsána na příkladu firmy s centrálou a dvěma pobočkami, jejichž lokální privátní sítě jsou vzájemně propojené VPN tunely (tzv. trojúhelníkové schéma). Tento příklad lze zobecnit pro libovolný počet vzájemně propojených privátních sítí.
Uvedený příklad je zaměřen na konfiguraci VPN tunelů a správné nastavení směrování mezi jednotlivými privátními sítěmi; nezabývá se omezováním přístupu. Možnosti omezení přístupu v rámci VPN ukazuje příklad v kapitole 23.5 Příklad konfigurace Kerio VPN: firma s pobočkou.
Předpokládejme schéma sítě dle obrázku 23.32 Příklad konfigurace VPN — firma se dvěma pobočkami.
Server (výchozí brána) centrály má pevnou veřejnou IP adresu
63.55.21.12
(DNS jméno
gw-praha.firma.cz
). Server první pobočky má IP adresu
115.95.27.55
(DNS jméno
gw-plzen.firma.cz
), server druhé pobočky má dynamickou IP
adresu přidělovanou poskytovatelem internetového připojení.
Centrála používá DNS doménu firma.cz
, pobočky
používají subdomény plzen.firma.cz
a
brno.firma.cz
. Konfigurace jednotlivých lokálních sítí a
použité IP adresy jsou uvedeny ve schématu.
Ve všech lokálních sítích (tj. v centrále i v obou pobočkách firmy) je třeba provést tyto kroky:
Na výchozí bráně sítě musí být nainstalován
WinRoute verze 6.1.0
nebo vyšší. Starší
verze neumožňují nastavení směrování (vlastních cest) pro VPN tunely, a nelze
je proto použít pro uvažovanou konfiguraci VPN (viz obrázek 23.32 Příklad konfigurace VPN — firma se dvěma
pobočkami).
Poznámka: Pro každou instalaci WinRoute je potřeba samostatná licence pro příslušný počet uživatelů! Podrobnosti viz kapitola 4 Registrace produktu a licence.
Nastavíme a otestujeme přístup z lokální sítě do Internetu. Počítače v lokální síti musí mít jako výchozí bránu a upřednostňovaný (primární) DNS server nastavenu IP adresu počítače s WinRoute.
Jedná-li se o novou (čistou) instalaci WinRoute, můžeme využít průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly).
Podrobný popis základní konfigurace WinRoute a lokální sítě je uveden v samostatném manuálu Kerio WinRoute Firewall — konfigurace krok za krokem.
V konfiguraci modulu DNS forwarder nastavíme pravidla pro předávání DNS dotazů pro domény ostatních poboček. Tím umožníme přístup na počítače ve vzdálených sítích jejich DNS jmény (v opačném případě by bylo nutné zadávat vzdálené počítače IP adresami).
Pro správné předávání DNS dotazů z počítače s WinRoute musíme na tomto počítači nastavit primární DNS server „sám na sebe“ (tzn. použít IP adresu některého síťového rozhraní tohoto počítače). Jako sekundární DNS server pak musí být specifikován server, na který budou předávány DNS dotazy do ostatních domén (typicky DNS server poskytovatele internetového připojení).
Poznámka: Pro správnou funkci DNS musí DNS
databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze
docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru
hosts
(v případě statických IP adres) nebo nastavením
spolupráce DNS forwarderu s DHCP serverem
(v případě dynamicky přidělovaných IP adres). Podrobnosti viz
kapitola 8.1 DNS forwarder.
V sekci Rozhraní povolíme VPN server, případně nastavíme jeho SSL certifikát. Poznamenáme si otisk certifikátu serveru — budeme jej potřebovat při konfiguraci VPN tunelů ve zbývajících pobočkách.
Zkontrolujeme, zda automaticky vybraná VPN subsíť nekoliduje s žádnou lokální subsítí v žádné pobočce; případně vybereme jinou volnou subsíť.
Poznámka: Vzhledem ke složitosti uvažované VPN doporučujeme předem vyhradit tři volné subsítě, které přidělíme jednotlivým VPN serverům.
Definujeme VPN tunel do jedné ze vzdálených sítí. Pasivní konec tunelu musí být vytvořen na serveru, který má pevnou veřejnou IP adresu. Na serveru s dynamickou IP adresou lze vytvářet pouze aktivní konce VPN tunelů.
Nastavíme směrování (vlastní cesty) pro tento tunel. Zvolíme Používat pouze vlastní cesty a do seznamu vlastních cest uvedeme všechny subsítě ve vzdálené síti.
Je-li protější konec tunelu již definován, zkontrolujeme, zda došlo ke spojení (navázání) tunelu. V případě neúspěchu prohlédneme záznam Error, zkontrolujeme otisky certifikátů a prověříme dostupnost vzdáleného serveru.
Obdobným způsobem definujeme tunel a nastavíme směrování do druhé vzdálené sítě.
Povolíme komunikaci mezi lokální sítí a vzdálenými sítěmi. Chceme-li povolit komunikaci bez omezení, stačí vytvořené VPN tunely přidat do položek Zdroj a Cíl v komunikačním pravidle Lokální komunikace. Možnosti omezování přístupu v rámci VPN ukazuje příklad v kapitole 23.5 Příklad konfigurace Kerio VPN: firma s pobočkou.
Z každé lokální sítě otestujeme dostupnost počítačů
v obou vzdálených sítích. Pro tento test můžeme použít systémové příkazy
ping
a tracert
. Ověříme dostupnost
počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem.
Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).
Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.
Následující sekce podrobně popisují konfiguraci Kerio VPN v centrále a v pobočkách firmy.
Na výchozí bránu sítě centrály nainstalujeme
WinRoute (verze 6.1.0
nebo vyšší).
Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.
V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server. Na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží (tento příklad se nezabývá rozhraním Clientless SSL-VPN).
Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.
Nastavíme DNS (resp. upravíme nastavení DNS):
V konfiguraci modulu DNS forwarder
ve WinRoute zadáme DNS servery, kam budou předávány DNS
dotazy mimo doménu firma.cz
(typicky primární a sekundární
DNS server poskytovatele internetového připojení).
Zapneme volbu Použít nastavení pro předávání DNS
dotazů a definujeme pravidla pro jména v doménách
plzen.firma.cz
a brno.firma.cz
. Jako DNS
server pro předávání dotazů vždy uvedeme IP adresu vnitřního rozhraní počítače
s WinRoute na protější straně příslušného tunelu (tj.
rozhraní připojeného do lokální sítě na protější straně tunelu).
Na rozhraní počítače s WinRoute
připojeném do lokální sítě LAN 1 nastavíme jako
upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj.
10.1.1.1
). Na rozhraní připojeném do lokální sítě
LAN 2 není třeba DNS nastavovat.
Na ostatních počítačích rovněž nastavíme jako upřednostňovaný
(primární) DNS server IP adresu 10.1.1.1
.
Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).
Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.
Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1 Konfigurace VPN serveru.
Vytvoříme pasivní konec VPN tunelu do pobočky Plzeň. Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru na v pobočce Plzeň.
V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do subsítí na vzdáleném konci tunelu (tj. v pobočce Plzeň).
V případě konfigurace VPN podle uvažovaného schématu (viz obrázek 23.32 Příklad konfigurace VPN — firma se dvěma pobočkami) nedoporučujeme používat automaticky poskytnuté cesty! Při automatické výměně cest nebude směrování v rámci VPN optimální (např. veškerá komunikace mezi centrálou a pobočkou Brno bude směrována přes pobočku Plzeň, přičemž tunel mezi centrálou a pobočkou Brno zůstane nevyužitý).
Obdobným způsobem vytvoříme pasivní konec tunelu do pobočky Brno.
V záložce Upřesnění nastavíme volbu Používat pouze vlastní cesty a nastavíme cesty do subsítí na vzdáleném konci tunelu (tj. v pobočce Brno).
Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely.
Na výchozí bránu sítě pobočky nainstalujeme
WinRoute (verze 6.1.0
nebo vyšší).
Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.
V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server (na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží).
Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.
Nastavíme DNS (resp. upravíme nastavení DNS):
V konfiguraci modulu DNS forwarder
ve WinRoute zadáme DNS servery, kam budou předávány DNS
dotazy mimo doménu firma.cz
(typicky primární a sekundární
DNS server poskytovatele internetového připojení).
Zapneme volbu Použít nastavení pro předávání DNS
dotazů a definujeme pravidla pro jména v doménách
firma.cz
a brno.firma.cz
. Jako DNS server
pro předávání dotazů vždy uvedeme IP adresu vnitřního rozhraní počítače
s WinRoute na protější straně příslušného tunelu (tj.
rozhraní připojeného do lokální sítě na protější straně).
Na rozhraní počítače s WinRoute
připojeném do lokální sítě LAN 1 nastavíme jako
upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj.
172.16.1.1
). Na rozhraní připojeném do lokální sítě
LAN 2 není třeba DNS nastavovat.
Na ostatních počítačích rovněž nastavíme jako upřednostňovaný
(primární) DNS server IP adresu 172.16.1.1
.
Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).
Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.
Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1 Konfigurace VPN serveru.
Vytvoříme aktivní konec VPN tunelu připojující se k serveru
centrály (praha.firma.cz
). Jako otisk vzdáleného SSL
certifikátu zadáme otisk certifikátu VPN serveru v centrále.
V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v centrále.
V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky Plzeň zadat příkaz
ping gw-praha.firma.cz
Vytvoříme pasivní konec tunelu do pobočky Brno. Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v pobočce Brno.
V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v pobočce Brno.
Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (předpokládejme, že všichni VPN klienti se budou připojovat k serveru centrály).
Na výchozí bránu sítě pobočky nainstalujeme
WinRoute (verze 6.1.0
nebo vyšší).
Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.
Vytvářet pravidla pro Kerio VPN server a Kerio Clientless SSL-VPN v tomto případě nemá smysl (server má dynamickou veřejnou IP adresu). V 5. kroku průvodce proto ponecháme obě volby vypnuté.
Nastavíme DNS (resp. upravíme nastavení DNS):
V konfiguraci modulu DNS forwarder
ve WinRoute zadáme DNS servery, kam budou předávány DNS
dotazy mimo doménu firma.cz
(typicky primární a sekundární
DNS server poskytovatele internetového připojení).
Zapneme volbu Použít nastavení pro předávání DNS
dotazů a definujeme pravidla pro jména v doménách
firma.cz
a plzen.firma.cz
. Jako DNS
server pro předávání dotazů uvedeme IP adresu vnitřního rozhraní počítače
s WinRoute na protější straně tunelu (tj. rozhraní
připojeného do lokální sítě na protější straně).
Na rozhraní počítače s WinRoute
připojeném do lokální sítě LAN 1 nastavíme jako
upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj.
172.16.1.1
). Na rozhraní připojeném do lokální sítě
LAN 2 není třeba DNS nastavovat.
Na ostatních počítačích rovněž nastavíme jako upřednostňovaný
(primární) DNS server IP adresu 172.16.1.1
.
Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).
Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.
Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1 Konfigurace VPN serveru.
Vytvoříme aktivní konec VPN tunelu připojující se k serveru
centrály (praha.firma.cz
). Jako otisk vzdáleného SSL
certifikátu zadáme otisk certifikátu VPN serveru v centrále.
V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v centrále.
V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky Brno zadat příkaz
ping gw-praha.firma.cz
Vytvoříme aktivní konec tunelu do pobočky
Plzeň (server gw-plzen.firma.cz
). Jako
otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru
v pobočce Plzeň.
V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v pobočce Plzeň.
Podobně jako v předchozím kroku zkontrolujeme, zda došlo k navázání tunelu, a prověříme dostupnost vzdálených privátních sítí (tj. lokálních sítí v pobočce Plzeň).
Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (do této pobočky se žádní VPN klienti připojovat nemohou).