23.3  Propojení dvou privátních sítí přes Internet (VPN tunel)

Pro vytvoření zabezpečeného šifrovaného tunelu mezi lokální a vzdálenou sítí přes Internet (dále jen „VPN tunel“) musí být v obou sítích nainstalován WinRoute včetně podpory VPN (v typické instalaci je podpora VPN obsažena — viz kapitola 2.3  Instalace).

Poznámka: Každá instalace WinRoute vyžaduje samostatnou licenci (viz kapitola 4  Registrace produktu a licence).

Nastavení VPN serverů

Nejprve je třeba na obou stranách (koncích tunelu) povolit a nastavit VPN server. Podrobnosti o konfiguraci VPN serveru naleznete v kapitole 23.1  Konfigurace VPN serveru.

Definice tunelu na vzdálený server

Na každé straně musí být definován VPN tunel na protější server. Volbou Přidat → VPN tunel otevřeme dialog pro vytvoření nového tunelu.

Konfigurace VPN tunelu

Obrázek 23.8. Konfigurace VPN tunelu


Jméno tunelu

Každému VPN tunelu musí být přiřazeno jednoznačné jméno. Pod tímto jménem se tunel zobrazuje v tabulce rozhraní, v komunikačních pravidlech (viz kapitola 7.3  Definice vlastních komunikačních pravidel) a ve statistikách rozhraní (viz kapitola 20.2  Statistiky rozhraní).

Konfigurace

Nastavení režimu lokálního konce tunelu:

  • Aktivní — tento konec tunelu bude sám navazovat spojení na vzdálený VPN server (po vytvoření tunelu, po povolení tunelu nebo po výpadku spojení).

    V položce DNS jméno nebo IP adresa vzdáleného konce tunelu musí být uveden vzdálený VPN server. Používá-li VPN server jiný port než 4090, musí být za dvojtečkou uvedeno příslušné číslo portu (např. server.firma.cz:4100 nebo 65.35.55.20:9000).

    Aktivní režim může být použit, jestliže lze určit IP adresu nebo DNS jméno vzdáleného konce tunelu a vzdálený konec může akceptovat příchozí spojení (tzn. komunikace na vzdálené straně není blokována firewallem).

  • Pasivní — tento konec tunelu bude pouze akceptovat příchozí spojení od vzdáleného (aktivního) konce tunelu.

    Pasivní režim má smysl pouze v případě, že lokální konec tunelu má pevnou IP adresu a může akceptovat příchozí spojení.

Alespoň jeden konec každého VPN tunelu musí být nastaven do aktivního režimu (pasivní konec nemůže navazovat spojení).

Nastavení pro vzdálený konec tunelu

Při vytváření VPN tunelu se ověřuje identita vzdáleného konce kontrolou otisku jeho SSL certifikátu. Nesouhlasí-li otisk certifikátu přijatého ze vzdáleného konce s otiskem uvedeným v nastavení tunelu, spojení bude odmítnuto.

V sekci Nastavení pro vzdálený konec tunelu je uveden otisk certifikátu lokálního konce tunelu a pod ním položka pro otisk certifikátu vzdáleného konce. Do této položky je třeba zadat otisk certifikátu VPN serveru na protější straně a naopak (při konfiguraci tunelu na protější straně musí být zadán otisk certifikátu tohoto VPN serveru).

VPN tunel — otisky certifikátů

Obrázek 23.9. VPN tunel — otisky certifikátů


Je-li lokální konec tunelu nastaven do aktivního režimu, pak lze stisknutím tlačítka Detekovat vzdálený certifikát načíst certifikát vzdáleného konce a jeho otisk nastavit do příslušné položky. Pasivní konec tunelu nemůže vzdálený certifikát detekovat.

Tento způsob nastavení otisku certifikátu je však méně bezpečný — může dojít k podvržení certifikátu. Pokud bude v konfiguraci tunelu nastaven otisk podvrženého certifikátu, pak bude možné vytvořit tunel s útočníkem vydávajícím se za protější stranu. Naopak platný certifikát protější strany nebude akceptován. Je-li to možné, doporučujeme nastavit otisky certifikátů ručně.

Nastavení DNS

Aby bylo možné přistupovat na počítače ve vzdálené síti (tzn. na protější straně tunelu) jejich DNS jmény, je třeba správně nastavit DNS na obou stranách tunelu. Jedním z možných řešení je přidat do DNS na každé straně tunelu záznamy o počítačích na protější straně. Tento přístup je však administrativně náročný a neflexibilní.

Bude-li na obou stranách tunelu jako DNS server použit DNS forwarder ve WinRoute, můžeme v pravidlech pro předávání DNS dotazů (viz kapitola 8.1  DNS forwarder) jednoduše nastavit předávání dotazů na jména v příslušné doméně DNS forwarderu na protější straně tunelu. Podmínkou je použití jiné DNS domény (resp. subdomény) na každé straně tunelu.

Poznámka: Pro správné předávání DNS dotazů vyslaných z počítače s WinRoute (na kterékoliv straně VPN tunelu) je třeba, aby tyto dotazy také zpracovával DNS forwarder. Toho docílíme nastavením lokální IP adresy jako DNS serveru a zadáním původních DNS serverů do konfigurace DNS forwarderu ve WinRoute.

Postup konfigurace DNS je podrobně popsán v kapitole 23.5  Příklad konfigurace Kerio VPN: firma s pobočkou.

Nastavení směrování

Záložka Upřesnění umožňuje nastavit, zda a jakým způsobem budou do lokální směrovací tabulky přidávány cesty poskytnuté vzdáleným koncem VPN tunelu, a případně definovat vlastní cesty do vzdálených sítí.

Problematika směrování v rámci Kerio VPN je podrobně popsána v kapitole 23.4  Výměna směrovacích informací.

Nastavení směrování pro VPN tunel

Obrázek 23.10. Nastavení směrování pro VPN tunel


Navázání spojení

Aktivní konec tunelu se snaží automaticky navázat spojení vždy, když detekuje, že tunel je odpojen (k prvnímu pokusu o navázání spojení dojde bezprostředně po definici tunelu a stisknutí tlačítka Použít v sekci Konfigurace → Rozhraní, resp. po povolení příslušné komunikace — viz dále).

VPN tunel lze deaktivovat tlačítkem Zakázat. Při deaktivaci tunelu by vždy měly být zakázány oba jeho konce.

Poznámka: VPN tunel se udržuje navázaný (zasíláním speciálních paketů v pravidelném časovém intervalu), i pokud se nepřenášejí žádná data. Toto je ochrana proti ukončení spojení firewallem nebo jiným síťovým prvkem na cestě mezi koncovými body tunelu.

Komunikační pravidla pro VPN tunel

Po vytvoření VPN tunelu je třeba povolit komunikaci mezi lokální sítí a sítí připojenou tímto tunelem a povolit odchozí spojení pro službu Kerio VPN z firewallu do Internetu. Jsou-li vytvořena základní komunikační pravidla pomocí průvodce (viz kapitola 23.2  Nastavení pro VPN klienty), stačí přidat příslušný VPN tunel do pravidla Lokální komunikace a do pravidla Komunikace firewallu přidat službu Kerio VPN. Výsledná komunikační pravidla jsou uvedena na obrázku 23.11  Komunikační pravidla pro VPN tunel.

Komunikační pravidla pro VPN tunel

Obrázek 23.11. Komunikační pravidla pro VPN tunel


Poznámka:

  1. V příkladech v tomto manuálu budeme pro jednoduchost uvažovat, že pravidlo Komunikace firewallu povoluje přístup firewallu k libovolné službě (viz obrázek 23.12  Obecná komunikační pravidla pro VPN tunel). Pak samozřejmě není nutné službu Kerio VPN do tohoto pravidla přidávat.

    Obecná komunikační pravidla pro VPN tunel

    Obrázek 23.12. Obecná komunikační pravidla pro VPN tunel


  2. Takto nastavená komunikační pravidla povolují komunikaci mezi lokální sítí, vzdálenou sítí a všemi VPN klienty bez omezení. Chceme-li omezit přístup, je třeba definovat několik samostatných pravidel (pro lokální komunikaci, VPN klienty, VPN tunel atd.). Některé možnosti nastavení komunikačních pravidel jsou uvedeny v příkladu v kapitole 23.5  Příklad konfigurace Kerio VPN: firma s pobočkou.