23.6  Složitější konfigurace Kerio VPN: firma s více pobočkami

V této kapitole uvádíme příklad složitější konfigurace VPN, kdy mezi propojenými privátními sítěmi vznikají redundantní cesty (tzn. mezi dvěma sítěmi existuje více různých cest, kterými mohou být pakety směrovány).

Oproti VPN bez redundantních cest (viz kapitola 23.5  Příklad konfigurace Kerio VPN: firma s pobočkou) se konfigurace Kerio VPN liší pouze v nastavení směrování mezi konci jednotlivých tunelů. V tomto případě je třeba nastavit směrování mezi jednotlivými konci VPN tunelů ručně, použití automatické výměny cest není vhodné. Důvodem je, že Kerio VPN nepoužívá žádný směrovací protokol a výměna cest probíhá pouze na základě porovnání směrovacích tabulek na jednotlivých koncích VPN tunelu (viz též kapitola 23.4  Výměna směrovacích informací). Při použití automatické výměny cest nebude směrování mezi jednotlivými sítěmi optimální!

Konfigurace je z důvodu názornosti popsána na příkladu firmy s centrálou a dvěma pobočkami, jejichž lokální privátní sítě jsou vzájemně propojené VPN tunely (tzv. trojúhelníkové schéma). Tento příklad lze zobecnit pro libovolný počet vzájemně propojených privátních sítí.

Uvedený příklad je zaměřen na konfiguraci VPN tunelů a správné nastavení směrování mezi jednotlivými privátními sítěmi; nezabývá se omezováním přístupu. Možnosti omezení přístupu v rámci VPN ukazuje příklad v kapitole 23.5  Příklad konfigurace Kerio VPN: firma s pobočkou.

Zadání

Předpokládejme schéma sítě dle obrázku 23.32  Příklad konfigurace VPN — firma se dvěma pobočkami.

Příklad konfigurace VPN — firma se dvěma pobočkami

Obrázek 23.32. Příklad konfigurace VPN — firma se dvěma pobočkami


Server (výchozí brána) centrály má pevnou veřejnou IP adresu 63.55.21.12 (DNS jméno gw-praha.firma.cz). Server první pobočky má IP adresu 115.95.27.55 (DNS jméno gw-plzen.firma.cz), server druhé pobočky má dynamickou IP adresu přidělovanou poskytovatelem internetového připojení.

Centrála používá DNS doménu firma.cz, pobočky používají subdomény plzen.firma.cz a brno.firma.cz. Konfigurace jednotlivých lokálních sítí a použité IP adresy jsou uvedeny ve schématu.

Obecný postup

Ve všech lokálních sítích (tj. v centrále i v obou pobočkách firmy) je třeba provést tyto kroky:

  1. Na výchozí bráně sítě musí být nainstalován WinRoute verze 6.1.0 nebo vyšší. Starší verze neumožňují nastavení směrování (vlastních cest) pro VPN tunely, a nelze je proto použít pro uvažovanou konfiguraci VPN (viz obrázek 23.32  Příklad konfigurace VPN — firma se dvěma pobočkami).

    Poznámka: Pro každou instalaci WinRoute je potřeba samostatná licence pro příslušný počet uživatelů! Podrobnosti viz kapitola 4  Registrace produktu a licence.

  2. Nastavíme a otestujeme přístup z lokální sítě do Internetu. Počítače v lokální síti musí mít jako výchozí bránu a upřednostňovaný (primární) DNS server nastavenu IP adresu počítače s WinRoute.

    Jedná-li se o novou (čistou) instalaci WinRoute, můžeme využít průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly).

    Podrobný popis základní konfigurace WinRoute a lokální sítě je uveden v samostatném manuálu Kerio WinRoute Firewall — konfigurace krok za krokem.

  3. V konfiguraci modulu DNS forwarder nastavíme pravidla pro předávání DNS dotazů pro domény ostatních poboček. Tím umožníme přístup na počítače ve vzdálených sítích jejich DNS jmény (v opačném případě by bylo nutné zadávat vzdálené počítače IP adresami).

    Pro správné předávání DNS dotazů z počítače s WinRoute musíme na tomto počítači nastavit primární DNS server „sám na sebe“ (tzn. použít IP adresu některého síťového rozhraní tohoto počítače). Jako sekundární DNS server pak musí být specifikován server, na který budou předávány DNS dotazy do ostatních domén (typicky DNS server poskytovatele internetového připojení).

    Poznámka: Pro správnou funkci DNS musí DNS databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru hosts (v případě statických IP adres) nebo nastavením spolupráce DNS forwarderu s DHCP serverem (v případě dynamicky přidělovaných IP adres). Podrobnosti viz kapitola 8.1  DNS forwarder.

  4. V sekci Rozhraní povolíme VPN server, případně nastavíme jeho SSL certifikát. Poznamenáme si otisk certifikátu serveru — budeme jej potřebovat při konfiguraci VPN tunelů ve zbývajících pobočkách.

    Zkontrolujeme, zda automaticky vybraná VPN subsíť nekoliduje s žádnou lokální subsítí v žádné pobočce; případně vybereme jinou volnou subsíť.

    Poznámka: Vzhledem ke složitosti uvažované VPN doporučujeme předem vyhradit tři volné subsítě, které přidělíme jednotlivým VPN serverům.

  5. Definujeme VPN tunel do jedné ze vzdálených sítí. Pasivní konec tunelu musí být vytvořen na serveru, který má pevnou veřejnou IP adresu. Na serveru s dynamickou IP adresou lze vytvářet pouze aktivní konce VPN tunelů.

    Nastavíme směrování (vlastní cesty) pro tento tunel. Zvolíme Používat pouze vlastní cesty a do seznamu vlastních cest uvedeme všechny subsítě ve vzdálené síti.

    Je-li protější konec tunelu již definován, zkontrolujeme, zda došlo ke spojení (navázání) tunelu. V případě neúspěchu prohlédneme záznam Error, zkontrolujeme otisky certifikátů a prověříme dostupnost vzdáleného serveru.

  6. Obdobným způsobem definujeme tunel a nastavíme směrování do druhé vzdálené sítě.

  7. Povolíme komunikaci mezi lokální sítí a vzdálenými sítěmi. Chceme-li povolit komunikaci bez omezení, stačí vytvořené VPN tunely přidat do položek Zdroj a Cíl v komunikačním pravidle Lokální komunikace. Možnosti omezování přístupu v rámci VPN ukazuje příklad v kapitole 23.5  Příklad konfigurace Kerio VPN: firma s pobočkou.

  8. Z každé lokální sítě otestujeme dostupnost počítačů v obou vzdálených sítích. Pro tento test můžeme použít systémové příkazy ping a tracert. Ověříme dostupnost počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem.

    Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).

    Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.

Následující sekce podrobně popisují konfiguraci Kerio VPN v centrále a v pobočkách firmy.

Konfigurace v centrále firmy

  1. Na výchozí bránu sítě centrály nainstalujeme WinRoute (verze 6.1.0 nebo vyšší).

  2. Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.

    Centrála — přístup z lokální sítě do Internetu bez omezení

    Obrázek 23.33. Centrála — přístup z lokální sítě do Internetu bez omezení


    V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server. Na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží (tento příklad se nezabývá rozhraním Clientless SSL-VPN).

    Centrála — vytvoření výchozích komunikačních pravidel pro Kerio VPN

    Obrázek 23.34. Centrála — vytvoření výchozích komunikačních pravidel pro Kerio VPN


    Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.

    Centrála — výchozí komunikační pravidla pro Kerio VPN

    Obrázek 23.35. Centrála — výchozí komunikační pravidla pro Kerio VPN


  3. Nastavíme DNS (resp. upravíme nastavení DNS):

    • V konfiguraci modulu DNS forwarder ve WinRoute zadáme DNS servery, kam budou předávány DNS dotazy mimo doménu firma.cz (typicky primární a sekundární DNS server poskytovatele internetového připojení).

      Centrála — konfigurace modulu DNS forwarder

      Obrázek 23.36. Centrála — konfigurace modulu DNS forwarder


    • Zapneme volbu Použít nastavení pro předávání DNS dotazů a definujeme pravidla pro jména v doménách plzen.firma.cz a brno.firma.cz. Jako DNS server pro předávání dotazů vždy uvedeme IP adresu vnitřního rozhraní počítače s WinRoute na protější straně příslušného tunelu (tj. rozhraní připojeného do lokální sítě na protější straně tunelu).

      Centrála — nastavení předávání DNS dotazů

      Obrázek 23.37. Centrála — nastavení předávání DNS dotazů


    • Na rozhraní počítače s WinRoute připojeném do lokální sítě LAN 1 nastavíme jako upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj. 10.1.1.1). Na rozhraní připojeném do lokální sítě LAN 2 není třeba DNS nastavovat.

      Centrála — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě

      Obrázek 23.38. Centrála — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě


    • Na ostatních počítačích rovněž nastavíme jako upřednostňovaný (primární) DNS server IP adresu 10.1.1.1.

  4. Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).

    Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.

    Centrála — konfigurace VPN serveru

    Obrázek 23.39. Centrála — konfigurace VPN serveru


    Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1  Konfigurace VPN serveru.

  5. Vytvoříme pasivní konec VPN tunelu do pobočky Plzeň. Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru na v pobočce Plzeň.

    Centrála — definice VPN tunelu do pobočky Plzeň

    Obrázek 23.40. Centrála — definice VPN tunelu do pobočky Plzeň


    V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do subsítí na vzdáleném konci tunelu (tj. v pobočce Plzeň).

    Centrála — nastavení směrování pro tunel do pobočky Plzeň

    Obrázek 23.41. Centrála — nastavení směrování pro tunel do pobočky Plzeň


    Upozornění

    V případě konfigurace VPN podle uvažovaného schématu (viz obrázek 23.32  Příklad konfigurace VPN — firma se dvěma pobočkami) nedoporučujeme používat automaticky poskytnuté cesty! Při automatické výměně cest nebude směrování v rámci VPN optimální (např. veškerá komunikace mezi centrálou a pobočkou Brno bude směrována přes pobočku Plzeň, přičemž tunel mezi centrálou a pobočkou Brno zůstane nevyužitý).

  6. Obdobným způsobem vytvoříme pasivní konec tunelu do pobočky Brno.

    Centrála — definice VPN tunelu do pobočky Brno

    Obrázek 23.42. Centrála — definice VPN tunelu do pobočky Brno


    V záložce Upřesnění nastavíme volbu Používat pouze vlastní cesty a nastavíme cesty do subsítí na vzdáleném konci tunelu (tj. v pobočce Brno).

    Centrála — nastavení směrování pro tunel do pobočky Brno

    Obrázek 23.43. Centrála — nastavení směrování pro tunel do pobočky Brno


  7. Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely.

    Centrála — výsledná komunikační pravidla

    Obrázek 23.44. Centrála — výsledná komunikační pravidla


Konfigurace v pobočce Plzeň

  1. Na výchozí bránu sítě pobočky nainstalujeme WinRoute (verze 6.1.0 nebo vyšší).

  2. Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.

    V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server (na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží).

    Pobočka Plzeň — přístup z lokální sítě do Internetu bez omezení

    Obrázek 23.45. Pobočka Plzeň — přístup z lokální sítě do Internetu bez omezení


    Pobočka Plzeň — vytvoření výchozích komunikačních pravidel pro Kerio VPN

    Obrázek 23.46. Pobočka Plzeň — vytvoření výchozích komunikačních pravidel pro Kerio VPN


    Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.

    Pobočka Plzeň — výchozí komunikační pravidla pro Kerio VPN

    Obrázek 23.47. Pobočka Plzeň — výchozí komunikační pravidla pro Kerio VPN


  3. Nastavíme DNS (resp. upravíme nastavení DNS):

    • V konfiguraci modulu DNS forwarder ve WinRoute zadáme DNS servery, kam budou předávány DNS dotazy mimo doménu firma.cz (typicky primární a sekundární DNS server poskytovatele internetového připojení).

      Pobočka Plzeň — konfigurace modulu DNS forwarder

      Obrázek 23.48. Pobočka Plzeň — konfigurace modulu DNS forwarder


    • Zapneme volbu Použít nastavení pro předávání DNS dotazů a definujeme pravidla pro jména v doménách firma.cz a brno.firma.cz. Jako DNS server pro předávání dotazů vždy uvedeme IP adresu vnitřního rozhraní počítače s WinRoute na protější straně příslušného tunelu (tj. rozhraní připojeného do lokální sítě na protější straně).

      Pobočka Plzeň — nastavení předávání DNS dotazů

      Obrázek 23.49. Pobočka Plzeň — nastavení předávání DNS dotazů


    • Na rozhraní počítače s WinRoute připojeném do lokální sítě LAN 1 nastavíme jako upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj. 172.16.1.1). Na rozhraní připojeném do lokální sítě LAN 2 není třeba DNS nastavovat.

    • Na ostatních počítačích rovněž nastavíme jako upřednostňovaný (primární) DNS server IP adresu 172.16.1.1.

  4. Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).

    Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.

    Pobočka Plzeň — konfigurace VPN serveru

    Obrázek 23.50. Pobočka Plzeň — konfigurace VPN serveru


    Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1  Konfigurace VPN serveru.

  5. Vytvoříme aktivní konec VPN tunelu připojující se k serveru centrály (praha.firma.cz). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v centrále.

    Pobočka Plzeň — definice VPN tunelu do centrály

    Obrázek 23.51. Pobočka Plzeň — definice VPN tunelu do centrály


    V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v centrále.

    Pobočka Plzeň — nastavení směrování pro tunel do centrály

    Obrázek 23.52. Pobočka Plzeň — nastavení směrování pro tunel do centrály


    V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky Plzeň zadat příkaz

    ping gw-praha.firma.cz

  6. Vytvoříme pasivní konec tunelu do pobočky Brno. Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v pobočce Brno.

    Pobočka Plzeň — definice VPN tunelu do pobočky Brno

    Obrázek 23.53. Pobočka Plzeň — definice VPN tunelu do pobočky Brno


    V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v pobočce Brno.

    Pobočka Plzeň — nastavení směrování pro tunel do pobočky Brno

    Obrázek 23.54. Pobočka Plzeň — nastavení směrování pro tunel do pobočky Brno


  7. Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (předpokládejme, že všichni VPN klienti se budou připojovat k serveru centrály).

    Pobočka Plzeň — výsledná komunikační pravidla

    Obrázek 23.55. Pobočka Plzeň — výsledná komunikační pravidla


Konfigurace v pobočce Brno

  1. Na výchozí bránu sítě pobočky nainstalujeme WinRoute (verze 6.1.0 nebo vyšší).

  2. Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.

    Pobočka Brno — přístup z lokální sítě do Internetu bez omezení

    Obrázek 23.56. Pobočka Brno — přístup z lokální sítě do Internetu bez omezení


    Vytvářet pravidla pro Kerio VPN server a Kerio Clientless SSL-VPN v tomto případě nemá smysl (server má dynamickou veřejnou IP adresu). V 5. kroku průvodce proto ponecháme obě volby vypnuté.

    Pobočka Brno — výchozí pravidla pro Kerio VPN nebudou vytvořena

    Obrázek 23.57. Pobočka Brno — výchozí pravidla pro Kerio VPN nebudou vytvořena


  3. Nastavíme DNS (resp. upravíme nastavení DNS):

    • V konfiguraci modulu DNS forwarder ve WinRoute zadáme DNS servery, kam budou předávány DNS dotazy mimo doménu firma.cz (typicky primární a sekundární DNS server poskytovatele internetového připojení).

      Pobočka Brno — konfigurace modulu DNS forwarder

      Obrázek 23.58. Pobočka Brno — konfigurace modulu DNS forwarder


    • Zapneme volbu Použít nastavení pro předávání DNS dotazů a definujeme pravidla pro jména v doménách firma.cz a plzen.firma.cz. Jako DNS server pro předávání dotazů uvedeme IP adresu vnitřního rozhraní počítače s WinRoute na protější straně tunelu (tj. rozhraní připojeného do lokální sítě na protější straně).

      Pobočka Brno — nastavení předávání DNS dotazů

      Obrázek 23.59. Pobočka Brno — nastavení předávání DNS dotazů


    • Na rozhraní počítače s WinRoute připojeném do lokální sítě LAN 1 nastavíme jako upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj. 172.16.1.1). Na rozhraní připojeném do lokální sítě LAN 2 není třeba DNS nastavovat.

    • Na ostatních počítačích rovněž nastavíme jako upřednostňovaný (primární) DNS server IP adresu 172.16.1.1.

  4. Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).

    Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť. Zkontrolujeme, zda tato subsíť nekoliduje s žádnou subsítí v centrále a na pobočkách, případně zadáme jinou (volnou) subsíť.

    Pobočka Brno — konfigurace VPN serveru

    Obrázek 23.60. Pobočka Brno — konfigurace VPN serveru


    Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1  Konfigurace VPN serveru.

  5. Vytvoříme aktivní konec VPN tunelu připojující se k serveru centrály (praha.firma.cz). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v centrále.

    Pobočka Brno — definice VPN tunelu do centrály

    Obrázek 23.61. Pobočka Brno — definice VPN tunelu do centrály


    V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v centrále.

    Pobočka Brno — nastavení směrování pro tunel do centrály

    Obrázek 23.62. Pobočka Brno — nastavení směrování pro tunel do centrály


    V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky Brno zadat příkaz

    ping gw-praha.firma.cz

  6. Vytvoříme aktivní konec tunelu do pobočky Plzeň (server gw-plzen.firma.cz). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v pobočce Plzeň.

    Pobočka Brno — definice VPN tunelu do pobočky Plzeň

    Obrázek 23.63. Pobočka Brno — definice VPN tunelu do pobočky Plzeň


    V záložce Upřesnění zvolíme Používat pouze vlastní cesty a nastavíme cesty do lokálních sítí v pobočce Plzeň.

    Pobočka Brno — nastavení směrování pro tunel do pobočky Plzeň

    Obrázek 23.64. Pobočka Brno — nastavení směrování pro tunel do pobočky Plzeň


    Podobně jako v předchozím kroku zkontrolujeme, zda došlo k navázání tunelu, a prověříme dostupnost vzdálených privátních sítí (tj. lokálních sítí v pobočce Plzeň).

  7. Do komunikačního pravidla Lokální komunikace přidáme vytvořené VPN tunely. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (do této pobočky se žádní VPN klienti připojovat nemohou).

    Pobočka Brno — výsledná komunikační pravidla

    Obrázek 23.65. Pobočka Brno — výsledná komunikační pravidla


Test funkčnosti VPN

Konfigurace VPN je dokončena. Nyní doporučujeme z každé lokální sítě vyzkoušet dostupnost počítačů v ostatních vzdálených sítích (na protějších stranách jednotlivých tunelů).

Jako testovací nástroj lze použít např. příkazy operačního systému ping nebo tracert.