V této kapitole uvádíme postup vytvoření zabezpečeného šifrovaného tunelu mezi dvěma privátními sítěmi pomocí Kerio VPN.
Uvedený příklad lze snadno modifikovat a přizpůsobit konkrétním konfiguracím sítí, které mají být VPN tunely propojeny. Popsaný způsob konfigurace lze použít v případech, kdy vytvořením VPN tunelů nevzniknou redundantní cesty (tj. více různých cest mezi jednotlivými privátními sítěmi). Popis konfigurace VPN s redundantními cestami (typické pro firmu se dvěma a více pobočkami) naleznete v kapitole 23.6 Složitější konfigurace Kerio VPN: firma s více pobočkami.
Poznámka: Tento příklad řeší složitější model VPN s nastavením omezení přístupu pro jednotlivé lokální sítě a VPN klienty. Jednoduchý příklad základního nastavení VPN naleznete v manuálu Kerio WinRoute Firewall — Konfigurace krok za krokem.
Fiktivní firma má centrálu v Praze a pobočku v Plzni. Lokální sítě centrály a pobočky mají být propojeny VPN tunelem za použití Kerio VPN. Do sítě centrály má být umožněn přístup VPN klientům.
Server (výchozí brána) centrály má pevnou veřejnou IP adresu
63.55.21.12
(DNS jméno praha.firma.cz
),
server pobočky má dynamickou veřejnou IP adresu přidělovanou protokolem DHCP.
Lokální síť centrály tvoří dvě subsítě LAN 1
a LAN 2
. Centrála používá DNS doménu
firma.cz
.
Síť pobočky firmy je tvořena pouze jednou subsítí (označena
LAN
). Pobočka používá DNS subdoménu
pobocka.firma.cz
.
Schéma uvažovaných sítí včetně IP adres a požadovaného VPN tunelu je znázorněno na obrázku 23.13 Příklad — propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů.
Obrázek 23.13. Příklad — propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů
Předpokládejme, že obě sítě jsou již zapojeny a nastaveny podle tohoto schématu a internetové připojení na obou stranách je funkční.
Komunikace mezi sítí centrály a pobočky a VPN klienty má být omezena podle následujících pravidel:
VPN klienti smí přistupovat do sítě LAN 1
v centrále a do sítě pobočky.
Ze všech sítí je zakázán přístup na VPN klienty.
Z pobočky je povolen přístup pouze do sítě
LAN 1
, a to pouze ke službám WWW,
FTP a Microsoft SQL.
Z centrály je povolen přístup do pobočky bez omezení.
Do sítě LAN 2
je zakázán přístup ze sítě
pobočky i VPN klientům.
V obou lokálních sítích (tj. v centrále i v pobočce firmy) je třeba provést tyto kroky:
Na výchozí bráně sítě musí být nainstalován
WinRoute verze 6.0.0
nebo vyšší (starší
verze neobsahují proprietární VPN řešení Kerio VPN).
Poznámka: Pro každou instalaci WinRoute je potřeba samostatná licence pro příslušný počet uživatelů! Podrobnosti viz kapitola 4 Registrace produktu a licence.
Nastavíme a otestujeme přístup z lokální sítě do Internetu. Počítače v lokální síti musí mít jako výchozí bránu a upřednostňovaný (primární) DNS server nastavenu IP adresu počítače s WinRoute.
Jedná-li se o novou (čistou) instalaci WinRoute, můžeme využít průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly).
Podrobný popis základní konfigurace WinRoute a lokální sítě je uveden v samostatném manuálu Kerio WinRoute Firewall — konfigurace krok za krokem.
V konfiguraci modulu DNS forwarder nastavíme pravidla pro předávání DNS dotazů pro doménu ve vzdálené síti. Tím umožníme přístup na počítače ve vzdálené síti jejich DNS jmény (v opačném případě by bylo nutné zadávat vzdálené počítače IP adresami).
Pro správné předávání DNS dotazů z počítače s WinRoute musíme na tomto počítači nastavit primární DNS server „sám na sebe“ (tzn. použít IP adresu některého síťového rozhraní tohoto počítače). Jako sekundární DNS server pak musí být specifikován server, na který budou předávány DNS dotazy do ostatních domén (typicky DNS server poskytovatele internetového připojení).
Poznámka: Pro správnou funkci DNS musí DNS
databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze
docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru
hosts
(v případě statických IP adres) nebo nastavením
spolupráce DNS forwarderu s DHCP serverem
(v případě dynamicky přidělovaných IP adres). Podrobnosti viz
kapitola 8.1 DNS forwarder.
V sekci Rozhraní povolíme VPN server, případně nastavíme jeho SSL certifikát. Poznamenáme si otisk certifikátu serveru — budeme jej potřebovat při konfiguraci vzdáleného konce VPN tunelu .
Zkontrolujeme, zda automaticky vybraná VPN subsíť nekoliduje s žádnou lokální subsítí v centrále ani v pobočce; případně vybereme jinou volnou subsíť.
Definujeme VPN tunel do vzdálené sítě. Pasivní konec tunelu musí být vytvořen na serveru, který má pevnou veřejnou IP adresu (tj. na serveru centrály). Na serveru s dynamickou IP adresou lze vytvářet pouze aktivní konce VPN tunelů.
Je-li protější konec tunelu již definován, zkontrolujeme, zda došlo ke spojení (navázání) tunelu. V případě neúspěchu prohlédneme záznam Error, zkontrolujeme otisky certifikátů a prověříme dostupnost vzdáleného serveru.
V komunikačních pravidlech povolíme komunikaci mezi lokální sítí, vzdálenou sítí a VPN klienty a nastavíme požadovaná omezení přístupu. V uvažované konfiguraci sítě lze nastavit všechna požadovaná omezení na serveru centrály, proto na serveru pobočky pouze povolíme komunikaci mezi lokální sítí a VPN tunelem.
Z každé lokální sítě otestujeme dostupnost počítačů ve
vzdálené síti. Pro tento test můžeme použít systémové příkazy
ping
a tracert
. Ověříme dostupnost
počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem.
Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).
Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.
Následující sekce podrobně popisují konfiguraci Kerio VPN v centrále a v pobočkách firmy.
Na výchozí bránu sítě centrály (dále jen „server“)
nainstalujeme WinRoute (verze 6.0.0
nebo vyšší).
Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.
V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server. Na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží (tento příklad se nezabývá rozhraním Clientless SSL-VPN).
Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.
Po vytvoření VPN tunelu tato pravidla upravíme dle požadavků na omezení přístupu (viz bod 6.).
Poznámka: Z důvodu jednoduchosti a přehlednosti jsou v tomto příkladu uvedena pouze komunikační pravidla relevantní pro konfiguraci Kerio VPN.
Nastavíme DNS (resp. upravíme nastavení DNS):
V konfiguraci modulu DNS forwarder
ve WinRoute zadáme DNS servery, kam budou předávány DNS
dotazy mimo doménu firma.cz
(typicky primární a sekundární
DNS server poskytovatele internetového připojení).
Zapneme volbu Použít nastavení pro předávání DNS
dotazů a definujeme pravidla pro jména v doméně
pobocka.firma.cz
. Jako DNS server pro předávání dotazů
uvedeme IP adresu vnitřního rozhraní počítače
s WinRoute na protější straně tunelu (tj. rozhraní
připojeného do lokální sítě na protější straně).
Na rozhraní počítače s WinRoute
připojeném do lokální sítě LAN 1 nastavíme jako
upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj.
10.1.1.1
). Na rozhraní připojeném do sítě
LAN 2 již DNS server nastavovat nemusíme —
konfigurace DNS platí globálně pro celý operační systém.
Na ostatních počítačích rovněž nastavíme jako upřednostňovaný
(primární) DNS server IP adresu 10.1.1.1
.
Poznámka: Pro správnou funkci DNS musí DNS
databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze
docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru
hosts
(v případě statických IP adres) nebo nastavením
spolupráce DNS forwarderu s DHCP serverem
(v případě dynamicky přidělovaných IP adres). Podrobnosti
viz kapitola 8.1 DNS forwarder.
Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).
Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť.
Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1 Konfigurace VPN serveru.
Vytvoříme pasivní konec VPN tunelu (server pobočky má dynamickou IP adresu). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru na pobočce.
Upravíme komunikační pravidla dle požadavků na omezení přístupu.
V pravidle Lokální komunikace
ponecháme pouze lokální síť centrály firmy, tj. firewall a sítě
LAN 1
a LAN 2
.
Přidáme pravidlo VPN klienti povolující
přístup VPN klientů do sítě LAN 1
a do sítě pobočky
firmy (přes VPN tunel).
Přidáme pravidlo Pobočka povolující
přístup do sítě LAN 1
v centrále
k požadovaným službám.
Přidáme pravidlo Centrála povolující přístup z obou subsítí v centrále do sítě pobočky.
Takto definovaná pravidla splňují všechny požadavky na povolení a omezení přístupu mezi centrálou, pobočkou a VPN klienty. Komunikace, která nevyhoví těmto pravidlům, bude implicitně blokována výchozím pravidlem (viz kapitola 7.3 Definice vlastních komunikačních pravidel).
Na výchozí bránu sítě pobočky (dále jen „server“)
nainstalujeme WinRoute (verze 6.0.0
nebo vyšší).
Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.
Vytvářet pravidla pro Kerio VPN server a Kerio Clientless SSL-VPN v tomto případě nemá smysl (server má dynamickou veřejnou IP adresu). V 5. kroku průvodce proto ponecháme obě volby vypnuté.
Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.
Po vytvoření VPN tunelu tato pravidla upravíme (viz 6. krok).
Nastavíme DNS (resp. upravíme nastavení DNS):
V konfiguraci modulu DNS forwarder
ve WinRoute zadáme DNS servery, kam budou předávány DNS
dotazy mimo doménu firma.cz
(typicky primární a sekundární
DNS server poskytovatele internetového připojení).
Zapneme volbu Použít nastavení pro předávání DNS
dotazů a definujeme pravidla pro jména v doméně
firma.cz
. Jako DNS server pro předávání dotazů uvedeme IP
adresu vnitřního rozhraní počítače s WinRoute na
protější straně tunelu (tj. rozhraní připojeného do lokální sítě na protější
straně).
Na rozhraní počítače s WinRoute
připojeném do lokální sítě nastavíme jako upřednostňovaný (primární) DNS server
IP adresu tohoto rozhraní (tj. 192.168.1.1
).
Na ostatních počítačích rovněž nastavíme jako upřednostňovaný
(primární) DNS server IP adresu 192.168.1.1
.
Poznámka: Pro správnou funkci DNS musí DNS
databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze
docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru
hosts
(v případě statických IP adres) nebo nastavením
spolupráce DNS forwarderu s DHCP serverem
(v případě dynamicky přidělovaných IP adres). Podrobnosti
viz kapitola 8.1 DNS forwarder.
Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).
Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť.
Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1 Konfigurace VPN serveru.
Vytvoříme aktivní konec VPN tunelu připojující se k serveru
centrály (praha.firma.cz
). Jako otisk vzdáleného SSL
certifikátu zadáme otisk certifikátu VPN serveru v centrále.
V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky zadat příkaz
ping praha.firma.cz
Poznámka: Je-li po navázání tunelu detekována kolize VPN subsítě se vzdálenou sítí, vybereme vhodnou volnou subsíť a nastavíme ji ve VPN serveru (viz 4. krok).
Podrobnosti o vytváření VPN tunelů viz kapitola 23.3 Propojení dvou privátních sítí přes Internet (VPN tunel).
Do komunikačního pravidla Lokální komunikace přidáme vytvořený VPN tunel. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (do pobočky se žádní VPN klienti připojovat nemohou).
Poznámka: Žádné další úpravy komunikačních pravidel není třeba provádět. Požadovaná omezení přístupu jsou již zajištěna komunikačními pravidly na serveru centrály.
Konfigurace VPN tunelu je dokončena. Nyní doporučujeme z každé lokální sítě vyzkoušet dostupnost počítačů v síti na protější straně tunelu.
Jako testovací nástroj lze použít např. příkazy operačního systému
ping
nebo tracert
. Doporučujeme ověřit
dostupnost počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS
jménem.
Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).
Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.