23.5  Příklad konfigurace Kerio VPN: firma s pobočkou

V této kapitole uvádíme postup vytvoření zabezpečeného šifrovaného tunelu mezi dvěma privátními sítěmi pomocí Kerio VPN.

Uvedený příklad lze snadno modifikovat a přizpůsobit konkrétním konfiguracím sítí, které mají být VPN tunely propojeny. Popsaný způsob konfigurace lze použít v případech, kdy vytvořením VPN tunelů nevzniknou redundantní cesty (tj. více různých cest mezi jednotlivými privátními sítěmi). Popis konfigurace VPN s redundantními cestami (typické pro firmu se dvěma a více pobočkami) naleznete v kapitole 23.6  Složitější konfigurace Kerio VPN: firma s více pobočkami.

Poznámka: Tento příklad řeší složitější model VPN s nastavením omezení přístupu pro jednotlivé lokální sítě a VPN klienty. Jednoduchý příklad základního nastavení VPN naleznete v manuálu Kerio WinRoute Firewall — Konfigurace krok za krokem.

Zadání

Fiktivní firma má centrálu v Praze a pobočku v Plzni. Lokální sítě centrály a pobočky mají být propojeny VPN tunelem za použití Kerio VPN. Do sítě centrály má být umožněn přístup VPN klientům.

Server (výchozí brána) centrály má pevnou veřejnou IP adresu 63.55.21.12 (DNS jméno praha.firma.cz), server pobočky má dynamickou veřejnou IP adresu přidělovanou protokolem DHCP.

Lokální síť centrály tvoří dvě subsítě LAN 1 a LAN 2. Centrála používá DNS doménu firma.cz.

Síť pobočky firmy je tvořena pouze jednou subsítí (označena LAN). Pobočka používá DNS subdoménu pobocka.firma.cz.

Schéma uvažovaných sítí včetně IP adres a požadovaného VPN tunelu je znázorněno na obrázku 23.13  Příklad — propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů.

Příklad — propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů

Obrázek 23.13. Příklad — propojení centrály a pobočky firmy VPN tunelem s možností připojení VPN klientů


Předpokládejme, že obě sítě jsou již zapojeny a nastaveny podle tohoto schématu a internetové připojení na obou stranách je funkční.

Komunikace mezi sítí centrály a pobočky a VPN klienty má být omezena podle následujících pravidel:

  1. VPN klienti smí přistupovat do sítě LAN 1 v centrále a do sítě pobočky.

  2. Ze všech sítí je zakázán přístup na VPN klienty.

  3. Z pobočky je povolen přístup pouze do sítě LAN 1, a to pouze ke službám WWW, FTP a Microsoft SQL.

  4. Z centrály je povolen přístup do pobočky bez omezení.

  5. Do sítě LAN 2 je zakázán přístup ze sítě pobočky i VPN klientům.

Obecný postup

V obou lokálních sítích (tj. v centrále i v pobočce firmy) je třeba provést tyto kroky:

  1. Na výchozí bráně sítě musí být nainstalován WinRoute verze 6.0.0 nebo vyšší (starší verze neobsahují proprietární VPN řešení Kerio VPN).

    Poznámka: Pro každou instalaci WinRoute je potřeba samostatná licence pro příslušný počet uživatelů! Podrobnosti viz kapitola 4  Registrace produktu a licence.

  2. Nastavíme a otestujeme přístup z lokální sítě do Internetu. Počítače v lokální síti musí mít jako výchozí bránu a upřednostňovaný (primární) DNS server nastavenu IP adresu počítače s WinRoute.

    Jedná-li se o novou (čistou) instalaci WinRoute, můžeme využít průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly).

    Podrobný popis základní konfigurace WinRoute a lokální sítě je uveden v samostatném manuálu Kerio WinRoute Firewall — konfigurace krok za krokem.

  3. V konfiguraci modulu DNS forwarder nastavíme pravidla pro předávání DNS dotazů pro doménu ve vzdálené síti. Tím umožníme přístup na počítače ve vzdálené síti jejich DNS jmény (v opačném případě by bylo nutné zadávat vzdálené počítače IP adresami).

    Pro správné předávání DNS dotazů z počítače s WinRoute musíme na tomto počítači nastavit primární DNS server „sám na sebe“ (tzn. použít IP adresu některého síťového rozhraní tohoto počítače). Jako sekundární DNS server pak musí být specifikován server, na který budou předávány DNS dotazy do ostatních domén (typicky DNS server poskytovatele internetového připojení).

    Poznámka: Pro správnou funkci DNS musí DNS databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru hosts (v případě statických IP adres) nebo nastavením spolupráce DNS forwarderu s DHCP serverem (v případě dynamicky přidělovaných IP adres). Podrobnosti viz kapitola 8.1  DNS forwarder.

  4. V sekci Rozhraní povolíme VPN server, případně nastavíme jeho SSL certifikát. Poznamenáme si otisk certifikátu serveru — budeme jej potřebovat při konfiguraci vzdáleného konce VPN tunelu .

    Zkontrolujeme, zda automaticky vybraná VPN subsíť nekoliduje s žádnou lokální subsítí v centrále ani v pobočce; případně vybereme jinou volnou subsíť.

  5. Definujeme VPN tunel do vzdálené sítě. Pasivní konec tunelu musí být vytvořen na serveru, který má pevnou veřejnou IP adresu (tj. na serveru centrály). Na serveru s dynamickou IP adresou lze vytvářet pouze aktivní konce VPN tunelů.

    Je-li protější konec tunelu již definován, zkontrolujeme, zda došlo ke spojení (navázání) tunelu. V případě neúspěchu prohlédneme záznam Error, zkontrolujeme otisky certifikátů a prověříme dostupnost vzdáleného serveru.

  6. V komunikačních pravidlech povolíme komunikaci mezi lokální sítí, vzdálenou sítí a VPN klienty a nastavíme požadovaná omezení přístupu. V uvažované konfiguraci sítě lze nastavit všechna požadovaná omezení na serveru centrály, proto na serveru pobočky pouze povolíme komunikaci mezi lokální sítí a VPN tunelem.

  7. Z každé lokální sítě otestujeme dostupnost počítačů ve vzdálené síti. Pro tento test můžeme použít systémové příkazy ping a tracert. Ověříme dostupnost počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem.

    Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).

    Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.

Následující sekce podrobně popisují konfiguraci Kerio VPN v centrále a v pobočkách firmy.

Konfigurace v centrále firmy

  1. Na výchozí bránu sítě centrály (dále jen „server“) nainstalujeme WinRoute (verze 6.0.0 nebo vyšší).

  2. Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.

    Centrála — přístup z lokální sítě do Internetu bez omezení

    Obrázek 23.14. Centrála — přístup z lokální sítě do Internetu bez omezení


    V 5. kroku průvodce zvolíme Vytvořit pravidla pro Kerio VPN server. Na nastavení volby Vytvořit pravidla pro Kerio Clientless SSL-VPN nezáleží (tento příklad se nezabývá rozhraním Clientless SSL-VPN).

    Centrála — vytvoření výchozích komunikačních pravidel pro Kerio VPN

    Obrázek 23.15. Centrála — vytvoření výchozích komunikačních pravidel pro Kerio VPN


    Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.

    Centrála — výchozí komunikační pravidla pro Kerio VPN

    Obrázek 23.16. Centrála — výchozí komunikační pravidla pro Kerio VPN


    Po vytvoření VPN tunelu tato pravidla upravíme dle požadavků na omezení přístupu (viz bod 6.).

    Poznámka: Z důvodu jednoduchosti a přehlednosti jsou v tomto příkladu uvedena pouze komunikační pravidla relevantní pro konfiguraci Kerio VPN.

  3. Nastavíme DNS (resp. upravíme nastavení DNS):

    • V konfiguraci modulu DNS forwarder ve WinRoute zadáme DNS servery, kam budou předávány DNS dotazy mimo doménu firma.cz (typicky primární a sekundární DNS server poskytovatele internetového připojení).

      Centrála — konfigurace modulu DNS forwarder

      Obrázek 23.17. Centrála — konfigurace modulu DNS forwarder


    • Zapneme volbu Použít nastavení pro předávání DNS dotazů a definujeme pravidla pro jména v doméně pobocka.firma.cz. Jako DNS server pro předávání dotazů uvedeme IP adresu vnitřního rozhraní počítače s WinRoute na protější straně tunelu (tj. rozhraní připojeného do lokální sítě na protější straně).

      Centrála — nastavení předávání DNS dotazů

      Obrázek 23.18. Centrála — nastavení předávání DNS dotazů


    • Na rozhraní počítače s WinRoute připojeném do lokální sítě LAN 1 nastavíme jako upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj. 10.1.1.1). Na rozhraní připojeném do sítě LAN 2 již DNS server nastavovat nemusíme — konfigurace DNS platí globálně pro celý operační systém.

      Centrála — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě

      Obrázek 23.19. Centrála — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě


    • Na ostatních počítačích rovněž nastavíme jako upřednostňovaný (primární) DNS server IP adresu 10.1.1.1.

    Poznámka: Pro správnou funkci DNS musí DNS databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru hosts (v případě statických IP adres) nebo nastavením spolupráce DNS forwarderu s DHCP serverem (v případě dynamicky přidělovaných IP adres). Podrobnosti viz kapitola 8.1  DNS forwarder.

  4. Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).

    Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť.

    Centrála — konfigurace VPN serveru

    Obrázek 23.20. Centrála — konfigurace VPN serveru


    Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1  Konfigurace VPN serveru.

  5. Vytvoříme pasivní konec VPN tunelu (server pobočky má dynamickou IP adresu). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru na pobočce.

    Centrála — definice VPN tunelu do pobočky

    Obrázek 23.21. Centrála — definice VPN tunelu do pobočky


  6. Upravíme komunikační pravidla dle požadavků na omezení přístupu.

    Centrála — výsledná komunikační pravidla

    Obrázek 23.22. Centrála — výsledná komunikační pravidla


    • V pravidle Lokální komunikace ponecháme pouze lokální síť centrály firmy, tj. firewall a sítě LAN 1 a LAN 2.

    • Přidáme pravidlo VPN klienti povolující přístup VPN klientů do sítě LAN 1 a do sítě pobočky firmy (přes VPN tunel).

    • Přidáme pravidlo Pobočka povolující přístup do sítě LAN 1 v centrále k požadovaným službám.

    • Přidáme pravidlo Centrála povolující přístup z obou subsítí v centrále do sítě pobočky.

    Takto definovaná pravidla splňují všechny požadavky na povolení a omezení přístupu mezi centrálou, pobočkou a VPN klienty. Komunikace, která nevyhoví těmto pravidlům, bude implicitně blokována výchozím pravidlem (viz kapitola 7.3  Definice vlastních komunikačních pravidel).

Konfigurace v pobočce firmy

  1. Na výchozí bránu sítě pobočky (dále jen „server“) nainstalujeme WinRoute (verze 6.0.0 nebo vyšší).

  2. Ve WinRoute nastavíme základní komunikační pravidla pomocí Průvodce komunikačními pravidly (viz kapitola 7.1  Průvodce komunikačními pravidly). Pro jednoduchost předpokládejme, že nebudeme omezovat přístup z lokální sítě do Internetu, tzn. ve 4. kroku průvodce povolíme přístup ke všem službám.

    Pobočka — přístup z lokální sítě do Internetu bez omezení

    Obrázek 23.23. Pobočka — přístup z lokální sítě do Internetu bez omezení


    Vytvářet pravidla pro Kerio VPN server a Kerio Clientless SSL-VPN v tomto případě nemá smysl (server má dynamickou veřejnou IP adresu). V 5. kroku průvodce proto ponecháme obě volby vypnuté.

    Pobočka — pravidla pro Kerio VPN server není třeba vytvářet

    Obrázek 23.24. Pobočka — pravidla pro Kerio VPN server není třeba vytvářet


    Tím dojde k vytvoření pravidel pro připojení k VPN serveru a pro komunikaci VPN klientů s lokální sítí, resp. firewallem.

    Pobočka — výchozí komunikační pravidla pro Kerio VPN

    Obrázek 23.25. Pobočka — výchozí komunikační pravidla pro Kerio VPN


    Po vytvoření VPN tunelu tato pravidla upravíme (viz 6. krok).

  3. Nastavíme DNS (resp. upravíme nastavení DNS):

    • V konfiguraci modulu DNS forwarder ve WinRoute zadáme DNS servery, kam budou předávány DNS dotazy mimo doménu firma.cz (typicky primární a sekundární DNS server poskytovatele internetového připojení).

      Pobočka — konfigurace modulu DNS forwarder

      Obrázek 23.26. Pobočka — konfigurace modulu DNS forwarder


    • Zapneme volbu Použít nastavení pro předávání DNS dotazů a definujeme pravidla pro jména v doméně firma.cz. Jako DNS server pro předávání dotazů uvedeme IP adresu vnitřního rozhraní počítače s WinRoute na protější straně tunelu (tj. rozhraní připojeného do lokální sítě na protější straně).

      Pobočka — nastavení předávání DNS dotazů

      Obrázek 23.27. Pobočka — nastavení předávání DNS dotazů


    • Na rozhraní počítače s WinRoute připojeném do lokální sítě nastavíme jako upřednostňovaný (primární) DNS server IP adresu tohoto rozhraní (tj. 192.168.1.1).

      Pobočka — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě

      Obrázek 23.28. Pobočka — konfigurace TCP/IP na rozhraní firewallu připojeném do lokální sítě


    • Na ostatních počítačích rovněž nastavíme jako upřednostňovaný (primární) DNS server IP adresu 192.168.1.1.

    Poznámka: Pro správnou funkci DNS musí DNS databáze obsahovat záznamy o počítačích v příslušné lokální síti. Toho lze docílit zapsáním IP adres a DNS jmen lokálních počítačů do souboru hosts (v případě statických IP adres) nebo nastavením spolupráce DNS forwarderu s DHCP serverem (v případě dynamicky přidělovaných IP adres). Podrobnosti viz kapitola 8.1  DNS forwarder.

  4. Povolíme VPN server, případně nastavíme jeho SSL certifikát (nemáme-li certifikát vystavený důvěryhodnou certifikační autoritou, vytvoříme certifikát podepsaný sám sebou).

    Poznámka: V položkách VPN subsíť a Maska je nyní uvedena automaticky vybraná volná subsíť.

    Pobočka — konfigurace VPN serveru

    Obrázek 23.29. Pobočka — konfigurace VPN serveru


    Podrobnosti o konfiguraci VPN serveru viz kapitola 23.1  Konfigurace VPN serveru.

  5. Vytvoříme aktivní konec VPN tunelu připojující se k serveru centrály (praha.firma.cz). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru v centrále.

    Pobočka — definice VPN tunelu do centrály

    Obrázek 23.30. Pobočka — definice VPN tunelu do centrály


    V tomto okamžiku by mělo dojít ke spojení — navázání tunelu. Je-li spojení úspěšné, zobrazí se u obou konců tunelu ve sloupci Informace o adaptéru stav Připojeno. Nedojde-li k navázání spojení, doporučujeme prověřit nastavení komunikačních pravidel a dostupnost vzdáleného serveru — v našem příkladu můžeme na serveru pobočky zadat příkaz

    ping praha.firma.cz

    Poznámka: Je-li po navázání tunelu detekována kolize VPN subsítě se vzdálenou sítí, vybereme vhodnou volnou subsíť a nastavíme ji ve VPN serveru (viz 4. krok).

    Podrobnosti o vytváření VPN tunelů viz kapitola 23.3  Propojení dvou privátních sítí přes Internet (VPN tunel).

  6. Do komunikačního pravidla Lokální komunikace přidáme vytvořený VPN tunel. Zároveň můžeme z tohoto pravidla odstranit nevyužité rozhraní Dial-In a skupinu VPN klienti (do pobočky se žádní VPN klienti připojovat nemohou).

    Pobočka — výsledná komunikační pravidla

    Obrázek 23.31. Pobočka — výsledná komunikační pravidla


    Poznámka: Žádné další úpravy komunikačních pravidel není třeba provádět. Požadovaná omezení přístupu jsou již zajištěna komunikačními pravidly na serveru centrály.

Test funkčnosti VPN

Konfigurace VPN tunelu je dokončena. Nyní doporučujeme z každé lokální sítě vyzkoušet dostupnost počítačů v síti na protější straně tunelu.

Jako testovací nástroj lze použít např. příkazy operačního systému ping nebo tracert. Doporučujeme ověřit dostupnost počítače ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem.

Nedostaneme-li odezvu při zadání vzdáleného počítače IP adresou, je třeba hledat chybu v nastavení komunikačních pravidel, případně prověřit, zda nenastala kolize subsítí (stejná subsíť na obou stranách tunelu).

Je-li test při zadání počítače IP adresou úspěšný, ale při zadání počítače DNS jménem je hlášena chyba (Neznámý hostitel), pak je třeba prověřit konfiguraci DNS.