Frequently Asked Question

IPsec VPN (Site To Site)
Last Updated 2 years ago

Το IPSec VPN Site to Site χρησιμοποιείται στις περιπτώσεις που θέλουμε να πραγματοποιήσουμε σύνδεση σε δύο εσωτερικά (Private) δίκτυα ενδιάμεσα από ένα Public δίκτυο (internet).

Για την υλοποίηση του συγκεκριμένου παραδείγματος θεωρήσαμε το εξής δίκτυο:

image


Phase 1

  • (Θεωρούμε ότι είμαστε στην αριστερά μεριά). Στο πρώτο βήμα ρυθμίζουμε την πρώτη φάση (Phase 1) του VPN ακολουθώντας το path Configuration > VPN > IPSec VPN > VPN Gateway και κάνουμε Add:
image

Α) Ονομάζουμε το VPN Gateway όπως θέλουμε και κάνουμε enable τον κανόνα.

Β) Στο πεδίο “My Address” διαλέγουμε το δικό μας interface από το οποίο θα συνδέεται το VPN.

Γ) Στο πεδίο «Peer Gateway Address» βάζουμε την απέναντι public IP, Με την οποία θα κάνουμε VPN.

Δ) Στο πεδίο “Authentication” συμπληρώνουμε ένα preshared key της επιλογής μας. (Το ίδιο preshared key πρέπει να μπει και από την απέναντι πλευρά του VPN!!).

Ε) Στα πεδία Local ID Type και Peer ID Type συμπληρώνουμε την Public IP μας και την Public IP του απέναντι αντίστοιχα. (Μπορούμε να βάλουμε ότι ID θέλουμε, βάζουμε τις Public IP’s για ευκολία).

image

Στ) Στην συνέχεια ρυθμίζουμε στο Phase 1 τα Authentication – Encryption στοιχεία όπως θέλουμε. (ΠΡΟΣΟΧΗ!!--> Θα πρέπει τα ίδια στοιχεία να είναι και στην απέναντι μεριά στο Phase 1).

image



Phase 2

  • Στην συνέχεια ρυθμίζουμε την φάση 2 (Phase 2) πηγαίνοντας στο Path Configuration > VPN > IPSec VPN > VPN Connection και μετά πατάμε Add:
image

α) Ενεργοποιούμε το enable

β) Ονομάζουμε το VPN Connection όπως θέλουμε

γ) Επιλέγουμε το “Site to Site”

δ) Επιλέγουμε την Gateway που έχουμε φτιάξει στο Phase 1.

ε) Στο Policy επιλέγουμε το εσωτερικό μας δίκτυο το οποίο θα συμμετέχει στο VPN. Στην επιλογή Remote Policy επιλέγουμε το απέναντι εσωτερικό δίκτυο με το οποίο θα έχουμε επικοινωνία VPN. Για να το κάνουμε αυτό θα πρέπει να κάνουμε “Create New Object -> Address

Εκεί ρυθμίζουμε το Remote subnet με το οποίο θα έχουμε επικοινωνία:

image

Μετά επιλέγουμε το «Remote subnet» που μόλις φτιάξαμε στο πεδίο Remote Policy

Στ) Στην συνέχεια ρυθμίζουμε τα Authentication – Encryption στοιχεία όπως θέλουμε. (ΠΡΟΣΟΧΗ!!--> Θα πρέπει τα ίδια στοιχεία να είναι και στην απέναντι μεριά, στο Phase 2).

image

Τέλος, ακολουθούμε τα ίδια βήματα και από την απέναντι μεριά, προσέχοντας να συμπληρώσουμε τα σωστά στοιχεία, τόσο για τις IP όσο και για τα Authentication – Encryption στοιχεία.

Routing Setup

Εκκρεμεί ακόμα να κάνουμε δύο εντολές routing στο Firewall.

Στο συγκεκριμένο VPN παράδειγμα, υποθετικά το εσωτερικό δικό μας δίκτυο 192.168.1.0/24 θα επικοινωνήσει με το απέναντι εσωτερικό δίκτυο 192.168.10.0/24 . Χωρίς όμως να ορίσουμε routing κανόνα, τα δίκτυα θα προσπαθήσουν να επικοινωνήσουν μεταξύ τους μέσω ίντερνετ, πράγμα που δεν είναι εφικτό.

Για αυτόν τον λόγο κάνουμε τα εξής:

Ακολουθούμε το Path: Configuration -> Network -> Routing -> Policy route -> Add:

image

Η εντολή που δίνουμε παραπάνω είναι: Από source Address: 192.168.1.0/24 σε Destination Address:192.168.10.0/24 πήγαινεαπό το VPN_Tunnel

Τέλος, φτιάχνουμε έναν ακόμα route κανόνα ώστε να διευκρινίσουμε στο 192.168.1.0/24 ότι όταν θέλει να πάει οπουδήποτε αλλού εκτός από το 192.168.10.0/24 να ΜΗΝ πάει από το VPN_Tunnel αλλά από την WAN (ή το interface που εξυπηρετεί):

image

Η εντολή που δίνουμε παραπάνω είναι: Από source Address: 192.168.1.0/24 με Destination οπουδήποτε, πέρνα από το WAN1.

Σημαντικό είναι να βάλουμε τις παραπάνω Route Policies με την σωστή σειρά. Το Firewall διαβάζει τις εντολές από πάνω προς τα κάτω. Η πρώτη εντολή που θα δει να ταιριάζει με το routing που θέλει να κάνει, αυτήν θα ακολουθήσει.

Οπότε θα πρέπει να έχουμε τις εντολές όπως παρακάτω:

image

Ο κόκκινος κανόνας είναι ο πρώτος που θα διαβάσει το Firewall και είναι αυτός για το Traffic μέσα από το VPN. Εάν τον είχαμε 2ο τότε το Private δίκτυο 192.168.10.0/24 θα προσπαθήσει να επικοινωνήσει με το 192.168.20.0/24 μέσα από την WAN1!!.

(Χρήσιμο Video tutorial γιαIPSec VPN: https://www.youtube.com/watch?v=svaZREZEiAE)

Please Wait!

Please wait... it will take a second!