Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...

Petra VPN 3.1

Guida Utente

Questodocumentocontieneinformazionidi proprietàriservata,protettedacopyright. Tutti i diritti sonoriservati. Nonè permessoriprodurree/odistribuire

copiedi questodocumentosenzapreventivaedesplicitaautorizzazionedi Link SRL.Link SRLnonforniscegaranziedi nessuntipo circale informazioni

contenutein questodocumento,compresee nonsole,le garanzieimplicite di commerciabilitàeusoperscopispecifici.Link SRLnonèresponsabilepergli

errori contenutiin questodocumentoo peri danniaccidentaliconseguentiall’uso di questomateriale.

Tutti i nomi deiprodottimenzionatiin questodocumentosonopossedutidai rispettivi proprietari.

SommarioIntr oduzione..........................................................................................................................................................4

1. Intr oduzionealle VPN e IPSEC......................................................................................................................5

1.1.La soluzionePetra.................................................................................................................................5

2. ScenarioExtraNet.............................................................................................................................................7

2.1.ConfigurazionedelprimoServerPetra(Torino)...................................................................................72.2.Configurazionedel secondoServer Petra(Napoli).............................................................................122.3.ConfigurazionedellaPoliticaVPNServicesui nodi...........................................................................14

3. ScenarioRoadWarrior ...................................................................................................................................15

3.1.ConfigurazionedelPetraGateway......................................................................................................153.2.ConfigurazionedellaPoliticaVPNServicesul Gateway....................................................................193.3.ConfigurazionedelPCClient.............................................................................................................19

Intr oduzioneScopodi questodocumentoè mettererapidamenteil lettorein condizionedi configurareunaReteVirtualePrivata,usandoil moduloVPN peri prodottiPetra InternetPresenceo Petra InternetFirewall.

Verràfattaunabreve introduzionealleVPN e adIPSECeverrannopoi presentatialcunitipici scenariutilizzo diPetraVPN:

• scenarioExtraNet(sediremote)

• scenarioRoadWarrior (mobil client)

Verrannopoi presentatele modalitàdi configurazionedel client Windows (SSHSentinel)e di manutenzionedelprodotto(arresto/avvio del servizioo di unaspecificaVPN).

La gestionedelmoduloVPN avvieneattraversola medesimainterfacciadi amministrazionedelprodottoalqualevieneabbinato(PetraInternetFirewall o PetraInternetPresence)raggiungibiletramitebrowseralla urlhttp://ip-petra-fw:81/petra/webadm.

Capitolo 1. Intr oduzione alle VPN e IPSECUnaVPN (Virtual PrivateNetwork) è unaretesicura(comesefosseprivata)realizzatain partesuunareteinsicura(Internet).Ciò è resopossibiledallacifraturadel traffico cheviaggiasullaparteinsicuradellarete,comemostratoin figura.

IPSECinvecehadueutilizzi:

1. Presentaresistemiremoticomesefosserolocali:

• sediremote(extranet)

• mobilecomputing(roadwarrior)

2. Proteggereapplicazionichenonhannomeccanismipropri (cifraturadi liv 4):

• (imap,imaps;http,https;custom,customs;ecc...)

• entrambele parti devonoessered’accordo

1.1. La soluzione Petra

Capitolo1. Introduzionealle VPNeIPSEC

Il moduloVPN Petraè basatosul protocolloIPSECedè usatosiapercifrarele comunicazionie/orealizzaretunneltradueo più reti privatecheperaccederedaclient mobili adunareteprivata.

Capitolo 2. Scenario ExtraNetIl nostroscopoè quellostabilireunareteprivatavirtuale(VPN) fra dueserver Petra(adesempiounoa Torinoeunoa Napoli) chepermettaalle reti internedi comunicarein manierasicuraattraversola reteInternet.Laconfigurazionedarealizzareè descrittanellafigurachesegue.

Nota: nel nostro esempio usiamo gli indirizzi privati 10.0.0.1 e 10.0.2.1; in generale questi indirizzi sarannoindirizzi Internet pubblici.

Nelle prossimeduesezionidescriviamoi passinecessariperla configurazionedeidueVPN gateway in figura.

2.1. Configurazione del primo Server Petra (Torino)Vediamoadessoi passidi configurazionenecessarisui nodi,cominciandodaquellodi Torino:

1. generareil certificatoperil nododi Torinonel seguentemodo:

• selezionareil pannelloSicurezza> Certificati epremereil pulsanteAggiungi peraggiungereunnuovocertificato:

Capitolo2. ScenarioExtraNet

• senessunaCertificationAuthority è stataregistrata,il sistemanerichiederàla registrazione;immetterequindi i dati richiestie premereil pulsanteConferma;

• saràadessopossibileaggiungereun certificato,utilizzandocomeCAPassword la password impostataperla CA appenacreata;inserirei restantidatie premereil pulsanteConferma; si consigliadi utilizzarecomeCommonNameil nomedel server, completodelnomedi dominio.

2. aggiungerenello stessomodoil certificatoperNapoli;

3. terminatala procedurai certificaticomparirannonelpannelloSicurezza> Certificati;

4. daquestopannelloselezionareil link Esportarelativo al certificatodi Napoli peresportareil certificatoinformatop12.Sarànecessarioinserireunapassword perproteggerel’archivio.

5. selezionareil pannelloSicurezza> Certificati e selezionareil certificatoappenacreato("napoli"); verrannovisualizzatitutti i dati del certificato;prenderenota,peresempiocopiandolonegli appunti(sceltaconsigliata),del valoreSubjectchesarànecessarioal passosuccessivo;

6. selezionareil pannelloSicurezza> Vpn> Elencodeinodie premereil pulsanteAggiungi percrearelaVpn; inserirequindi i seguentidati:

• Nome: un nomearbitrarioperla Vpn;

• Abilitato: daselezionareperattivarela Vpn;

• IndirizzoIP: indirizzo IP pubblicodelnododi Napoli;

• Algoritmodi cifratura: l’algoritmo concui verràcifrato il traffico nellavpn (deve esserelo stessoperientrambii nodi);

• Key: impostareil tipo x509edinserireil valoreSubjectdel certificato"napoli" prelevatoal passoprecedente,peresempioincollandolodagli appunti(sceltaconsigliata);

• RemoteGateway: inserirele reti private(IP e netmask)collegateal gateway remoto;

• LocalGateway: inserirele reti private(IP e netmask)collegateal gateway locale;

7. a questopuntola Vpn saràvisibile nelpannelloSicurezza> Vpn. Da qui saràanchepossibilemodificarneidati e lo stato(on/off ).

2.2. Configurazione del secondo Server Petra (Napoli)Vediamoadessoi passidi configurazionenecessarisul nododi Napoli:

Nota: è necessario disporre del Subject del certificato del primo Server Petra (Torino); copiarlopreventivamente in un file di testo o accedere parallelamente alla sua interfaccia di amministrazione.

1. selezionareil pannelloSicurezza> Certificati e premereil pulsanteImportaperimportareil certificatodelnododi Napoli precedentementeesportatoin formatop12:

• premereil pulsanteBrowse, selezionareil file conteneteil certificatoe premereOk;

• nel campoNomeinserireun nomearbitrarioperil certificato,(in questocasonapoli);

• nel campoPassword archivio inserirela password di archivio impostatain fasedi export;

• nellasezioneCertificationAuthorityesternaselezionareNuova edinserireun identificativo perla CAcheverràimportatainsiemeal certificato;

• premereil pulsanteConferma;

2. selezionareil pannelloSicurezza> Vpne premereil pulsanteAggiungi percrearela Vpn; inserirequindi iseguentidati:

• IndirizzoIP: indirizzo IP pubblicodelnododi Torino;

• Key: impostareil tipo x509edinserireil valoreSubjectdel certificato"torino";

• RemoteGateway: inserirele reti private(IP e netmask)collegateal gateway remoto;

2.3. Configurazione della Politica VPNService sui nodiL’ultimo passodi configurazione,daeffettuaresuentrambii nodi,è quellodi configurarele politichein mododapermettereil traffico IPSEC.Basteràperquestoportarsinel pannelloFirewall > Politicheedimpostarelapolitica VPNServicesuon. Perunapolitica di sicurezzapiù stringenteè possibileimpostarecomeSorgentedellapolitica l’indirizzo IP delGateway remoto.

Infine riconfigurareil Firewall perattivarele nuove politichepremendoil pulsanteRiconfigura nelpannelloFirewall > Generale.

Nota: la politica VPNService è già presente nelle configurazioni predefinite. Se non fosse in uso unaconfigurazione predefinita sarà necessario creare la politica (vedere il manuale Petra Firewall).

Capitolo 3. Scenario RoadWarriorÈ possibileconfigurareil server Petra in modotalechefungadasecuregatewayperclient IPSecconindirizzoIP assegnatodinamicamente.Questaè la situazionetipicadi PCclient chesi colleganoadInternettramiteunqualunqueInternetProvidere hannobisognodi accederealle risorseall’internodellaLAN aziendale.Laconfigurazionedarealizzareè descrittanellafigurachesegue.

Nota: Nel nostro esempio usiamo l’indirizzo privato 10.0.1.1; in generale questi indirizzi saranno indirizziInternet pubblici.

In questicasiè necessarioutilizzarechiavi condivisetrapiù utenti,quindi dovràesseregenerataun’unicachiave,poi comunicataa tutti colorochevorrannocollegarsial securegateway.

La seguentesezioneillustracomeconfigurareil server Petra e unPCClient utilizzandoil softwareSSHSentinel(versione1.3perWindows), il qualepermettedi creareconnessioniVPN damacchineWindows. Ilsoftwarepuòesserescaricatodirettamentedal sitodelproduttore:http://www.ssh.com/products/sentinel/pilot/(http://www.ssh.com/products/sentinel/pilot/).

3.1. Configurazione del Petra GatewayIn questasezionesi dàperscontatochesiastatacreataunaCA e cheesistagiàuncertificatoperil nodocostituitodalPetraGateway (vedi la Sezione2.1).

Procederequindinelmodoseguente:

1. selezionareil pannelloSicurezza> Certificati e premereil pulsanteAggiungi percreareun nuovocertificatodautilizzaresul PCclient; inserirequindi i dati richiestiepremereil pulsanteConferma;

Capitolo3. ScenarioRoadWarrior

2. selezionareil pannelloSicurezza> Certificati: verrannovisualizzatii certificatipresentisul nodo,compresoquelloappenagenerato;

3. daquestopannelloselezionareil link Esportadel certificatomobileperesportareil certificatoin formatop12.Sarànecessarioinserirela password dellaCA edinserireunapassword arbitrarianecessariapoi perimportareil certificato;

4. selezionareil pannelloSicurezza> Certificati e selezionareil certificatoappenacreato;verrannovisualizzatitutti i dati del certificato;prenderenota,peresempiocopiandolonegli appunti(scelta

consigliata),del valoreSubjectchesarànecessarioal passosuccessivo;

5. selezionareil pannelloSicurezza> Vpne premereil pulsanteAggiungi percrearela Vpn; inserirequindi iseguentidati:

• IndirizzoIP: un IP generico(0.0.0.0)cheidentificai client mobili;

• Nat Traversal: sesi desideraabilitareil Nat Traversalselezionarequestaopzione;

• Key: impostareil tipo x509edinserireil valoreSubjectdel certificatoprelevatoal passoprecedente,peresempioincollandolodagli appunti(sceltaconsigliata);

• RemoteGateway: lasciarevuoto;in questoscenariononsi accedea reti remotemasi permettel’accessoalla retelocalespecificatain LocalGateway;

7. Sesi desideraconfigurareil Nat Traversalselezionareil pannelloSicurezza> Vpn> Configurazioneavanzataedinserirele reti privatedallequali accettareconnessioni;

3.2. Configurazione della Politica VPNService sulGatewayL’ultimo passodi configurazionedaeffettuareè quellodi configurarele politichein mododapermettereiltraffico IPSEC.Basteràperquestoportarsinel pannelloFirewall > Politicheedimpostarela politicaVPNServicesuon.

Infine riconfigurareil Firewall perattivarele nuove politichepremendoil pulsanteRiconfigura nelpannelloFirewall > Generale.

Nota: la politica VPNService è già presente nelle configurazioni predefinite. Se non fosse in uso unaconfigurazione predefinita sarà necessario creare la politica (vedere il manuale Petra Firewall).

3.3. Configurazione del PC ClientIn questocapitoloverrannoindicati i passidaseguireperimportarela chiave e successivamentecreareunanuova connessioneIPSECsulPCClient.

Nell’esempiosi fa riferimentoal softwareSSHSentinel;permaggioridettagliconsultarela guidautentedelprodotto.

Perimportareil certificatoprocederenelmodoseguente:

1. aprireil Policy Editor chesi trova all’internodelgruppodi programmiSSHSentineledè richiamabilemedianteil menùdi SSHSentinelselezionandola voceRunPolicy Editor;

2. selezionareil menùKey Management> TrustedCertificates> CertificationAuthoritiese premereilpulsanteAdd;

• impostareil tipo file PCKS #12certificate file (*.pbx, *.p12) e selezionareil file contenenteilcertificatoesportato(mobile); quindi premereApri;

• inserirela password di archivio (utilizzatanell’export)e premereOk;

• verràchiestaconfermaperl’importazionedel certificato;perverificarecheil certificatosiaquellocorrettoèpossibilevisualizzarnei dettaglipremendosuView;

• verràchiestaconfermaperl’importazionedel certificatodellaCA; perverificarecheil certificatosiaquellocorrettoè possibilevisualizzarnei dettaglipremendosuView;

3. dopol’import il sistemamostrala nuova CA e il novo certificato,col nomehost.dominiodelnodochehaeseguito l’export

4. dalPolicy Editor selezionareil menùSecurityPolicy > VPNConnectionse premereil pulsanteAdd;inserirequindi i seguentivalori:

• GatewayIP address: IP pubblicodelGateway;

• Remotenetwork: premereil pulsantesulladestrae quindi il pulsanteNew percrearel’oggetto"RetePrivata"coni datidellaRetePrivatadelGateway;

• Authenticationkey: selezionareil certificatoimportato;

• Selezionareil pulsanteProperties;

• dalnuovo menùselezionareil pulsanteSettingsdellasezioneIPSec/IKEproposale settare3DEScomeEncryptionAlgorithmnellasezioneIKE proposale IPSecproposal;

5. confermarei dati fino a ritornareal menùVpnConnection, chemostrala nuova VPN. QuindipremereilpulsanteApplicaperaggiornarela Policy.

6. Nat Traversal: perattivareil NatTraversalè necessario:

• spuntarela casellaAcquire virtual IP address;

• accedereal pannellodi configurazionerelativo premendoil pulsanteSettings...;

• selezionarela configurazionemanuale;

• inserirel’IP desiderato;

Nota: la netmask ha due limitazioni

• non può essere 255.255.255.255;

• non può essere più grande di quella indicata sul server (ad esempio se sul server si usa una netmask255.255.255.0, sul client non si può usare una netmask 255.255.0.0);

7. attivareinfine la Vpn tramiteil menùdi SSHSentinel:portarsisuSelectVPN e selezionarela VPN appenacreata;

Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...

Documents

Transcript of Petra VPN 3 - Link.it · Introduzione Scopo di questo documento è mettere rapidamente il lettore...

Istruzioni configurazione VPN su windows 7 configurazione... · Area dei Sistemi Informativi Release 1.1. 01/04/2019 Istruzioni Configurazione VPN per Windows 7 1 Istruzioni Configurazione

Reti Private Virtuali (VPN) Alfio Lombardo. VPN: servizi Fornire servizi di comunicazione aziendale (utenza Business): –Autenticazione: i dati sono originati.

Zeroshell Lan-to-Lan VPN IPSEC “for Dummies” ...windows.mouselike.org/windows.mouselike.org/share/zeroshell/vpn-ipsec.pdfScopo della guida: aiutare gli utenti più o meno niubby

LOGO! CMR | Guida alla configurazione della VPN

VPN e Sicurezza: IPSec - dia.uniroma3.itdispense/merola/critto/tesine/IpSec.pdf · Alla base una VPN è una rete riservata che usa una rete pubblica (solitamente Internet) per collegare

Manuale per la configurazione della VPN d’Ateneopeople.unica.it/settorereti/files/2015/11/Configurazione-vpn-GP2.pdf · Manuale per la onfigurazione della VPN d’Ateneo Universita'

VPN (OpenVPN - IPCop)Davide Merzi, VPN (OpenVPN – IPCop) 3 Belfiore (VR), 23.10.2010 distil-lab ~ giova gravemente alla salute! ~ Indirizzo IP L'indirizzo IP (Internet Protocol address)

Guida Utente - Link.it · Sommario Introduzione.....6

scopriamo insieme SugarCRM - … · SugarCRM: il CRM open source commerciale • Lavoracome" siamo" abitua "afare"con"le" usuali"applicazioni" informache "Intuivo , • Semplice"da"conﬁgurare"

INSTALLAZIONE JOOMLA - Wstoriadellarte · OBIETTIVI DELLA LEZIONE • Installare Joomla! 1.5.x • Conﬁgurare Joomla! 1.5.x • Reset di una tabella MySQL • Ottimizzare l’interfaccia

Reti VPN. I 6 benefici di una soluzione multisede.

router vpn 1720 - Cisco

Guida su come conﬁgurare EMC2 - Dino Del Faverodino.delfavero.it/ComeConfigurareEMC2.pdf · //it/ ... stepper.var ed emc.nml che servono ad EMC2 per salvare dei dati ... (Graphical

I 4 vantaggi apportati dall'eliminazione delle VPN | Akamai · I 4 vantaggi apportati dall'eliminazione delle VPN 2 Le inefficienze generali delle VPN Probabilmente non abbiamo bisogno

Manuale VPN CSI 2020 v3

Usare il SM per connessioni a VPN - gate-manager.it · GateManager tecnico@gate-manager.it Supporto tecnico: 1 Usare il SiteManager per connessioni attraverso una VPN PREMESSA La

Endian 4i VPN Switchboard - M2M ForumEndian VPN Switchboard Featurelist Connections •Connect to single endpoints or remote networks • •Establish connections by executing actions

“Le Tecnologie di Accesso - garr.it · –confronto con gli accessi di tipo CDN con una ... –SHDSL con trasporto su MPLS-VPN –ADSL con trasporto su MPLS-VPN –ADSL consumer

Workshop 25.05.2016 a SPS Italia - SENECA LETS - VPN Connectivity Solutions

Reti pRivAte e Reti pRivAte viRtUAli vpN · “tunnel” di comunicazione sicuri mediante il flusso punto-punto di pacchetti autenticati (con con- ... VPN A Virtual Private Network,