wiki:help/scc/vpn/edittunnel

Version 13 (modified by Edwin Eefting, 3 weeks ago) (diff)

--

Instellen VPN tunnel

Vergeet niet om eerst een Netwerk check te doen, bij Netwerk -> Netwerk check. De IPSEC checks moeten hier OK zijn alvorens u verder gaat. (vanaf SYN-3 versie 4.3)

Het maken van een nieuwe tunnel kan vervolgens bij Internet -> Ipsec VPN tunnels -> Toevoegen.

Voorbeeld

Hieronder een praktisch voorbeeld van een VPN opstelling:

We zien in vestiging een 'lastige' VPN situatie, omdat hier gebruik gemaakt word van een ADSL router die een eigen subnet heeft. (10.0.0.0/24)

We gaan er vanuit dat de configuratie plaatsvindt vanuit vestiging 2.

Zorg er van te voren voor dat u vanuit vestiging 2 bij de SCC op vestiging 1 kan. (deze firewall instellingen dient u van te voren ter plekke te maken op vestiging 1)

U logt in op de internetserver van vestiging 2 (https://192.168.2.1:10000) en maakt een tunnel aan met de volgende gegevens:

  • Instellingen hier - Internet IP adres: 11.44.33.22
  • Instellingen hier - Lokaal netwerk: 192.168.2.1/24
  • Instellingen daar – Internet IP adres: 1.2.3.4
  • Instellingen daar – Netwerk achter server: 192.168.1.0/24

De publieke sleutel van de server vullen we niet in, omdat we gebruik maken van automatische configuratie. Hier vult u het adres in waarop de SCC van de andere server draait: 1.2.3.4.

Hierna kiezen we voor Opslaan en autoconfiguratie en laten we de andere SCC automatisch configureren. De tunnel zal nu actief moeten worden.

We hoeven dus geen rekening te houden met het subnetje van de ADSL router. We gaan er wel vanuit dat deze router inkomende connecties naar ons doorstuurt. Dit moet u wellicht nog instellen in de router.

Kijk hier als u problemen ondervind: help/scc/vpn/listtunnels

SYN-3 ipsec instellingen

Het is ook mogelijk om een IPSEC verbinding te met andere apparaten, dit zijn de settings die SYN-3 standaard gebruikt en ondersteund:

  • Gebruikt protocol: ESP
  • Agressive mode: no
  • Perfect forward secrecy: Staat standaard aan (aanbevolen) maar kan uit indien nodig.
  • IKE versie: Staat standaard op versie 1, maar kan ook op versie 2.

Ondersteund algoritmen

De ondersteunde algoritmen hangen af van de libreswan versie. Standaard worden er zoveel mogelijk veilige algoritmen ondersteund.

De ondersteunde algoritmen zijn met onderstaand commando op te vragen. Het woord "IKE" achter IKEv1: en IKEv2: geeft aan of het algoritme ondersteund word met de betreffende ike versie.

In SYN-3 versie 5 met libreswan versie 3.21:

[Syn-3] root@server ~# ipsec algparse -v          
/usr/libexec/ipsec/algparse Initializing NSS
/usr/libexec/ipsec/algparse Encryption algorithms:
/usr/libexec/ipsec/algparse   AES_CCM_16         IKEv1:     ESP     IKEv2:     ESP     FIPS  {256,192,*128}  (aes_ccm aes_ccm_c)
/usr/libexec/ipsec/algparse   AES_CCM_12         IKEv1:     ESP     IKEv2:     ESP     FIPS  {256,192,*128}  (aes_ccm_b)
/usr/libexec/ipsec/algparse   AES_CCM_8          IKEv1:     ESP     IKEv2:     ESP     FIPS  {256,192,*128}  (aes_ccm_a)
/usr/libexec/ipsec/algparse   3DES_CBC           IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  [*192]  (3des)
/usr/libexec/ipsec/algparse   CAMELLIA_CTR       IKEv1:     ESP     IKEv2:     ESP           {256,192,*128}
/usr/libexec/ipsec/algparse   CAMELLIA_CBC       IKEv1: IKE ESP     IKEv2: IKE ESP           {256,192,*128}  (camellia)
/usr/libexec/ipsec/algparse   AES_GCM_16         IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  {256,192,*128}  (aes_gcm aes_gcm_c)
/usr/libexec/ipsec/algparse   AES_GCM_12         IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  {256,192,*128}  (aes_gcm_b)
/usr/libexec/ipsec/algparse   AES_GCM_8          IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  {256,192,*128}  (aes_gcm_a)
/usr/libexec/ipsec/algparse   AES_CTR            IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  {256,192,*128}  (aesctr)
/usr/libexec/ipsec/algparse   AES_CBC            IKEv1: IKE ESP     IKEv2: IKE ESP     FIPS  {256,192,*128}  (aes)
/usr/libexec/ipsec/algparse   SERPENT_CBC        IKEv1: IKE ESP     IKEv2: IKE ESP           {256,192,*128}  (serpent)
/usr/libexec/ipsec/algparse   TWOFISH_CBC        IKEv1: IKE ESP     IKEv2: IKE ESP           {256,192,*128}  (twofish)
/usr/libexec/ipsec/algparse   TWOFISH_SSH        IKEv1: IKE         IKEv2: IKE ESP           {256,192,*128}  (twofish_cbc_ssh)
/usr/libexec/ipsec/algparse   CAST_CBC           IKEv1:     ESP     IKEv2:     ESP           {*128}  (cast)
/usr/libexec/ipsec/algparse   NULL               IKEv1:     ESP     IKEv2:     ESP           []
/usr/libexec/ipsec/algparse Hash algorithms:
/usr/libexec/ipsec/algparse   MD5                IKEv1: IKE         IKEv2:                 
/usr/libexec/ipsec/algparse   SHA1               IKEv1: IKE         IKEv2:             FIPS  (sha)
/usr/libexec/ipsec/algparse   SHA2_256           IKEv1: IKE         IKEv2:             FIPS  (sha2 sha256)
/usr/libexec/ipsec/algparse   SHA2_384           IKEv1: IKE         IKEv2:             FIPS  (sha384)
/usr/libexec/ipsec/algparse   SHA2_512           IKEv1: IKE         IKEv2:             FIPS  (sha512)
/usr/libexec/ipsec/algparse PRF algorithms:
/usr/libexec/ipsec/algparse   HMAC_MD5           IKEv1: IKE         IKEv2: IKE               (md5)
/usr/libexec/ipsec/algparse   HMAC_SHA1          IKEv1: IKE         IKEv2: IKE         FIPS  (sha sha1)
/usr/libexec/ipsec/algparse   HMAC_SHA2_256      IKEv1: IKE         IKEv2: IKE         FIPS  (sha2 sha256 sha2_256)
/usr/libexec/ipsec/algparse   HMAC_SHA2_384      IKEv1: IKE         IKEv2: IKE         FIPS  (sha384 sha2_384)
/usr/libexec/ipsec/algparse   HMAC_SHA2_512      IKEv1: IKE         IKEv2: IKE         FIPS  (sha512 sha2_512)
/usr/libexec/ipsec/algparse Integrity algorithms:
/usr/libexec/ipsec/algparse   HMAC_MD5_96        IKEv1: IKE ESP AH  IKEv2: IKE ESP AH        (md5 hmac_md5)
/usr/libexec/ipsec/algparse   HMAC_SHA1_96       IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (sha sha1 sha1_96 hmac_sha1)
/usr/libexec/ipsec/algparse   HMAC_SHA2_512_256  IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (sha512 sha2_512 hmac_sha2_512)
/usr/libexec/ipsec/algparse   HMAC_SHA2_384_192  IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (sha384 sha2_384 hmac_sha2_384)
/usr/libexec/ipsec/algparse   HMAC_SHA2_256_128  IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (sha2 sha256 sha2_256 hmac_sha2_256)
/usr/libexec/ipsec/algparse   AES_XCBC_96        IKEv1:     ESP AH  IKEv2:     ESP AH  FIPS  (aes_xcbc)
/usr/libexec/ipsec/algparse   AES_CMAC_96        IKEv1:     ESP AH  IKEv2:     ESP AH  FIPS  (aes_cmac)
/usr/libexec/ipsec/algparse DH algorithms:
/usr/libexec/ipsec/algparse   MODP1024           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH        (dh2)
/usr/libexec/ipsec/algparse   MODP1536           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH        (dh5)
/usr/libexec/ipsec/algparse   MODP2048           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (dh14)
/usr/libexec/ipsec/algparse   MODP3072           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (dh15)
/usr/libexec/ipsec/algparse   MODP4096           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (dh16)
/usr/libexec/ipsec/algparse   MODP6144           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (dh17)
/usr/libexec/ipsec/algparse   MODP8192           IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS  (dh18)
/usr/libexec/ipsec/algparse   DH19               IKEv1: IKE         IKEv2: IKE ESP AH  FIPS  (ecp_256)
/usr/libexec/ipsec/algparse   DH20               IKEv1: IKE         IKEv2: IKE ESP AH  FIPS  (ecp_384)
/usr/libexec/ipsec/algparse   DH21               IKEv1: IKE         IKEv2: IKE ESP AH  FIPS  (ecp_521)
/usr/libexec/ipsec/algparse   DH23               IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS
/usr/libexec/ipsec/algparse   DH24               IKEv1: IKE ESP AH  IKEv2: IKE ESP AH  FIPS

Attachments (1)

Download all attachments as: .zip