docNiniejsza instrukcja przedstawia przykład konfiguracji
download 
Reklamacja Transkrypt
Niniejsza instrukcja przedstawia przykład konfiguracji
ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension. SSL VPN w trybie Network Extension działa prawidłowo na komputerach wyposaŜonych w systememy operacyjne Windows 2000 oraz Windows XP. Połączenie SSL VPN inicjujemy za pośrednictwem przeglądarki internetowej (zalecne przeglądarki to: MS Internet Explorer 6.0 i nowsze, Firefox 2.0 i nowsze oraz Netscape 7.0 i nowsze). Podobnie jak dla połączeń SSL w trybie Reverse Proxy, na komputerach klienckich konieczna jest instalacja środowiska Java w wersji 6.0 lub nowszej. Tryb Network Extension pozwala nam uzyskać bezpieczny, pełny dostęp do usług oraz aplikacji pracujących w chronionej sieci lokalnej. Z punktu widzenai uŜytkownika zdalnego połączenie to daje moŜliwości podobne do połączenia IPSec VPN (w trybie Client to Site). DuŜym profitem w stosunku do połączenia IPSec VPN jest jednak brak problemów z „przejściem przez NAT” oraz brak konieczności instalacji dodatkowego oprogramowania (klienta IPSec VPN) na komputerze uŜytkownika zdalnego. Na potrzeby naszego przykładu przyjmiemy podaną niŜej adresację IP oraz załoŜymy, Ŝe w naszej sieci lokalnej pracuje serwer HTTP/FTP/SSH/Telnet reprezentowany przez urządzenie serii ZyWALL UTM. Topologia Sieci: Zadanie: Naszym celem jest umoŜliwienie zdalnemu uŜytkownikowi (remote user) bezpiecznego dostępu do zasobów sieci lokalnej, obsługiwanej przez urządzenie ZyWALL USG oraz zapoznanie się z działaniem trybu Network Extension SSL VPN na urządzeniach serii ZyWALL USG. 1 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 1. Konfiguracja ZyWALL USG Krok1. Podłączamy nasz komputer do interfejsu LAN (ge1) ZyWALL USG. Pozyskujemy adres IP z serwera DHCP i łączymy się z urządzeniem wpisując w przeglądarce adres http://192.168.1.1. Następnie konfigurujemy adres IP dla interfejsu WAN (ge2) urządzenia. Krok 2. Tworzymy nowy obiekt typu Address. Przechodzimy do menu Objects > Address i klikamy ikonę Add, a następnie definiujemy pólę adresów IP, z której adresy będą przydzielane uŜytkownikom zdalnym. Zgodnie z rysunkiem definiujemy zakres adresów np.: 8.1.1.33 do 8.1.1.50 Krok 3. Tworzymy kolejny obiekt typu Address. Tym razem definiujemy podsieć, do której będą mieli dostęp uŜytkownicy połączeni poprzez kanał SSL VPN w trybie Network Extension. Przechodzimy ponownie do menu Objects > Address i naciskamy ikonę Add. 2 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Określamy podsieć 192.168.1.0/24. Krok 4. W tym kroku tworzymy nową regułę SSL VPN. Naciskamy przyćisk Add zaznaczony na poniŜszym rysunku. Krok 5. Tworzymy nowy obiekt typu uŜytkownik. Aby utworzyć nowego uŜytkownika naciskamy przycisk Add zaznaczony na poniŜszym rysunku. Krok 6. Zgodnie z poniŜszym przykładem aktywujemy tryb Network Extension, wybieramy wcześniej zdefiniowaną pulę adresów dla uŜytkowników zdalnych oraz określamy podsieć, do której będą mieli dostęp uŜytkownicy zdalni. Po dokonaniu zmian zapisujemy je naciskając przycisk OK. 3 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 2. Konfiguracja ZyWALL 5 Krok 1. Domyślny adres IP interfejsu LAN urządzeń firmy ZyXEL to 192.168.1.1. Aby zapobiec konfliktom IP logujemy się na urządzenie i zgodnie z zaprezentowaną wyŜej topologią dokonujemy zmian adresacji interfejsów ZyWALL 5. Domyślny adres IP interfejsu LAN zmieniamy na 192.168.5.1. Adres interfejsu WAN natomiast zmieniamy na 192.168.1.33. Na poniŜszych rysunkach pokazano konfigurację interfejsów zgodną z naszym przykładem. Zmian dokonujemy w menu Network > LAN oraz Network > WAN > WAN1. 4 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Krok 2. Zezwalamy na zdalny dostęp do urządzenia ZyWALL 5 od strony interfejsu WAN. Konfiguracji dokonujemy w menu: Remote Management WWW/SSH/TELNET/FTP. Aby zezwolić uŜytkownikom na dostęp do ZyWALL 5 (za pośrednictwem protokołów HTTP, SSH, Telnet i FTP) naleŜy jeszcze wyłączyć Firewall lub dopisać odpowiednie reguły. 3. Testujemy nasze bezpieczne połączenie SSL VPN Krok 1. Na komputerze podłączonym do interfejsu WAN ZyWALL USG uruchamiamy przeglądarkę internetową i łączymy się z urządzeniem wykorzystując adres przypisany do interfejsu WAN http://10.1.1.1. 5 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Krok 2. Podajemy nazwę i hasło uŜytkownika, którego utworzyliśmy na ZyWALL USG. Następnie zaznaczamy opcję “Log into SSL VPN” i naciskamy przycisk Login. Krok 3. W trakcie nawiązywania połączenia moŜemy obserwować okienko zawierające informacje o postępie w budowie bezpiecznego kanału SSL VPN - Network Extension. 6 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 Krok 4. Po nawiązaniu połączenia na ekranie komputera powinniśmy zobaczyć informacje podobne do tych zawartych na poniŜszym rysunku. Krok 5. Na naszym komputerze został wykreowany wirtualny interfejs PPP. Informacje na temat konfiguracji tego interfejsu moŜemy uzyskać wykonując z wiersza pleceń systemu operacyjnego Windows komendę ipconfig. Po wydaniu komendy route print powinnismy zobaczć trasę routingu wykreowaną automatycznie na potrzeby naszego połączenia. Krok 6. Po poprawnym zestawieniu kanału SSL VPN powinniśmy mieć moŜliwość połączenia się z naszym testowym urządzeniem zarówno za pośrednictwem przeglądarki internetowej, jak i klienta FTP, SSH czy Telnet. 7 ZyXEL Communications Polska, Dział Wsparcia Technicznego Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251 8
