Creare un VPN IPsec per collegare 2 sedi
Il protocollo IPsec è il più diffuso protocollo per creare una connessione VPN site to site ed è presente su pressochè tutti i firewall, garantendo così l'interoperabilità anche tra apparati differenti.
Come funziona IPsec?
In breve una connessione IPsec si articola in 4 punti:
- Negoziazione (Fase 1): i due dispositivi che fanno da terminatori della VPN per le rispettive reti negoziano il metodo di crittografia e autenticazione tramite IKE.
- Creazione della connessione (Fase 2): viene stabilita una Security Association (SA) e generata una chiave condivisa.
- Trasferimento dati: i pacchetti IP vengono cifrati e trasmessi.
- Chiusura della connessione: la SA viene terminata alla fine della comunicazione.
Prerequisiti
Per la configurazione di base che vedremo oggi è necessario che i due endpoint dispongano ciascuno di un IP pubblico e che le sottoreti interne da mettere in comunicazione non siano uguali o anche parzialmente sovrapposte.
In caso questi requisiti non siano presenti, nei prossimi articoli studieremo alcune di queste casistiche.
Configurazione
Nella nostra configurazione supporremo di avere due sedi:
1) Milano con IP pubblico 4.3.2.1 e lan con subnet 192.168.0.0/24
2) Roma con IP pubblico 1.2.3.4 e lan con subnet 192.168.1.0/24
Colleghiamoci al firewall della sede di Milano e configuriamo la connessione verso il server di Roma
Accediamo al menù VPN > IPsec
Clicchiamo su Add P1
Inseriamo una descrizione
Selezioniamo l'interfaccia su cui rimanere in ascolto
Nel remote gateway inseriamo l'ip pubblico della sede di Roma
Inseriamo una chiave condivisa
Selezioniamo gli algoritimi di crittografia secondo gli standard di sicurezza necessari, ad es.
AES256 - SHA512 - DH19
Una configurazione tipica sarà questa:
Troveremo perciò la nostra connessione elencata nella pagina delle IP
Clicchiamo ora su Show Phase 2 e poi su Add P2
e configuriamo la parte di sicurezza per la gestione di crittografia e autenticazione coi parametri come in figura (ESP - AES256 - SHA512 - DH 19)
Lasciamo gli altri parametri come proposti e salviamo.
Ci spostiamo ora sul firewall di Roma, dove faremo delle configurazioni identiche facendo attenzione a inserire:
- in fase 1, l'IP pubblico di Milano come remote gateway
- in fase 2, la local la remote subnet invertite
Una volta terminato il lavoro anche sul secondo firewall non ci resta che creare le regole sulle interfacce IPsec di entrambe le sedi per permettere il passaggio del traffico nelle due direzioni.
Ci posizioniamo perciò sul firewall prima di Milano e poi di Roma e creiamo una regola su ciascuno che, per semplicità, permette il passaggio di tutto il traffico:
A questo punto non ci resta che verificare lo stato del collegamento sotto Status > Ipsec e testare la bontà della connessione provando a far comunicare tra loro 2 apparati che risiedono sulle lan delle sedi che abbiamo collegato.