SHIFT

--- Sjoerd Hooft's InFormation Technology ---

User Tools

Site Tools


bordermanagervpn
Differences

This shows you the differences between two versions of the page.

Link to this comparison view

bordermanagervpn [2013/04/23 20:22] (current)
sjoerd created
Line 1: Line 1:
 += BorderManager VPN =
 +== Inleiding ==
 +In dit document wordt beschreven wat er nodig is om Bordermanager VPN te draaien. De situatie is met 2 servers, waarbij op de bordermanager zowel de proxy als de firewall draaien inclusief NAT. Op deze server moest ook de VPN service komen draaien. De VPN services van Bordermanager ondersteunen twee manieren van een VPN maken, site to site (tussen twee bordermanager servers) en client to site. In deze handleiding wordt alleen aandacht besteed aan client to site verbindingen.
  
 +Het implementeren van deze VPN services kan onderverdeeld worden in een aantal componenten die elk apart moeten worden geconfigureerd. Ook de volgorde hierin is belangrijk. ​ Het begint met het voldoen aan de minimum requirements op de server. Vervolgens moet de VPN server worden geconfigureerd,​ de client-to-site connectie configuratie moet worden gedaan en dan moeten de certificaten worden gemaakt, met als laatste natuurlijk nog de VPN client configuratie. ​
 +Tijdens het implementeren en documenteren van Bordermanager VPN is gebruik gemaakt van de volgende bronnen:
 +* Novell Bordermanager 3.8 Installation and Administration Guide
 +* Novell Bordermanager 3.8 Troubleshooting Guide
 +* TID10018076 Netware Login Failed – VPN Client connection
 +* TID10089085 Failed NMAS authentication during VPN Client login
 +* TID10095439 Troubleshooting client-to-site VPN on Bordermanager 3.8 TID10088980 Packet Filtering requirements for Bordermanager 3.8 VPN Services to work through a firewall
 +* TID10098306 How to setup client-to-site VPN with Bordermanager
 +
 +== Minimum requirements ==
 +* Bordermanager Service Pack 
 +** Ten tijde van dit schrijven (2005) was Service Pack 4 voor Bordermanager 3.8 de nieuwste. Deze kun je installeren volgende de aanwijzingen in de readme. ​
 +* TCP/IP Strong Encryption
 +** Vervolgens moet je de nieuwste TCPIP patch gedownload en de aanwijzingen volgen om deze te installeren. LET OP: om de strong encryptie modules te installeren moet je de modules gebruiken in de map d. 
 +* VPN Services
 +** Als laatste moet je nog bordermanager opnieuw installeren op de server, echter nu met VPN services erbij. Tijdens het installeren van de VPN services is het noodzakelijk om via LDAP te kunnen authenticeren. De installatie controleert hierop. Je kan “require TLS for simple binds with passwords” uit  zetten in de LDAP server group objecten. Hierna moet de LDAP service opnieuw gestart worden. Dat kan in het LDAP server object door op de “Refresh NLDAP Server Now” te klikken.
 +
 +N.B. In de documentatie wordt afgeraden om het configureren van de VPN server op dezelfde server te doen als waar het op gaat draaien, dus dan moet je de VPN snapins ook op een andere server installeren. Ik heb dat ook gedaan. Om dit te doen ga je naar het config gedeelte in iManager. Hier kun je naar modules gaan waar je vervolgens de keuze krijgt om modules toe te voegen. Kies hierbij de snapins die zaten ingevoegd in het nieuwste servicepack van Bordermanager.
 +
 +== VPN server ==
 +Eigenlijk moet je voor de installatie van de VPN server eerst de certificaten maken. Je kan echter de benodigde certificaten voor het maken van een VPN server ook maken tijdens de configuratie van de VPN server. Bij deze installatie kiezen we daarvoor. Om VPN services te configureren maak je gebruik van iManager die de goede snapins heeft geïnstalleerd staan. Bedenk tijdens het inloggen dat je moet inloggen als een gebruiker met veel rechten. Bij deze installatie heb ik alles gedaan met de Admin user. Als je naar BM VPN Configuration gaat krijg je de mogelijkheid om een VPN server toe te voegen door op de knop “add” te klikken. Selecteer de goede server en vul de goede eigenschappen in: \\
 +{{vpnserver.jpg}} \\
 +Instellingen: ​
 +* Client to site aangezet. Hierdoor wordt een default client-to-site configuratie aangemaakt.
 +* Bij Server adres moet je het publieke IP adres van de server opgeven, met het goede subnet mask. 
 +* Bij Tunnel address maakt het niet zoveel uit wat je invult. Wat hier gebeurt is dat een virtuele netwerk adapter wordt aangemaakt op de server met het IP adres en het subnet mask wat je hier opgeeft. LET OP: dit IP adres mag niet in de ip-range liggen van 1 van de andere netwerkkaarten in de server.
 +* Bij Server certificaat en trusted root container staan default waardes ingevuld. Als je deze laat staan worden deze automatisch aangemaakt.
 +* Perfect Forward Secrecy moet aan staan.
 +
 +== VPN Server Filter Exceptions ==
 +Vervolgens moet je op de VPN server nog filter exceptions configureren. Met het commando “brdcfg” krijg je de vraag of je filters wilt gaan configureren. Beantwoord deze met ja. Vervolgens krijg je de vraag of je inetcfg wilt gaan configureren. In deze installatie was dat al gebeurd dus heb ik nee op geantwoord. Vervolgens kun je kiezen dat je filters wilt gaan zetten op de publieke interface. Deze moet je nog kiezen uit je netwerkadapters. Deze tool gooit niet je eerdere exceptions weg. Hij voegt alleen extra toe om gebruik te maken van VPN services. ​ Het kan zijn dat het hiermee nog niet werkt (dit kun je nu nog niet testen). Dan moet je de volgende exceptions nog handmatig toegevoegd (het kan zijn dat sommige hiervan wel al door de brdcfg utility erbij zijn gezet):
 +
 +Aan de hand van het administrators handboek:
 +|Blz: 184 en 185| | | | |
 +|Source address |Source port| Destination address| Destination Port |Protocol|
 +|Any |Any |Public IP address |353 (VPN-AuthGW-st) |TCP|
 +|Any |Any |Public IP address |353 (KeepAlive) |UDP|
 +|Any |Any |Public IP address |(ESP-st) |ESP|
 +|Any |Any |Public IP address |500 (IKE-st) |IKE (UDP)|
 +|Any |Any |Public IP address |4500 (IKE-NAT-st) |IKE-NAT-ST|
 +|Blz: 188 en 189| |  | | |
 +|Any |Any |Public IP address |353 (VPN-AuthGW) |TCP|
 +|Any |Any |Public IP address |353 (VPN-AUthGW) |UDP|
 +|Any |213 |Public IP address |Any |TCP|
 +|Any |Any |Public IP address |2010 |UDP|
 +|Public IP address |Any |Any |2010 |UDP|
 +|Public IP address |Any |Any |213 |TCP|
 +|Any |Any |Public IP address |Any |AH|
 +|Public IP address |Any |Any |Any |AH|
 +|Any |Any |Public IP address |Any |ESP|
 +|Public IP address |Any |Any |Any |ESP|
 +|Any |Any |Public IP address |500 |IKE (UDP)|
 +|Public IP address |Any |Any |500 |IKE (UDP)|
 +|Public IP address |Any |Any |4500 |IKE-NAT-ST|
 +|Any |Any |Public IP address |4500 |IKE-NAT-ST|
 +== VPN Client to site ==
 +Bij het aanmaken van de VPN server is al een client to site configuratie aangemaakt. Deze kun je weer vinden met iManager: \\
 +{{vpnclienttosite1.jpg}} \\
 +IP adress list is de lijst van IP adressen die gaat uitgegeven worden aan VPN clients. Dit mogen niet de zelfde IP adressen als intern zijn: \\
 +{{vpnclienttosite2.jpg}} \\
 +Bij traffic rules kun je instellen wat er met het verkeer over de VPN lijn moet gebeuren: \\
 +{{vpnclienttosite3.jpg}} \\
 +Bij Authentication Rules moet je instellen welke gebruikers gebruik kunnen maken van welke authenticatie type. Je moet zowel NMAS (ook al gebruik je dat niet) als certificaten aanzetten. Bij NMAS moet je de “minimum allowed authentication grade” op LOGGED zetten. Dit is een harde vereiste: \\
 +{{vpnclienttosite4.jpg}} \\
 +De LDAP server is dezelfde als de VPN server: \\
 +{{vpnclienttosite5.jpg}} \\
 +DNS en SLP configuratie:​ \\
 +{{vpnclienttosite6.jpg}} \\
 +== Certificaten maken ==
 +Tijdens de VPN server installatie en configuratie zijn al twee soorten objecten aangemaakt. Het root server certificaat en de trusted root container. Hier hoef je je dus niet meer druk om te maken.
 +==== Exporting Root Certificates from the Server Certificate ====
 +Ga weer naar iManager, en klik op “modify object” onder Novell eDirectory Administration.
 +Selecteer het server certificaat,​ klik op OK en ga naar certificaten toe waar je kan kiezen voor export. Nu wordt de export certificate wizard opgestart: \\
 +{{certificatewizard.jpg}} \\
 +==== Create user certificates ====
 +Klik op browse om de user(s) te selecteren waar je user certificaten voor wilt maken. Geef de server op en geef een nickname voor het certificaat (willekeurige naam). Kies voor custom en de enige optie die je moet aanpassen is de 2048 bits encryptie en het certificaat wordt aangemaakt.
 +Om dit certificaat te gebruiken kun je het certificaat exporteren. Dit gaat hetzelfde als het serverobject. In dat geval moet je kiezen voor een export in het Personal Information Exchange format. Dit kun je alleen doen als je als gebruiker inlogt in iManager. Dit certificaat kun je later gebruiken in je VPN client. Deze client kan ook zelf het certificaat uit de server lezen. Dat gebruik je bijvoorbeeld bij laptops die ook intern kunnen zijn.
 +N.B. Het exporteren van user certificaten kan alleen door de gebruiker zelf worden gedaan. Dus gebruiker admin kan niet het user certificaat voor gebruiker UserA exporteren.
 +== VPN Client ==
 +De VPN client die ik heb gebruikt is versie 3.8.9 en werkt samen met Novell Client 4.91. In de readme staat dat je de VPN client alleen kan gebruiken als administrator of standaard user. Uit ervaringen blijkt het alleen te werken als administrator of indien je de novell client gebruikt. Tijdens de installatie is het belangrijk om te kiezen voor de volgende optie: \\
 +{{vpnclient1.jpg}} \\
 +Ook als je al NMAS geinstalleerd heb op je computer moet je deze installeren. Na afloop kun je de volgende instellingen opgeven, de novell client is niet verplicht, de VPN client kan dit ook zelf: \\
 +{{vpnclient2.jpg}} \\
 +Met get certificate kun je het certificaat uitlezen van de server. Dit werkt alleen onder je eigen username: \\
 +{{vpnclient3.jpg}} \\
 +Het certificaat is ook zonder deze optie toe te voegen: \\
 +{{vpnclient4.jpg}} \\
 +Stel bij de configuratie in dat je gebruik maakt van certificaten:​ \\
 +{{vpnclient5.jpg}} \\
 +Hier kun je de verbinding zien opgebouwd worden: \\
 +{{vpnclient6.jpg}} \\
 +Na het opbouwen van de verbinding krijg je een icoontje in je taakbalk waar je op kan klikken voor de statistics: \\
 +{{vpnclient7.jpg}} \\
 +== Monitoring VPN verbindingen ==
 +Dit kun je doen in de Netware Remote Manager op de VPN server zelf. Login met admin rechten en ga naar NBM Monitoring en dan naar VPN monitoring, en selecteer de VPN server die je wilt monitoren: \\
 +{{vpnmonitoring1.jpg}} \\
 +Bij real time monitor krijg je dit te zien: \\
 +{{vpnmonitoring2.jpg}} \\
 +Bij activity krijg je dit te zien: \\
 +{{vpnmonitoring3.jpg}} \\
 +
 +{{tag>​bordermanager network security dutch}}
bordermanagervpn.txt · Last modified: 2013/04/23 20:22 by sjoerd