VPN Konfiguration

VPN Konfiguration

Die Konfiguration eines VPN Tunnels ist eigentlich einfach, wenn man sich immer vor Augen hält, was man erreichen will.

1. Es sollen zwei Netze über das Internet miteinander verbunden werden.
Diese beiden Netze sollten unterschiedliche IP Adressen haben und sich vom “Übertrager”netz unterscheiden. Die beiden Netze werden in der VPN Konfiguration angegeben - jeweils “über Kreuz”. D.h. das Local Network von Maschinen mGuard wird das Remote Network vom VPN Gateway mGuard und umgekehrt.

2. Es soll eine sichere Authentifizierung der beiden beteiligten VPN-Router stattfinden
Dafür sind Zertifikate die richtige Wahl. Für einen Test können zwei VPN Zertifikate von der Innominate Webseite heruntergeladen werden. Jede ZIP Datei beinhaltet ein Maschinen-Zertifikat (inkl. privater Schlüssel) und das öffentliche Zertifikat. Die Maschinen-Zertifikate werden in die jeweilgen mGuards geladen und die öffentlichen Zertifikate werden  “über Kreuz” konfiguriert. D.h. der Maschinen mGuard bekommt das öffentliche Zertifikat von VPN Gateway mGuard und umgekehrt

3. Der Verbindungsaufbau wird festgelegt
Es muss konfiguriert werden, wer die Verbindung initiiert und wer auf die eingehende VPN Verbindung “wartet”.

4. Die Daten sollen verschlüsselt werden
Dazu stehen verschiedene Verschlüsselungs- und Hash-Algorithmen zur Auswahl

Das ist schon alles

Die Demo-Konfiguration sieht wie folgt aus:

Die VPN Verbindung wird vom Maschinen mGuard initiiert und zum VPN Gateway mGuard hin aufgebaut. Die VPN Verbindung durchtunnelt die Firewall des Betreibers.

Verbunden werden das Maschinen Netzwerk (192.168.90.0 / 24) mit dem Service Netzwerk (192.168.2.0 / 24). Welche externe IP Adresse der Maschinen mGuard und die Firewall des Betreibers haben - ist beliebig. In unserem Beispiel bezieht der Maschinen mGuard seine externe Netzwerk Konfiguration via DHCP aus dem Netz des Betreibers.

Folgende Schritte müssen abgearbeitet werden, um eine funktionierende VPN-Konfiguration zu erhalten:

1. Anpassung der Router Konfiguration der beiden mGuards an das oben beschrieben Szenario
2. Erstellung und Laden der X.509 Zertifikate
3. VPN Tunnelkonfiguration
 

.... und zum Schluss den IPsec Status prüfen