IPsec: configurer DMS-SDWAN pour IKEv1 à l'aide de XAuth ¶
Indice
XAuth était un ajout à IKEv1 prenant en charge les informations d'authentification des utilisateurs en plus des clés ou des certificats pré-partagés. Il existe trois types différents pris en charge par OPNsense que nous allons décrire ici.
Mutuelle PSK + XAuth : Vous définissez une clé pré-partagée qui est la même pour chaque utilisateur et après avoir sécurisé le canal l'authentification de l'utilisateur via XAuth entre en jeu. Mutual RSA + XAuth : au lieu d'utiliser une clé pré-partagée, chaque appareil a besoin d'un certificat client pour sécuriser la connexion ainsi que XAuth pour l'authentification. C'est la variante la plus sécurisée pour IKEv1/XAuth mais aussi avec le plus de travail à faire. Hybrid RSA + XAuth : Hybrid RSA est identique à Mutual, sans avoir besoin d'un certificat client. Seul le serveur sera authentifié (comme en utilisant HTTPS) pour empêcher les attaques de l'homme du milieu comme avec Mutual PSK. Il est plus sécurisé que PSK mais n'a pas besoin du processus de déploiement complet comme avec Mutual RSA.
Supposons que vous ayez lu la première partie sur IPsec: Configuration de l'accès à distance
Étape 1 - Créer des certificats (uniquement pour les variantes RSA) ¶
Pour Mutual RSA + XAuth et Hybrid RSA + XAuth, vous devez créer une autorité de certification racine et un certificat de serveur pour le pare-feu.
Accédez à et cliquez sur Ajouter. Donnez-lui un nom descriptif comme méthode sélectionnez Créer une autorité de certification interne . Augmentez la durée de vie et remplissez les champs pour correspondre à vos prix locaux. Maintenant, allez dans et créez un nouveau certificat pour le pare-feu lui-même. Il est important de changer le type en serveur. Le nom commun peut être le nom d'hôte du pare-feu et définir comme nom alternatif FQDN de votre pare-feu comme il est connu du côté WAN. Ceci est très important car votre VPN sera supprimé lorsque le FQDN ne correspondra pas à ceux du certificat.
Si vous avez déjà une CA, déployez un certificat de serveur et importez la CA elle-même via et le certificat avec la clé dans .
Étape 2 - Clients mobiles ¶
Nous devrons d'abord configurer le réseau des clients mobiles et la source d'authentification. Accédez à
Par exemple, nous utiliserons les paramètres suivants:
Extensions IKE ¶
|
Autoriser |
coché |
cocher pour activer les clients mobiles |
|
Authentification d'utilisateur |
Base de données locale |
Par exemple, nous utilisons la base de données locale |
|
Authentification de groupe |
personne |
Ne laissez personne |
|
Pool d'adresses virtuelles |
10.10.0.0/24 |
Entrez la plage IP pour les clients distants |
Vous pouvez sélectionner d'autres options, mais nous les laisserons toutes décochées pour cet exemple.
Enregistrez vos paramètres et sélectionnez Créer Phase1 lorsqu'il apparaît. Entrez ensuite le paramètre Mobile Client Phase 1.
Étape 3 - Clients mobiles de la phase 1 ¶
Informations générales sur la phase 1 ¶
|
Méthode de connexion |
Défaut |
la valeur par défaut est "Start Release" |
|
Version d'échange de clés |
V1 |
XAuth ne fonctionne que sur V1 |
|
protocole Internet |
IPv4 |
|
|
Interface |
WAN |
sélectionnez l'interface qui est connectée à Internet |
|
Description |
MobileIPsec |
description librement choisie |
Proposition de phase 1 (authentification) ¶
|
Méthode d'authentification |
XAuth |
Sélectionnez l'une des trois options disponibles |
|
Offre de mode |
Fonction principale |
Utilisez la fonction principale ici |
|
Mon identifiant |
Nom distingué |
Définissez le nom de domaine complet que vous avez utilisé dans le certificat pour utiliser le PSK "Mon adresse IP" |
|
Clé Pré-Partagée |
Secret de polichinelle |
Pour Mutual PSK + XAuth, utilisez ce PSK, sinon le certificat ci-dessous |
|
Mon certificat |
Certificat |
Sélectionnez le certificat dans la liste déroulante, valide uniquement pour les variantes RSA |
Proposition de phase 1 (algorithmes) ¶
|
Algorithme de chiffrement |
AES |
Pour notre exemple, nous utiliserons AES / 256 bits |
|
Algorithme de hachage |
SHA256 |
SHA256 pour la compatibilité |
|
Groupe de clés DH |
521 bits |
521 bits pour la compatibilité |
|
Durée de vie |
28800 secondes |
durée de conservation avant renégociation |
Les options avancées sont correctes par défaut.
Enregistrez vos paramètres.
Étape 3 - Clients mobiles Phase 2 ¶
Appuyez sur + à droite de la liste pour ajouter une entrée de phase 2.
Informations générales ¶
|
Mode |
Tunnel IPv4 |
Sélectionnez le mode tunnel |
|
Description |
MobileIPsecP2 |
Description librement sélectionnée |
Réseau local ¶
|
Réseau local |
Sous-réseau LAN |
Lancez le Local LAN |
Proposition de phase 2 (SA / échange de clés) ¶
|
Protocole |
ESP |
Sélectionnez ESP pour le chiffrement |
|
Algorithmes de chiffrement |
AES / 256 |
Pour cet exemple, nous utilisons AES 256 |
|
Algorithmes de hachage |
SHA256 |
Comme avant, SHA256 |
|
Groupe de clés PFS |
désactivé |
La plupart des systèmes mobiles ne prennent pas en charge PFS dans la phase 2 |
|
Durée de vie |
3600 secondes |
Enregistrez vos paramètres et activez IPsec , sélectionnez:
Étape 4 - Ajouter des utilisateurs IPsec χρη
Allez dans et appuyez sur le symbole + dans le coin inférieur droit pour ajouter un nouvel utilisateur.
Saisissez les informations suivantes dans le formulaire :
|
Nom d'utilisateur |
spécifique |
|
Mot de passe |
& test! 9T |
Enregistrez pour l'application.
Étape 5 - Ajouter un certificat client (pour Mutual RSA) ¶
Cette étape n'est requise que pour Mutual RSA + XAuth!
Accédez à et créez un nouveau certificat client. Cliquez simplement sur Ajouter , choisissez votre autorité de certification et augmentez probablement la durée de vie. Tout le reste à part le CN peut être laissé par défaut. Donnez un nom commun et enregistrez . Téléchargez le certificat nouvellement créé en tant que PKCS12 et exportez-le vers l'appareil de l'utilisateur final.