Tunnel IPsec#
I tunnel IPsec sono una componente cruciale della sicurezza delle reti moderne. Questi tunnel forniscono un percorso di comunicazione sicuro e cifrato attraverso Internet o qualsiasi rete non affidabile, garantendo la riservatezza e l’integrità dei dati in transito.
Il protocollo IPsec (IP Security) è lo standard ‘de facto’ nei tunnel VPN, viene tipicamente utilizzato per creare tunnel net-to-net ed è supportato da tutti i produttori. Questo protocollo può essere utilizzato per creare tunnel VPN tra un NethSecurity e un dispositivo di un altro produttore, così come tunnel VPN tra due NethSecurity.
NethSecurity per impostazione predefinita utilizza VPN basate su routing (Route-Based VPN), quindi ogni tunnel utilizza un proprio device tun specifico.
Configurazione#
La configurazione di un tunnel IPsec include 2 peer che chiameremo A e B, i quali possono essere:
1 Nethsecurity e 1 firewall di terze parti
2 Nethsecurity
I dispositivi A e B devono essere configurati con parametri che, a seconda della sezione specifica, saranno identici o speculari.
I parametri che devono essere configurati in modo speculare tra i 2 dispositivi sono tipicamente quelli legati alla rete:
l’interfaccia WAN utilizzata dal tunnel
le 2 (o più) reti che si desidera connettere (rete locale, rete remota)
gli identificatori locali e remoti (tipicamente gli IP pubblici delle WAN dei 2 firewall, ma possono essere utilizzati anche altri)
Pertanto:
L’indirizzo IP WAN del firewall A deve coincidere con l’indirizzo IP remoto del firewall B
la rete locale del firewall A deve coincidere con la rete remota del firewall B
l’ID locale del firewall A deve coincidere con l’ID remoto del firewall B
Tutti gli altri parametri, tuttavia, devono essere identici su entrambi i firewall per consentire una comunicazione corretta (chiave di cifratura, configurazione IKE ed ESP, ecc.). NethSecurity utilizza una chiave condivisa come unico metodo per cifrare i dati.
Come creare un nuovo tunnel IPsec#
Fare clic sul pulsante Aggiungi tunnel IPsec per configurare un nuovo tunnel. Assegnare un nome a questo tunnel e poi configurarlo; la configurazione è suddivisa in 3 passaggi. Il primo passaggio contiene solo i parametri relativi alla rete, mentre gli altri contengono tutti i restanti parametri che devono essere identici su entrambi i firewall per consentire una comunicazione corretta.
Una volta completata la configurazione, un nuovo tunnel verrà visualizzato nella pagina IPSec.
Nota
Se un endpoint si trova dietro NAT, si consiglia di impostare i valori dei campi Identificatore locale e Identificatore remoto su nomi univoci personalizzati con una sintassi simile a quella di un indirizzo email, ad esempio nsec@site-a e otherdevice@site-b.
Gestione di più reti#
Un singolo tunnel IPsec può gestire più reti locali e remote. In questo caso, NethSecurity crea sempre più child SA per garantire un’ampia compatibilità con i dispositivi remoti. Il comportamento rimane invariato sia per IKEv1 che per IKEv2.
Facendo clic sull’icona della lente di ingrandimento nell’elenco dei tunnel IPsec, è possibile visualizzare i dettagli del tunnel, inclusi lo stato dei child SA e le reti associate a ciascun SA. Dopo aver aggiunto o rimosso una rete, se i child tunnel non si aggiornano automaticamente, potrebbe essere necessario riavviare il servizio. Per riavviare il servizio, fare clic sul pulsante Riavvia nell’angolo in alto a destra della pagina dei tunnel IPsec.
Tunnel IPsec in uno scenario MultiWAN#
In uno scenario multi-WAN, è fondamentale garantire che ciascun endpoint remoto del tunnel venga raggiunto attraverso la stessa interfaccia WAN configurata per il tunnel IPsec.
Per imporre questo comportamento, è necessario creare una rotta statica affinché il traffico verso l’IP remoto venga instradato attraverso il gateway dell’interfaccia WAN specifica assegnata al tunnel.
Ad esempio, se il tunnel è su WAN1 e l’endpoint remoto è 11.22.33.44, la rotta statica specificherà che il traffico verso 11.22.33.44 utilizza il gateway WAN1.