Affärssystem: KONFIGURATION AV VPN-SERVER

Program: Vpn.01.PROG Revision 2005-06-15
Beskrivning av rutin i Affärssystemet SystemQ

Flik: Servrar
Flik: Tunnlar
Flik: Setup
Flik: Firewall
Flik: Infoga
Flik: Infoga RW

Flik: Servrar

Här listas alla servrar som du administrerar
Dubbelklicka på den server du vill administrera

Flik: Tunnlar

Här visas alla tunnlar som är upplagda
dubbelklicka på den du vill kontrollera/ändra

Flik: Setup

Interfaces Brukar använda %defaultroute då används samma kort som vanlig internet trafik, behövs bara ändras om man vill använda ett annat nätverkskort till VPN
nattraversal ska vara yes endast om man har hemanvändare som använder brandvägg
för att detta ska fungera måste servern vara patchad för X.509 samt NAT-T
Eth0mask Nätmask för Eth0 interface
Eth1mask Nätmask för Eth1 interface
Def gateway Ipadress till Default Gateway
Int_if Vilket kort används internt
tex. eth0, eth1
Ext_if Vilket kort används externt på internetsidan
tex. eth0, eth1, ppp0
Natnet Interna nätverket
tex. 192.168.31.0/24
Publik DNS Adress till en publik dns server
används för att testa internetuppkoppling
This Fullständigt datornamn
tex. dns.cyberstore.se
ADSL username Användarnamn för ADSL uppkoppling
ADSL password Lösenord för ADSL uppkoppling
Admin e-mail Administratörs mailadress för felmeddelanden m.m.
ADSL Om det är ADSL uppkoppling
Används främst om det uppstår problem med uppkoppling
tex. startar om LFConnectionKeeper
Reboot När detta är valt och vi inte har kontakt med Internet startas brandväggen om
Int ip Interna ipadressen
Wan ip Externa ipadressen

WAN står för Wide Area Network och är det IP-nr som vi har på Internetsidan av brandväggen. WAN IPnr kallas även för Publikt IPnr.

Det finns två typer av Internetanslutningar, antingen med fast IP-nr, då ändras aldrig WAN-IPnr eller dynamiskt IP-nr, då man får ett nytt IP-nummer varje gång datorn startar om eller oftare. IP-nr delas då ut av en tjänst som heter DHCP och ligger på Internet-leverantörens server.

Setup.Status$(1) EXT-IF
Setup.Status$(2)
Setup.Status$(3)
Setup.Status$(4) Setup.Date_time$(1) Uppdateras av Setup.Date_time$(1) med tidpunkt för nytt IP-nr

Flik: Firewall

Här kan du blocka en pc från all kontakt med internet eller öppna någon specifik port som datorn får använda
Du kan även göra portforward
I listan syns alla avancerade inställningar du gjort

Flik: Infoga

Här konfigureras tunnlar mot en annan FreeSwan server
Type: Skall vara VPN
Tunnel
Tunnel.Name$ 		Namn på tunnel som visas under fliken Tunnlar
Leftname: Namn
Left: Kan antingen vara Wan ip eller Interfaces
Leftnexthop: Skall vara samma som Def Gateway
Leftsubnet: Skall vara samma som Natnet
Right
Tunnel.Right$ 		Tunnelns WAN-adress.

Uppdateras av mail från brandväggen på andra sidan tunneln.

Rightname:
Rightnexthop:
Rightsubnet:
Spi 1-4:
Espenckey:
Espauthkey:
Tunnel Status 1:
Tunnel.Status$(1) 		Skall vara OK för att aktivera denna tunnel
Tunnel Status 2:
Tunnel.Status$(2)
Tunnel Status 3:
Tunnel.Status$(3)
Tunnel Status 4:
Tunnel.Status$(4)
Ping adress: Används för att testa kommunikationen
Mail adress tunnel: Anger vilken adress servern ska skicka mail om den får ny ipadress
Datum/Tid 1: Tunnel.Date_time$(1) Ny tunnel right

Uppdateras av med tidpunkt för nytt WAN IP-nr

Datum/Tid 2:
Datum/Tid 3: 1.

2. Datum/tid då ipsec.conf skapades

3. Datum/Tid senaste gången ipsec startades om

Datum/Tid 4-6: 4.

5.

6.

Datum/Tid 7: 7. Datum och tid senaste gången Tunnelkommunikationen var OK

Flik: Infoga RW

Här konfigureras RoadWarrior
rightsubnetwithin kan endast användas om du använder nattraversal
Type: Ska vara RW när man använder certifikat
Om man använder PSK istället för certifikat ska det vara RW2
Tunnel: Namn på tunnel som visas under fliken Tunnlar:
Left: Skall vara samma som Interfaces
Leftsubnet: Skall vara samma som Natnet
Leftid: Skall vara samma som This
Right: Ska vara %any om RoadWarriorn anv Man kan även lägga in en specifik ipadress om hemanvändaren har fst ip och inte kommer koppla upp sig från något annat ställe
Rightsubnetwithin: Om man sitter bakom en brandvägg när man ska ansluta till internet
Kan endast användas om nattraversal är satt till yes
Rightid: E-postadress som är angett när man skapade certifikat för autensiering

Ombyggnad av databas

dbexport -v -s vpn.exp -c -z roman8 :8806/VPN

ELOQUENCE DBEXPORT (C) Copyright 2002-2003 Marxmeier Software AG (B.07.00)

Code set            : hp-roman8
Processing database : :8806/VPN
Export file         : vpn.exp

DATA SET               RECORDS  COUNT
---------------- --- - -------- --------
SETUP            001 M        1        1
DEFAULT          002 M        0        0
TUNNEL           003 M        3        3

dbpurge :8806/VPN

schema -s 8806 -b VPN /opt/SystemQ/schemafiler/VPN.DATA

dbcreate :8806/VPN

[root@fw02 /databas]# dbimport -v -s vpn.exp  -z roman8 :8806/VPN

ELOQUENCE DBIMPORT (C) Copyright 2002-2003 Marxmeier Software AG (B.07.00)

Code set            : hp-roman8
Processing database : :8806/VPN
Import file         : vpn.exp
Records/Transaction : 100

DATA SET               COUNT
---------------- --- - --------
SETUP            001 M        1
DEFAULT          002 M        0
TUNNEL           003 M        3
Affärssystem SystemQ Handbok
Affärssystem 		Copyright ©1979-2005
Qwert Systems AB
26 års kunskaper 		Support
Affärssystem