Dit document is bedoeld om gebruikers van een Greenbow VPN client een VPN verbinding op te laten bouwen met een ZyWALL router. De instructies kunnen ook worden gebruikt voor gebruik van Greenbow i.c.m. bijvoorbeeld een ZyXEL Prestige 652 ADSL router, die over vergelijkbare VPN mogelijkheden beschikt. ZyXEL routers die alleen over VPN client mogelijkheden beschikken (zoals de Prestige 324), werken niet samen met Greenbow.
We doen twee aannames:
Mensen moeten vanaf verschillende locaties met niet van te voren bekende publieke IP-adressen verbinding kunnen maken
We willen zo min mogelijk verschillende dingen in de VPN client instellen.
De instellingen hieronder werken met de ZyWALL 10W welke voorzien is van de nieuwste firmware. Ze zijn te bereiken via de ingebouwde Web configurator van de ZyWALL.
Ga in het hoofdmenu naar VPN en edit de regel welke de verbinding weergeeft.
Neem de instellingen over als hieronder, m.u.v. de instellingen onder .
Nat Traversal:
Aangezien in veel gevallen een gebruiker van een VPN client "mobiel" is, zal hij of zij in veel gevallen achter een NAT router zitten welke niet altijd het ESP protocol door zal laten. Daarom is het aan te bevelen NAT- traversal standaard aan te vinken, mits de router of router/modem deze mogelijkheid heeft. Dit gaat weliswaar iets ten koste van de performance maar zal wel in alle gevallen een werkende VPN verbinding opleveren. De huidige versies van de VPN-client herkent automatisch of deze optie wel of niet gebruikt dient te worden zonder dat daar verder in de client iets voor hoeft te worden ingesteld.
Neem hier het eerste IP adres over van het netwerk waarin de ZyWALL actief is. Subnet mask daaronder dient overeen te komen met het subnet dat door dit netwerk gebruikt wordt.
Neem hier de Pre- shared key over van de VPN verbinding.
Neem hier het WAN IP adres van de ZyWALL zelf over. Neem niet het WAN IP-adres van een eventuele voorliggende NAT router.
Klik op <Advanced> om de gevorderde instellingen in te voeren.
Neem de instellingen over als hierboven en klik op "Apply" en nogmaals op "Apply" om de instellingen vast te leggen
De instellingen hieronder werken met de ZyWALL 5, 35 en 70 en gaan uit van de nieuwste firmware. Ze zijn te bereiken via de ingebouwde Web configurator van de ZyWALL. Neem de instellingen over als hieronder, m.u.v. de instellingen onder
Ga naar VPN > tabblad VPN rules (IKE)
Maak een nieuwe rule aan door op de "+" te klikken als hierboven
Neem de volgende instellingen over, met uitzondering van de instellingen onder (voorbeeld 1: firmware 3.64)
Voorbeeld 2: Firmware 4.00 en later
Nat Traversal:
Aangezien in veel gevallen een gebruiker van een VPN client "mobiel" is zal hij of zij in veel gevallen achter een NAT router zitten welke niet altijd het ESP protocol door zal laten. Daarom is het aan te bevelen NAT- traversal standaard aan te vinken, mits de router of router/modem deze mogelijkheid heeft. Dit gaat weliswaar iets ten koste van de performance maar zal wel in alle gevallen een werkende VPN verbinding opleveren. De huidige versies van de VPN-client herkent automatisch of deze optie wel of niet gebruikt dient te worden zonder dat daar verder in de client iets voor hoeft te worden ingesteld.
Vul hier het WAN IP adres in van de ZyWALL zelf. Neem hiervoor niet het WAN IP-adres van een eventuele voorliggende NAT router.
Vul hier de door u gekozen beveilingingsleutel in. Klik hierna op Apply
Property rules aanpassen. Edit vervolgens dezelfde regel (klik op het aangegeven icoontje van de juiste regel):
Neem de instellingen over als hierboven, maar bij vult u het eerste IP adres en het subnet masker in van het LAN waarin de ZyWALL actief is. Klik hierna op Apply
De meeste oudere modellen routers kunnen het best worden geconfigureerd met Telnet (of serieel). De webpagina's van de verschillende modellen routers wijken van elkaar af, maar de Telnet menu's van de verschillende modellen zijn identiek.
Maak onder menu 27.1 een "wildcard" profiel aan in de router (dus Secure Gateway Address= 0.0.0.0). In dit profiel worden de meeste aanpassingen hieronder gedaan. Dit profiel moet het laatst mogelijke profiel zijn (dus profiel 10 in een ZyWall 10, Profiel 50 in ee ZyWall 50 etc.) en ook enige wildcard profiel zijn in de router!
In het nieuwe profiel passen we de gemarkeerde gegevens aan:
Menu 27.1.1 - IPSec Setup
Index #= 1 Name= CnxVpn1
Active= Yes Keep Alive= No Nat Traversal= No
Local ID type= IP Content=
My IP Addr= 0.0.0.0
Peer ID type= IP Content=
Secure Gateway Address= 0.0.0.0
Protocol= 0 DNS Server= 0.0.0.0
Local: Addr Type= SUBNET
IP Addr Start= 192.168.1.0
End/Subnet Mask= 255.255.255.0
Port Start= 0 End= N/A
Remote: Addr Type= N/A
IP Addr Start= N/A End/Subnet Mask= N/A
Port Start= N/A End= N/A
Enable Replay Detection= No
Key Management= IKE
Edit Key Management Setup= No
Press ENTER to Confirm or ESC to Cancel:
Een (willekeurige) naam bij "name" instellen
lokale adres type en gegevens instellen. In dit voorbeeld subnet 192.168.1.0 met masker 255.255.255.0.
Alleen wanneer de router achter een (andere) NAT-router staat, het publieke IP-adres in stellen achter
Local ID type= IP Content=
Edit Key Management Setup= No met de spatie balk op <<Yes>> zetten om in het onderliggende menu te komen.
Menu 27.1.1.1 - IKE Setup
Phase 1
Negotiation Mode= Main
Authentication Method= Pre-Shared Key
Pre-Shared Key= 12345678
Certificate= N/A
Encryption Algorithm= 3DES
Authentication Algorithm= SHA1
SA Life Time (Seconds)= 1800
Key Group= DH2
Phase 2
Active Protocol= ESP
Encryption Algorithm= 3DES
Authentication Algorithm= SHA1
SA Life Time (Seconds)= 1200
Encapsulation= Tunnel
Perfect Forward Secrecy (PFS)= DH2
Press ENTER to Confirm or ESC to Cancel:
Preshared key instellen (12345678 in dit voorbeeld en deze zal bij alle clienten van deze router identiek moeten zijn).
Alle hierboven gemarkeerde gegevens identiek instellen met het voorbeeld. Sla de gegevens op en verlaat Telnet.
De SA Life Time van de twee fases zijn onder Parameters van het instel scherm van de VPN client te vinden.
Greenbow VPN client 2.03 installeren onder Windows
Let op: Greenbow werkt met meerdere versies van Windows. De exacte afbeeldingen kunnen onder andere versies iets afwijken van de voorbeelden hieronder. In de onderstaande beschrijving is uitgegaan van WIndows XP.
We zijn gegaan voor een instelling (in de ZyXEL) die minimale wijzigingen bij de VPN client vereist.
Klik met rechts op het pictogram in de taak balk
Klik met rechts op configuratie en kies voor New Phase 1.
Configureer de eerste fase:
Interface instellen op "*" zodat mensen die steeds andere LAN of inbel-IP-adressen krijgen, dit niet steeds hoeven te wijzigen ("*" gebruiken kan problemen geven als er meerdere actieve netwerkinterfaces beschikbaar zijn, dan moet het juiste IP-adres wel worden ingesteld).
remote address invullen, dat mag een IP-adres, vast of dyndns URL zijn (62.177.153.186 in dit voorbeeld).
Preshared Key invullen (12345678 in dit voorbeeld).
Druk op .
Klik met rechts op de aangemaakte verbinding en kies "Add Phase 2"
Configureer de tweede fase. Er zijn hier kleine verschillen tussen de versies van Greenbow. Hieronder het venster dat in gebruik was bij Greenbow versies tot en met versie 2.5 .
Zet het "Local Address" staan op 1.2.3.4, of een ander ongebruikt lokaal ip adres, zodat het IP-adres van de computer waarop de VPN-client draait wordt gebruikt (dat is geen probleem bij inbelverbindingen of netwerken met unieke bereiken) of stel zelf een virtueel IP-adres in. In de "SA monitor" van de ZyXEL verschijnen ziet u het door de client gebruikte IP-adres verschijnen.
Let op: bij het (gelijktijdig) gebruik van meerdere VPN-clienten moeten deze adressen uniek zijn en mogen deze niet overlappen met andere in de VPN router geprogrammeerde bereiken.
Stel het "Netwerk Address" in van het VPN LAN bij Network Address (192.168.1.0 in dit voorbeeld).
Vink subnet aan en stel dat correct in (255.255.255.0 in dit voorbeeld).
Druk ook hier op .
Hieronder hetzelfde venster in versie 2.51
Hierna kunt u het venster sluiten (op het kruisje rechtsboven drukken).
Het opbouwen van de verbinding is geheel transparant. Wanneer de client werkt (dus het pictogram in de taakbalk staat) en je een verbinding probeert te maken met een IP-adres in het VPN-LAN wordt de verbinding automatisch opgezet.
Tijdens het verbonden zijn met de VPN is het gewone netwerk en/of Internet verkeer niet geblokkeerd. Dit is veiliger (maar ook langzamer) te maken door al het verkeer via de VPN verbinding te forceren door een 0.0.0.0 masker te gebruiken.
Tenzij er WINS, een bedrijfs DNS (waar alle interne namen bekend zijn), of LMHOSTS bestanden op de lokale computer worden gebruikt, kunnen computers aan de andere kant van de VPN alleen op IP-adres en niet op naam worden bereikt.
Het inloggen op Windows servers en Samba servers (op IP-adres) kan, wanneer Netbios over IP door de VPN wordt doorgelaten.
Gebruik geen overlappende bereiken. Dus als bijvoorbeeld de ZyWall achter een Speedtouch met IP-adres 10.0.0.138 zit, dan niet ook aan de kant van de Greenbow VPN-client een 10.0.0.x adres gebruiken. Dan raakt de ZyWall de weg kwijt.
Waneer er wel een verbinding tot stand komt, maar er geen data door komt (gebruikmakend van IP-adressen), dan kan het liggen aan het niet correct doorlaten of doorsturen van IPsec door een tussenliggende router.
Volgens de documentatie ondersteunt de Greenbow VPN client "NAT Traversal" maar dit is verder nergens terug te vinden in de documentatie of de instellingen.
Greenbow blijft (onder Windows XP) werken ook als je de Firewall voor Internet-verbindingen inschakelt (via Eigenschappen netwerkkaart - Tabblad Geavanceerd). Dit inschakelen is zeer nadrukkelijk aan te raden! Het inschakelen van de TCP/IP-filtering heeft ook geen nadelige effecten, tenmiste tot je instelt dat de computer niets accepteert. Want dan accepteert de computer ook echt niets meer.
Greenbouw werkt alleen door routers welke IPsec pass-through ondersteunen.
Indien Greenbow automatisch een VPN verbinding opstart, maar niet "door" de router komt blijft het aangegeven IP-adres wel onbereikbaar voor andere vormen van VPN. De-activeer daarom Greenbow indien u gebruik wenst te maken van een andere VPN verbinding.
Mocht het niet lukken, dan staan in vpndebug.html veel tips en de gegevens die nodig zijn om u te kunnen helpen.
Greenbow is getest in combinatie met Mocht u echter Service pack 2 installeren op een computer waar eerder al Greenbow op stond, is het zeer waarschijnlijk dat Greenbow niet meer goed werkt. In dit geval dient u Greenbow in zijn geheel te de-installeren en opnieuw te installeren. V`ersie 2.50 build 019 is getest onder Windows XP SP2.
De instelling DH1024 in Greenbow komt overeen met DH2 bij het instellen van de ZyWALL router.
Veel gebruikers van Greenbow maken zowel thuis als op het werk gebruik van dezelfde laptop. Dan kan het voorkomen dat de laptop op het werk het eigen netwerk niet ziet. In de thuissituatie zal automatisch een VPN verbinding worden opgezet op het moment dat er verkeer naar het remote LAN wordt gegenereerd.
Is men echter op de zaak: dan wil men juist niet dat er een VPN tunnel wordt opgezet. De VPN connectie wordt echter automatisch opgestart omdat er verkeer wordt gegenereerd, dit keer onbedoeld en ongewenst. Dit verkeer zal het LAN immers nooit bereiken. Met gebruik van de tool VPNstart.exe kan men er voor kiezen Greenbow niet automatisch, maar handmatig op te laten starten. Bijvoorbeeld via een icoontje op de desktop.
.
Mocht u echter Service pack 2 installeren op een computer waar eerder al Greenbow op stond, is het zeer waarschijnlijk dat Greenbow niet meer goed werkt. In dit geval dient u Greenbow in zijn geheel te de-installeren en opnieuw te installeren. V`ersie 2.50 build 019 is getest onder Windows XP SP2.