= Instellen VPN tunnel = Vergeet niet om eerst een Netwerk check te doen, bij ''Netwerk -> Netwerk check''. De IPSEC checks moeten hier OK zijn alvorens u verder gaat. (vanaf SYN-3 versie 4.3) Het maken van een nieuwe tunnel kan vervolgens bij ''Internet'' -> ''Ipsec VPN tunnels'' -> ''Toevoegen''. == Voorbeeld == Hieronder een praktisch voorbeeld van een VPN opstelling: [[Image(ipsecexample.png)]] We zien in vestiging een 'lastige' VPN situatie, omdat hier gebruik gemaakt word van een ADSL router die een eigen subnet heeft. (10.0.0.0/24) We gaan er vanuit dat de configuratie plaatsvindt vanuit vestiging 2. Zorg er van te voren voor dat u vanuit vestiging 2 bij de SCC op vestiging 1 kan. (deze firewall instellingen dient u van te voren ter plekke te maken op vestiging 1) U logt in op de internetserver van vestiging 2 (https://192.168.2.1:10000) en maakt een tunnel aan met de volgende gegevens: * Instellingen hier - Internet IP adres: 11.44.33.22 * Instellingen hier - Lokaal netwerk: 192.168.2.1/24 * Instellingen daar – Internet IP adres: 1.2.3.4 * Instellingen daar – Netwerk achter server: 192.168.1.0/24 De publieke sleutel van de server vullen we niet in, omdat we gebruik maken van automatische configuratie. Hier vult u het adres in waarop de SCC van de andere server draait: 1.2.3.4. Hierna kiezen we voor ''Opslaan en autoconfiguratie'' en laten we de andere SCC automatisch configureren. De tunnel zal nu actief moeten worden. We hoeven dus geen rekening te houden met het subnetje van de ADSL router. We gaan er wel vanuit dat deze router inkomende connecties naar ons doorstuurt. Dit moet u wellicht nog instellen in de router. Kijk hier als u problemen ondervind: [wiki:help/scc/vpn/listtunnels] = SYN-3 ipsec instellingen = Het is ook mogelijk om een IPSEC verbinding te met andere apparaten, dit zijn de settings die SYN-3 standaard gebruikt en ondersteund: * Gebruikt protocol: '''ESP''' * Agressive mode: '''no''' * Perfect forward secrecy: Staat standaard aan (aanbevolen) maar kan uit indien nodig. * IKE versie: Staat standaard op versie 1, maar kan ook op versie 2. === Ondersteund algoritmen === De ondersteunde algoritmen hangen af van de libreswan versie. Standaard worden er zoveel mogelijk veilige algoritmen ondersteund. De ondersteunde algoritmen zijn met onderstaand commando op te vragen. Het woord "IKE" achter IKEv1: en IKEv2: geeft aan of het algoritme ondersteund word met de betreffende ike versie. In SYN-3 versie 5 met libreswan versie 3.21: {{{ [Syn-3] root@server ~# ipsec algparse -v /usr/libexec/ipsec/algparse Initializing NSS /usr/libexec/ipsec/algparse Encryption algorithms: /usr/libexec/ipsec/algparse AES_CCM_16 IKEv1: ESP IKEv2: ESP FIPS {256,192,*128} (aes_ccm aes_ccm_c) /usr/libexec/ipsec/algparse AES_CCM_12 IKEv1: ESP IKEv2: ESP FIPS {256,192,*128} (aes_ccm_b) /usr/libexec/ipsec/algparse AES_CCM_8 IKEv1: ESP IKEv2: ESP FIPS {256,192,*128} (aes_ccm_a) /usr/libexec/ipsec/algparse 3DES_CBC IKEv1: IKE ESP IKEv2: IKE ESP FIPS [*192] (3des) /usr/libexec/ipsec/algparse CAMELLIA_CTR IKEv1: ESP IKEv2: ESP {256,192,*128} /usr/libexec/ipsec/algparse CAMELLIA_CBC IKEv1: IKE ESP IKEv2: IKE ESP {256,192,*128} (camellia) /usr/libexec/ipsec/algparse AES_GCM_16 IKEv1: IKE ESP IKEv2: IKE ESP FIPS {256,192,*128} (aes_gcm aes_gcm_c) /usr/libexec/ipsec/algparse AES_GCM_12 IKEv1: IKE ESP IKEv2: IKE ESP FIPS {256,192,*128} (aes_gcm_b) /usr/libexec/ipsec/algparse AES_GCM_8 IKEv1: IKE ESP IKEv2: IKE ESP FIPS {256,192,*128} (aes_gcm_a) /usr/libexec/ipsec/algparse AES_CTR IKEv1: IKE ESP IKEv2: IKE ESP FIPS {256,192,*128} (aesctr) /usr/libexec/ipsec/algparse AES_CBC IKEv1: IKE ESP IKEv2: IKE ESP FIPS {256,192,*128} (aes) /usr/libexec/ipsec/algparse SERPENT_CBC IKEv1: IKE ESP IKEv2: IKE ESP {256,192,*128} (serpent) /usr/libexec/ipsec/algparse TWOFISH_CBC IKEv1: IKE ESP IKEv2: IKE ESP {256,192,*128} (twofish) /usr/libexec/ipsec/algparse TWOFISH_SSH IKEv1: IKE IKEv2: IKE ESP {256,192,*128} (twofish_cbc_ssh) /usr/libexec/ipsec/algparse CAST_CBC IKEv1: ESP IKEv2: ESP {*128} (cast) /usr/libexec/ipsec/algparse NULL IKEv1: ESP IKEv2: ESP [] /usr/libexec/ipsec/algparse Hash algorithms: /usr/libexec/ipsec/algparse MD5 IKEv1: IKE IKEv2: /usr/libexec/ipsec/algparse SHA1 IKEv1: IKE IKEv2: FIPS (sha) /usr/libexec/ipsec/algparse SHA2_256 IKEv1: IKE IKEv2: FIPS (sha2 sha256) /usr/libexec/ipsec/algparse SHA2_384 IKEv1: IKE IKEv2: FIPS (sha384) /usr/libexec/ipsec/algparse SHA2_512 IKEv1: IKE IKEv2: FIPS (sha512) /usr/libexec/ipsec/algparse PRF algorithms: /usr/libexec/ipsec/algparse HMAC_MD5 IKEv1: IKE IKEv2: IKE (md5) /usr/libexec/ipsec/algparse HMAC_SHA1 IKEv1: IKE IKEv2: IKE FIPS (sha sha1) /usr/libexec/ipsec/algparse HMAC_SHA2_256 IKEv1: IKE IKEv2: IKE FIPS (sha2 sha256 sha2_256) /usr/libexec/ipsec/algparse HMAC_SHA2_384 IKEv1: IKE IKEv2: IKE FIPS (sha384 sha2_384) /usr/libexec/ipsec/algparse HMAC_SHA2_512 IKEv1: IKE IKEv2: IKE FIPS (sha512 sha2_512) /usr/libexec/ipsec/algparse Integrity algorithms: /usr/libexec/ipsec/algparse HMAC_MD5_96 IKEv1: IKE ESP AH IKEv2: IKE ESP AH (md5 hmac_md5) /usr/libexec/ipsec/algparse HMAC_SHA1_96 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (sha sha1 sha1_96 hmac_sha1) /usr/libexec/ipsec/algparse HMAC_SHA2_512_256 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (sha512 sha2_512 hmac_sha2_512) /usr/libexec/ipsec/algparse HMAC_SHA2_384_192 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (sha384 sha2_384 hmac_sha2_384) /usr/libexec/ipsec/algparse HMAC_SHA2_256_128 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (sha2 sha256 sha2_256 hmac_sha2_256) /usr/libexec/ipsec/algparse AES_XCBC_96 IKEv1: ESP AH IKEv2: ESP AH FIPS (aes_xcbc) /usr/libexec/ipsec/algparse AES_CMAC_96 IKEv1: ESP AH IKEv2: ESP AH FIPS (aes_cmac) /usr/libexec/ipsec/algparse DH algorithms: /usr/libexec/ipsec/algparse MODP1024 IKEv1: IKE ESP AH IKEv2: IKE ESP AH (dh2) /usr/libexec/ipsec/algparse MODP1536 IKEv1: IKE ESP AH IKEv2: IKE ESP AH (dh5) /usr/libexec/ipsec/algparse MODP2048 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (dh14) /usr/libexec/ipsec/algparse MODP3072 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (dh15) /usr/libexec/ipsec/algparse MODP4096 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (dh16) /usr/libexec/ipsec/algparse MODP6144 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (dh17) /usr/libexec/ipsec/algparse MODP8192 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS (dh18) /usr/libexec/ipsec/algparse DH19 IKEv1: IKE IKEv2: IKE ESP AH FIPS (ecp_256) /usr/libexec/ipsec/algparse DH20 IKEv1: IKE IKEv2: IKE ESP AH FIPS (ecp_384) /usr/libexec/ipsec/algparse DH21 IKEv1: IKE IKEv2: IKE ESP AH FIPS (ecp_521) /usr/libexec/ipsec/algparse DH23 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS /usr/libexec/ipsec/algparse DH24 IKEv1: IKE ESP AH IKEv2: IKE ESP AH FIPS }}}