Begleitmaterial zum Unterricht M145 «VPN - Virtual Private Network»

Entfernte Netzwerke sicher verbinden

1. Die Gefahr aus dem Internet

Wo lauert Gefahr im Internet? Erstellen sie dazu eine Auflistung. Was könnten die Gegenmassnahmen sein?

2. Die Bedürfnisse

  • SITE-to-SITE: Geschäftsstellennetzwerke verbinden. Bsp.: Verschiedene Firmenstandorte vernetzen
  • SITE-to-END: Externer Rechner mit Firmennetzwerk verbinden. Bsp.: Remoteverwaltung, Homeoffice
  • END-to-END: Zwei Rechner miteinander verbinden. Bsp.: Netzwerkverwaltung im Intranet, Sichere Webseite mit HTTPS

3. Die Lösung

  • Verbinden von zwei privaten Netzwerken über ein drittes Netzwerk (meistens Internet)
  • Die entstehende Verbindung entspricht einem direkten Netzwerkanschluss
  • VPN ist ein reines SW-Produkt

4. VPN-Theorie erarbeiten

Erarbeiten sie die Theorie und recherchieren sie zu folgenden Themen:

  • Unterschied zwischen Transport- und Tunnelmodus
  • IPsec mit AH oder ESP
  • SW-Tools: Es stehen einige SW-Produkte zur Verfügung. Finden sie heraus wo die folgenden Tools sie unterstützen können und wo diese erhältlich sind:
    (Die Liste ist übrigens nicht abschliessend. Sie dürfen sie gerne mit Produkten ergänzen, die sie kennen oder sogar bereits einsetzten)
    • MS-Windowseigene Tools (Bordmittel)
    • OpenVPN
    • OpenSSH
    • PuTTY
    • pfSense
    • STUNNEL
    • Shrew-Soft VPN-Client

und erstellen sie eine Zusammenfassung. (Sie finden z.B. auf dieser Webseite die entsprechenden Fachbeiträge)

5. VPN-Praxisarbeiten

5.1 VPN-Praxis mit «MS-WINDOWS»

Sie sollen eine VPN-Verbindung zwischen zwei virtuellen Windows-PC’s erstellen. (WIN10) Die beiden Stationen befinden sich im gleichen Subnetz. Wählen Sie eine geeignete IP-Adressierung. (Achtung: Verwenden Sie kein DHCP auf den Clients)

Beschriften Sie das obige Schema mit Netzadressen, Netzmasken und Hostadressen und zeichnen Sie den VPN-Tunnel ein.

An den PC’s:

  • Erkundigen sie sich, welche VPN-Tools, auch WIN-onBoard-Tools, in Frage kommen
  • Richten Sie eine VPN-Verbindung zwischen zwei VM’s ein
  • Überprüfen sie die VPN-Verbindung mit Dateifreigaben
  • Dokumentieren sie die VPN-Konfiguration und Test’s inbesondere alle die von ihnen gewählten Einstellungen
  • Überprüfen bzw. analysieren sie mit einem dritten PC und Wireshark die VPN-Verbindung

Anleitung zu «VPN unter WIN10 einrichten»
Microsoft's Windows ermöglicht es ihnen, ihr Rechner als VPN-Client einzurichten. Sie können ihr Rechner aber auch als VPN-Server konfigurieren, wobei sie externen PC’s die Möglichkeit geben, per VPN auf ihr Gerät zuzugreifen. Um einen Missbrauch durch Dritte zu vermeiden, wird empfohlen, einen neuen Benutzer für die eingehende VPN-Verbindung einzurichten. Auf beiden Maschinen soll darum ein User «test» ohne Administratorenrechte erstellt werden.

Im folgenden die Installationsschritte für zwei VM’s mit vorgegebenen IP’s
(Passen sie die IP-Adressen in diesem Konfigurationsbeispiel ihren Bedürfnissen an)

Server: 10.0.0.1/24

  • «Netzwerk- und Freigabe-Center/Adaptereinstellungen ändern», oder direkt
    via Konsole: «ncpa.cpl»
  • Menüleiste (Mit Alt-Taste sichtbar machen): Datei/Neue eingehende Verbindung
  • Wer darf mit diesem Computer eine Verbindung eingehen: <Ihr lokaler User>
  • Über das Internet
  • An den Protokollen nichts ändern
  • Danach Fenster schliessen

Anschliessend in «Eingehende Verbindungen/Eigenschaften/Netzwerk/Internetprotokoll, Version4 (TCP/IPv4)/Eigenschaften»:

  • IP-Adressen angeben: Von z.B. 10.0.0.99 bis 10.0.0.199 (Achtung: Nur Adressen verwenden, die nicht bereits intern genutzt werden)
  • Option «Aufrufendem Computer Angabe der eigenen IP-Adresse gestatten»
  • Firewalleinstellungen beachten! (Allenfalls Firewall temporär ausschalten)

Client: 10.0.0.2/24

  • Im Netzwerk- und Freigabe-Center «Neue Verbindung oder neues Netzwerk einrichten»
  • Verbindung mit dem Arbeitsplatz herstellen
  • Die Internetverbindung (VPN) verwenden
  • Eine Internetverbindung wird später eingerichtet
  • Internetadresse: 10.0.0.1
  • Zielname: z.B. TBZ-VPN-Verbindung
  • Firewalleinstellungen beachten! (Allenfalls Firewall temporär ausschalten)

Überprüfung über «Netzwerk- und Freigabe-Center/Adaptereinstellungen ändern», oder direkt via Konsole: «ncpa.cpl»

  • Es erscheint neu: «TBZ-VPN-Verbindung»
  • Auf «TBZ-VPN-Verbindung» klicken und «TBZ-VPN-Verbindung» Verbinden User: «Ihr lokaler User» mit Passwort eingeben
  • ipconfig zeigt nun sowohl auf VPN-Server wie auch VPN-Client jeweils zwei IPv4-Adressen
    • Serverseitig: 10.0.0.1 und 10.0.0.99
    • Clientseitig: 10.0.0.2 und 10.0.0.100
  • Auf dem VPN-Server wird in Netzwerkverbindungen eine eingehende
    Verbindung angezeigt
  • Auf dem VPN-Client zeigt der Explorer unter Netzwerk die VPN-Verbindung an
    Erstellen sie auf dem Server einen Ordner und geben sie diesen Ordner frei (Ordnernetzwerkfreigabe). Überprüfen sie im «Netzwerk- und Freigabecenter» unter «Erweiterte Freigabeeinstellung ändern», ob die Freigabe richtig konfiguriert wurde
  • Sie können nun auf dem VPN-Client diese Freigabe überprüfen:
    Zum einen ohne VPN über «\\10.0.0.1\meineFreigabe» und zum anderen über die VPN-Verbindung «\\10.0.0.99\meineFreigabe»

Zur Erinnerung: «\\10.0.0.1\meineFreigabe» ist ein sogenannter UNC-Pfad (Uniform Naming Convention)

5.2 Site-to-End-Praxis «Schulcampus-Intranet zu Home-Office-PC»

(Hinweis: Ein Teil dieser Aufgabe muss zuhause erledigt werden)

Die Anleitung zum Einrichten einer VPN-Verbindung in das Schulcampus-Intranet finden sie Lokal auf dem Intranet unter «anleitungen.<URL-der-Schule>.local». Lesen sie diese Anleitung an der Schule sorgfältig durch. (Von zuhause aus haben sie erst nach dem Einrichten einer VPN-Verbindung Zugriff darauf)

Hausarbeit: Bevor Sie von zuhause aus eine sichere Verbindung zum Schulcampusnetz aufbauen können, muss eine Anwendung mit der Bezeichnung GlobalProtect Agent auf ihrem Betriebssystem installiert sein. Für Betriebssysteme, welche die Anwendung nicht unterstützen, kann das Protokoll XAuth über IPSec eingerichtet werden.

Der Ablauf der Erstinstallation des GlobalProtect Agent sieht wie folgt aus:

  • Stellen sie mit ihrem Webbrowser eine sichere Verbindung zum GlobalProtect Portal an der Schule her: https://vpn.<URL-der-Schule>.ch
  • Authentisieren sie sich mit ihrem Benutzername und Passwort und laden sie den GlobalProtect Agent – passend zu ihrem Betriebssystem – herunter
  • Einrichten des GlobalProtect Agent:
    Benutzername (wie das Schullogin)
    Benutzerpasswort (wie das Passwort zu ihrem Schullogin)
    Portal Adresse: vpn.<URL-der-Schule>.ch
  • Bauen sie eine sichere Verbindung zum Schulnetz auf. Sie können nun dortige Ressourcen nutzen.

Die genauen Installationsanleitungen entnehmen sie dem Kapitel:
«Internet / Mit VPN sicher ins Schulnetz» unter «anleitungen.<URL-der-Schule>.local»

Hinweis: Falls sie die <URL-der-Schule> vergessen haben, fragen sie ihren Dozenten danach.

Beantworten sie nun die folgenden Fragen:

  • Welche IP-Adresse erhält ihr PC im Intranet?
  • Mit welcher IP-Adresse ist ihr PC auf dem Internet unterwegs?
  • Über welches Access-Network gelangen sie ins Internet?

5.3 VPN-Gateway Praxis mit realer HW»

Die Aufgabe besteht darin, zwei LAN’s über eine WAN-Strecke zu verbinden und ein als Home-Office genutzter WIN-PC über das Internet in das Firmennetzwerk einzubinden. Dazu sollen sie VPN-Tunnels einrichten, betreiben und analysieren.
Protokollieren bzw. dokumentieren sie die Arbeitsschritte, die Konfiguration und das Testen in einem Lernjournal und laden sie dieses anschliesend auf den Abgabeorder der Schule hoch. Sie arbeiten in 3-er Teams und übernehmen eine dieser drei Funktionen:

  • Funktion1: LAN1-Teilnehmer
  • Funktion2: LAN2-Teilnehmer
  • Funktion3: WAN-Sniffer

Für diese Übung werden ihnen vom Dozenten IP-Adressbereiche zugewiesen. Sämtliche IP-Adressen sind statisch zu konfigurieren. Es werden virtuelle Rechner eingesetzt.

Es stehen jeder Gruppe zwei VPN-fähige Multiport-Router vom Typ Ubiquiti EdgeRouterX als VPN-Gateway zur Verfügung. Dazu folgende zwei Hinweise:
Vergewissern sie sich, dass auf beiden Geräten die aktuelle Firmware installiert ist. Diese Router unterstützten bisher mit IPsec nur Site-to-Site Verbindungen. Bei End-to-Site müsste man auf das unsichere PPTP zurückgreifen, worauf wir in dieser Übung aber verzichten werden.

Der VPN-Gateway ist als VPN-Tunnel mit IPsec konfiguriert. Für beide VPN-Gateway gilt: eth0 = WAN und eth1 = LAN

Analysieren sie die IPsec-Parameter dieser VPN-Verbindung. (Welche Parameter wären übrigens alternativ möglich?)

  • Description: MYVPN
  • Encryption: AES-128
  • Hash: SHA-1
  • DH-Group: 14 (Diffie-Hellmann-Group)
  • Pre-shared secret: password

Aufträge:

  • Nehmen sie das Netzwerk in Betrieb
  • LAN1-Teilnehmer kommuniziert mit LAN2-Teilnehmer z.B. mit Dateifreigaben oder ping, wobei gleichzeitig der WAN-Sniffer mit Wireshark die IP-Pakete im WAN untersucht (IPsec-Parameter studieren)
  • Ein Home-Office-Mitarbeiter (gemäss Bild oben) möchte sein PC als VPN-Client in LAN1 betreiben: Erklären sie das Vorgehen, die möglichen Protokolle und welche SW dazu angeboten wird und nehmen sie einen solchen Home-Office-Arbeitsplatz in Betrieb
  • Hier noch die ultimative Frage: Warum müssen sich die über VPN verbundenen LAN’s in verschiedenen Sunetzen befinden?

Demo-Setup mit UBIQUITI EdgeRouter ER-X für eine Site-to-Site VPN-Verbindung mit IPsec

This is a School-demo-setup from JuergArnold for UBIQUITI EdgeRouter ER-X. For productive implementations, more effort is required e.g. Reasonable firewall-settings, DHCP and possibly NAT.

Requirements:

  • Firmware: EdgeRouter-X v1.9.1.1
  • VPN-Site-to-Site with IPsec for school demonstration. The configuration should be done exclusively via the EdgeMax-Webinterface.

Note:

  • LAN1 (Site1) must be a subnet other than LAN2 (Site2), otherwise it will not be routed

Terms:

  • VPN-Gateway LAN IP = LAN-side VPN-Gateway-IPAdress
  • VPN-Gateway "Local IP": WAN IP on "my" side (Official EdgeMAX naming)
  • VPN-Gateway "Peer IP": WAN IP on the "other" side (Official EdgeMAX naming)
  • "Local Subnet": LAN Networkadress on "my" side (Official EdgeMAX name)
  • "Remote Subnet": LAN Networkadress on the "other" side (Official EdgeMAX naming)
  • Static IP: Fixed IP-Adress (The "opposite" of dynamic- or IP-Adress-distribution with DHCP)

Installation-Steps:

  1. Reset the ER-X Device
  2. ER-X Basic-Setup
    WAN:eth0 LAN:eth1-eth4
    Static IP for EdgeMax-Webinterface
    No DHCP (In this case not required)
    It enforces you to enter Gateway and DNS, just do it
  3. ER-X reboot and Ethernetcabel connect to eth1
    (Take care of the adequate IP adress on your Admin-PC)
  4. ER-X-System: Delete Gateway and DNS entry
  5. ER-X VPN-Configuration (IPsec Site-to-Site):
    Peer IP (whitout Subnetmask, although an entry would NOT be denied)
    Local IP whitout Subnetmask
    Pre-shared secret: like a password, same on both VPN-Gateways
    Local subnet and Remote subnet: With Subnetmasks
  6. Prepare a PC in each LAN
    Static IP according to ER-X Local Subnet Settings
    Make sure, the Standardgateway (Router) of the PC is the IP-Adress of the VPN-Gateway (Local Subnet IP)
    Pay attention, the firewall will ignore ICMP-Commands like ping (Turn off the firewall temporarily)
  7. To establish a VPN connection, you have to ping a PC in the remote-LAN
    Only now, the VPN-Gateway will show "VPN-Status UP"
  8. Testing of the VPN-connection
    ping VPN-Gateway-Local-IP to VPN-Gateway-Peer-IP
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN1)
    ping PC (LAN1) to VPN-Gateway-LAN-IP (LAN2)
    ping PC (LAN1) to PC (LAN2)
    ...and reverse directions