Argomento precedente: VPN: appliance di rete privata virtualeArgomento successivo: Generico

Informazioni di riferimentoGuida di riferimento al catalogo delle applianceCatalogo di sistemaGatewayVPN2: appliance di rete privata virtuale

VPN2: appliance di rete privata virtuale

Ultima versione: 1.0.2-1

In breve

Catalogo

Sistema

Categoria

Gateway

Volumi dell'utente

no

Num. minimo memoria

96 MB

OS

Linux

Vincoli

no

Panoramica funzionale

VPN2 è un'appliance di Rete Privata Virtuale che funziona nelle reti IPv4 e IPv6 ed è progettata per fornire tunnel protetti e affidabili per le comunicazioni tra le griglie come pure l'accesso remoto alle applicazioni e alle appliance. Il VPN2 può anche operare senza utilizzare i tunnel VPN, e in questo caso funziona come un gateway di cleartext IN/OUT combinato. VPN2 serve anche per l'interconnessione delle griglie di CA AppLogic di Ipv4 e IPv6. VPN2 si basa su OpenVPN, OpenSSH e sui pacchetti software open source di Racoon.

VPN ha tre modalità operative di base: server, client o entrambe.

Il VPN2 supporta IPSec, i file segreti condivisi, i certificati SSL e i file di codice SSH per l'autenticazione e la crittografia. Si può usare un normale client di OpenVPN/OpenSSH su una workstation remota per connettersi al VPN2, che a sua volta garantisce un accesso protetto ai componenti interni di un'applicazione eseguita su CA AppLogic. L'appliance di VPN2 supporta la generazione di file segreti condivisi, di certificati SSL e di codici SSH.

Per accedere in remoto a un'applicazione di CA AppLogic su un tunnel VPN protetto usando VPN2, si può usare il software lato client di OpenVPN oppure OpenSSH sul computer del client (o su altri software compatibili).

Limite

Risorse

Risorsa

Minimo

Massimo

Predefinito

CPU

0.1

16

0.2

Memoria

96 MB

32 GB

96 MB

Larghezza di banda

1 Mbps

2 Gbps

250 Mbps

Terminali

Name

Direzione

Protocollo

Description

clt

in

qualsiasi

Input comune per tutto il traffico in entrata che viene diretto attraverso il terminale di ingresso quando VPN opera come client. Se VPN è configurato per stabilire un tunnel sul terminale di ingresso, i pacchetti inviati a clt sono diretti a un tunnel stabilito o lasciati cadere, se il tunnel non è operativo.

in

in, out

qualsiasi

Riceve tutto il traffico crittografato (in entrata o in uscita) per gli IP indirizzi assegnati

srv

out

qualsiasi

Output comune per tutto il traffico in uscita che viene diretto attraverso il terminale di ingresso quando VPN opera come server. Tutto il traffico è filtrato mediante le proprietà tcp_ports, udp_ports, ssh_ports e aux_protocols prima di essere inviato attraverso srv.

fs

out

nfs

Accesso a un file system di rete per l'archiviazione dei file condivisi, consentendo un accesso ai file di scrittura/lettura su NFS. Questo volume è montato come /mnt/fs nello spazio del file system dell'appliance ed è utilizzato per l'archiviazione dei codici e dei certificati di crittografia. Il server connesso deve avere una condivisione di lettura/scrittura denominata /mnt/data. Né il volume di dati, né il volume montato su NFS sono richiesti se VPN funziona in modalità di cleartext. Questo terminale può rimanere non connesso se non viene utilizzato

log

out

cifs

Accesso a un file system di rete basato su CIFS per l'archiviazione dei log IIS. Il server connesso deve permettere accessi anonimi e avere una condivisione di lettura/scrittura denominata shared. Questo terminale può essere lasciato non connesso se non è utilizzato.

mon

out

cce

Serve per le statistiche di utilizzo delle prestazioni e delle risorse. Può rimanere disconnesso se non è usato.

Il terminale di ingresso viene utilizzato per il traffico crittografato (in entrata o in uscita.) Questo terminale viene configurato mediante la scheda Interfacce dell'editor di Configurazione applicazione.

Proprietà

Proprietà generali

Nome della proprietà

Tipo

Description

dns1

Indirizzo IP

Definisce il server DNS primario cui VPN2 inoltrerà le richieste DNS. Se lasciato vuoto, VPN2 utilizzerà i server DNS principali. Predefinito: vuoto

dns2

Indirizzo IP

Definisce il server di backup DNS cui VPN2 inoltrerà le richieste DNS se il primario non è disponibile. Se lasciato vuoto, VPN2 utilizzerà il server DNS di backup. Predefinito: vuoto

Proprietà VPN

Nome della proprietà

Tipo

Description

modalità

Stringa

Modalità di operazione. I valori possibili sono:

server - VPN2 opera in modalità server, accettando il traffico in entrata da tunnel stabiliti sul terminale di ingresso e inviandolo al terminale di srv.

client - VPN2 opera in modalità client, accettando il traffico in entrata sul terminale clt e inviandolo nel tunnel stabilito sul terminale di ingresso.

entrambi - VPN2 opera in modalità di client e server.

Predefinito: server.

tunnel

Stringa

Tipo di tunnel da stabilire. I valori possibili sono:

certificato - Un tunnel VPN è stabilito mediante client SSL e i certificati di server per l'autenticazione e la crittografia con OpenVPN. Il certificato di server è generato automaticamente se non è presente; il certificato di client deve essere generato manualmente con lo script appliance/security.sh che si trova sul server VPN2 e copiato nella sottodirectory /client/ sul volume di dati o sul volume montato su NFS. Questa modalità funziona con IPv4 e IPv6.

segreto condiviso - il tunnel VPN di A è stabilito mediante un file segreto condiviso con OpenVPN. Questo file è generato automaticamente sul server VPN2 se non è presente, si trova nella sottodirectory del volume di dati o del volume montato su nfs ed è denominato secret.key. È necessario copiare questo file sull'appliance di VPN2 client nella sottodirectory /client/. Questa modalità funziona con IPv4 e IPv6.

Chiave ssh - un tunnel SSH viene stabilito mediante OpenSSH keyfiles per l'autenticazione. I file di codice sono generati con lo script lato di server di appliance/security.sh. È necessario copiare il file di codice nella sottodirectory /client/ del volume di dati dell'archiviazione montata su NFS. Questa modalità funziona con IPv4 e IPv6.

segreto condiviso di IPsec - il tunnel IPSec viene stabilito tra le istanze di VPN2. La prima linea del file specificata dalla proprietà di auth_path è usata come codice condiviso. Questa modalità funziona solamente con IPv4.

certificato di IPsec - è stabilito il tunnel IPSec che usa certificati fra le istanze di VPN2. Il certificato di server è generato automaticamente se non è presente o può essere generato con lo script appliance/security.sh; è necessario generare il certificato di client manualmente con lo script appliance/security.sh che si trova sul server VPN2 ed è copiato nella sottodirectory /client/ sul volume di dati o sul volume montato di NFS. Questa modalità funziona solamente con IPv4. Per le due modalità di operazione, tutti i certificati devono essere generati dalla stessa appliance e distribuiti con il rispettivo certificato di ca.crt.

cleartext - il tunnel non è definito; l'appliance di VPN2 opera come un gateway di IN/OUT combinato, accettando il traffico sul terminale clt e inoltrandolo al terminale di ingresso e accettando il traffico sul terminale di ingresso e inoltrandolo al terminale srv. Questa modalità funziona con IPv4 e IPv6. Per la modalità IPv6, la proprietà remote_host deve contenere l'indirizzo del pari.

Predefinito: cleartext.

auth_path

Stringa

Informazioni di autenticazione per il tunnel. Per la modalità di operazione segreta condivisa, questo è un percorso relativo al file segreto condiviso sul volume di dati (es. "secret.key" per un file "client/secret.key"). Per la modalità di certificato, questo è un percorso relativo che include il nome di file senza estensione, alla coppia di file certificato/codice. Ad esempio, se i file di certificato client1-2009.crt e client1-2009.key si trovano nella sottodirectory /client del volume di dati, è necessario specificare qui "client1-2009". Se il tunnel è cleartext, questa proprietà è ignorata. Se il tunnel è una chiave ssh, questa proprietà indica il percorso, incluso il nome del file, al file di chiave ssh pubblica (per server VPN) o privata (per client VPN) (ad esempio, "/1/ssh.key" per un file di chiave pubblica /client/1/ssh.key).

Predefinito: vuoto

log_level

Stringa

Livello di registrazione VPN. I valori possibili sono:

nessuno - nessuna registrazione.

emerg - sono registrati soltanto gli errori rilevati da VPN2.

avviso - registra gli avvisi e gli errori.

nota - registra gli avvisi, gli errori e le informative.

debug - registra le informazioni di debug aggiuntive ad avvisi, errori e informative.

Predefinito: nessuno se il terminale di log non è connesso; emerg se il terminale di log è connesso.

Proprietà del server

Nome della proprietà

Tipo

Description

allowed_hosts

Stringa

Elenco di host e/o subnet che possono connettersi. Separare le voci usando spazi o virgole. Esempio di formato supportato: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0 fc00:1234::12/64.

Predefinito: 0.0.0.0/0 (tutto permesso, sia IPv4 che IPv6)

tcp_ports

Stringa

Numeri di porta o intervalli di porta da autorizzare sul terminale srv. Accetta una stringa di valori separati da spazio o virgola. È necessario specificare gli intervalli di porta come lower_port:higher_port con due punti o un trattino (ad esempio, 80,81,82:85 86-90). Un valore speciale di 0 significa che tutte le porte TCP sono accettate.

Predefinito: vuoto

udp_ports

Stringa

Uguale a tcp_ports, eccetto per il protocollo di UDP.

Predefinito: vuoto

aux_protocols

Stringa

Una stringa di numeri di protocollo IP separata da spazi o virgole aggiuntive da autorizzare (ad esempio, 6 per TCP, 47 per GRE). Specificare protocolli separati con i loro nomi (es. 'gre' invece di '47'). Consultare i

numeri di protocollo per l'assegnazione.

Predefinito: vuoto (disabilitato)

Proprietà client

Nome della proprietà

Tipo

Description

remote_host

Stringa

Definisce l'host remoto per inoltrare il traffico a. Questo può essere il nome DNS dell'host o il suo indirizzo IPv4 o IPv6 in notazione di "punti". Questa proprietà è obbligatoria.

Predefinito: vuoto

dns_poll

Numero intero

L'intervallo di polling, in secondi, che il VPN2 utilizza nella verifica del mapping del nome DNS di remote_host all'indirizzo IP (usato solo se remote_host è specificato come nome DNS). Impostare su 0 per disabilitare il polling e non effettuare la rilevazione delle modifiche.

Predefinito: 3600 secondi (1 ora).

ssh_ports

Stringa

Una proprietà sul lato client per modalità di codice ssh, che specifica le porte TCP da inoltrare al server VPN2. Gli intervalli di porta non sono supportati, le porte possono essere divise da spazi o virgole.

Predefinito: vuoto

Volumi

Name

Description

dati

Un volume di dati di lettura/scrittura (segnaposto) che contiene i file di configurazione e i file di certificato. Questo volume non è richiesto se il terminale di fs è connesso. Se fs è connesso, e viene fornito un volume di dati, il VPN2 non viene avviato e registra un messaggio di errore. Tutti i file che sono necessari per l'operazione del server VPN2 sono archiviati nella sottodirectory /server/ dell'archiviazione di dati. Tutti i file che sono necessari per l'operazione del client VPN2 sono archiviati nella sottodirectory /client/.

Contatori personalizzati

L'appliance di VPN2 riporta i seguenti contatori personalizzati dal terminale di MON.

Nome di contatore

Description

server_bytes_in

Byte totali ricevuti da VPN2.

server_bytes_out

Byte totali inviati da VPN2.

client_bytes_in

Byte totali inviati da VPN2.

client_bytes_out

I byte totali inviati ai tunnel client.

client_bytes_out

Numero di client connessi a VPN2.

Prestazioni

Due applicazioni di test risiedevano sulla stessa griglia di CA AppLogic. Una larghezza di banda di 100 mbit è stata assegnata alle due appliance di VPN2 (client e server) e alle appliance di server e client. Sono stati recuperati 10 oggetti in parallelo, della dimensione di 1 MB, a oggetto multiplo per 60 secondi.

Modalità

Larghezza di banda, Mbit/secondo

Dimensione di oggetto

Richieste/secondo

Velocità di trasferimento, MByte/secondo

Certificato

100

1 MB

12.5667

12.56

Segreto condiviso

100

1 MB

12.5166

12.51

Codice SSH

100

1 MB

12.7667

12.76

Cleartext

100

1 MB

13.0329

12.76

Messaggi di errore

In caso di errore nell'avvio dell'appliance, è possibile che vengano registrarti i seguenti errori nel log di sistema:

Messaggio di errore

Description

Impossibile montare il volume di dati

VPN2 non è riuscito a montare il volume di dati. Verificare che il volume sia formattato e disponibile.

Impossibile generare server_key

VPN2 non è riuscito a generare il file segreto condiviso. Probabilmente il volume di dati è troppo piccolo oppure è montato in sola lettura.

Impossibile avviare il server OpenVPN

VPN2 non è riuscito ad avviare il server OpenVPN. Contattare il supporto di 3Tera.

Impossibile generare i certificati.

VPN2 non è riuscito a creare l'Autorità di Certificazione e generare il certificato necessario per la modalità di operazione del server di certificato. Probabilmente il volume di dati è troppo piccolo oppure è montato in sola lettura.

Impossibile generare il file DH.

VPN2 non è riuscito a generare il file di codici Diffie-Hellman. Probabilmente il volume di dati è troppo piccolo oppure è montato in sola lettura.

Il file segreto client_auth non esiste

Il file client_auth, specificato nella proprietà di auth, non esiste. Verificare il percorso e il nome del file.

L'indirizzo di server remoto è vuoto per

L'indirizzo server del VPN2 remoto è vuoto per tunnel X.

Impossibile avviare OpenVPN per il tunnel di clientX

VPN2 non è riuscito ad avviare il software OpenVPN per il client tunnel X. Probabilmente alcune proprietà o file di codici non sono valide.

Il file di certificato di client_auth.crt non esiste

VPN2 non è riuscito a localizzare un file di certificato. Il percorso o il nome file specificato nella proprietà auth non è valido per la modalità di operazione client del certificato.

Il file di codice client_auth.key non esiste

VPN2 non è riuscito a localizzare un file di codice. Il percorso o il nome file specificato nella proprietà auth non è valido per la modalità di operazione client del certificato

Il certificato di Autorità ca_cert sta è mancante

VPN2 non riuscito a localizzare il certificato di Autorità di Certificazione. Questo dovrebbe trovarsi nel file CA/ca.crt nel volume di dati.

Tipi di tunnel

Cleartext

Questa modalità supporta uno scenario "unico server - più client" e permette l'accesso al server VPN2 da più posizioni. In questa modalità, i tunnel VPN non sono stabiliti e non è richiesto un archivio di dati (né un volume di dati, né l'appliance NAS è connessa al terminale di fs). Questa modalità funziona in IPv4 e IPv6.

Sull'appliance di VPN2 server, il traffico ricevuto sul terminale di ingresso è filtrato mediante le proprietà tcp_ports, udp_ports, aux_protocols e inoltrato al terminale srv.

Sull'appliance di VPN2 di client, il traffico ricevuto sul terminale clt è inoltrato al server VPN2 remoto, specificato nella proprietà di remote_host.

Proprietà che devono essere configurate sul lato server: modalità, tunnel, allowed_hosts, tcp_ports, udp_ports, aux_protocols.

Proprietà che devono essere configurate sul lato client: modalità, tunnel, remote_host.

La proprietà remote_host sul lato server deve essere configurata con l'indirizzo di client se la modalità di IPv6 è in uso.

Certificato

Questa modalità supporta uno scenario "unico server - più client" e permette l'accesso al server VPN2 da più posizioni. È richiesto un archivio di dati (o un volume di dati o un'appliance NAS connessa al terminale di fs). Questa modalità funziona in IPv4 e IPv6.

All'avvio, l'appliance di server genera i certificati necessari e i file di codice se questi file non sono già presenti. Questi file possono essere ri-generati con lo script security.sh, che si trova nella directory /appliance/. Prima di configurare i client di VPN2, occorre generare dei certificati per loro. Un utente può accedere all'appliance di VPN2 server corrente e generare una coppia di codici come segue: 

grid> comp login VPN2-1:main.VPN2

CentOS release 6 (Final)

[VPN-1:main.VPN ~]# /appliance/security.sh generate_client

Certificato di SSL client generato e file di codice.

==============================================

Questi file, con il file di certificato di CA, dovrebbero essere copiati al server VPN2

nella sottodirectory /client/ del volume di dati o del volume montato di fs.

Il percorso ai file client (client.829de5afcac564b3) dovrebbe essere specificato nella proprietà di auth_path.

Posizione dei file:

certificato di client: /mnt/fs/server/client.829de5afcac564b3.crt

file di codice client: /mnt/fs/server/client.829de5afcac564b3.key

File di certificato di CA localizzato in /mnt/fs/server/ca.crt

È necessario copiare il certificato di client e il file di codice nell'appliance di VPN2 client nella sottodirectory /client/ dell'archivio dati con auth_path impostato sul valore appropriato, "client.829de5afcac564b3", in questo caso. È necessario copiare il certificato di CA dal server VPN2 (/mnt/fs/server/ca.crt) nella sottodirectory /client/ sull'appliance client e denominarlo "ca.crt". Ogni appliance di VPN2 client dovrebbe avere il proprio certificato.

Sull'appliance di VPN2 server, il traffico ricevuto sul terminale di ingresso è decifrato, filtrato mediante le proprietà tcp_ports, udp_ports, aux_protocols e inoltrato al terminale srv.

Sull'appliance di VPN2 di client, il traffico ricevuto sul terminale clt è cifrato e inoltrato al server VPN2 remoto, specificato nella proprietà di remote_host.

Proprietà che devono essere configurate sul lato server: modalità, tunnel, allowed_hosts, tcp_ports, udp_ports, aux_protocols.

Proprietà che devono essere configurate sul lato client: modalità, tunnel, remote_host, auth_path.

File segreto condiviso

Questa modalità supporta soltanto lo scenario "server singolo - client singolo", permettendo l'accesso al server VPN2 soltanto da un client alla volta. È richiesto un archivio di dati (o un volume di dati o un'appliance NAS connessa al terminale di fs). Questa modalità funziona in IPv4 e IPv6.

All'avvio, l'appliance di server genera il file segreto condiviso "/server/secret.key", se non sono già presenti. Questo file può essere ri-generato con lo script di security.sh, localizzava nel /appliance/ directory. Prima di configurare i client VPN2, è necessario copiare il file segreto condiviso nell'archivio di dati della sottodirectory /client/. Per generare un nuovo file segreto condiviso, l'utente può accedere nell'appliance di server VPN2 corrente ed emettere il seguente comando: 

[VPN2-1:main.VPN2 server]# /appliance/security.sh generate_secret

File segreto condiviso di OpenVPN generato.

======================================

Questo file dovrebbe essere copiato al server VPN2 nella sottodirectory /server/ del volume di dati o del volume montato su fs

e al client VPN2 nella sottodirectory /client/ del volume di dati del volume montato su fs.

Il relativo percorso dovrebbe essere specificato nella proprietà auth_path del client VPN2.

Posizione di file: /mnt/fs/server/secret.key

Un file segreto appena generato sovrascrive il precedente, se esistente. È necessario copiare il file segreto condiviso "/mnt/fs/server/secret.key" nell'appliance di VPN2 client della sottodirectory /client/ dell'archivio di dati con la proprietà auth_path impostata sul valore corretto, "secret.key" in questo caso. Possono essere configurate più appliance di VPN2 client, ma soltanto una può essere connessa alla volta.

Sull'appliance di VPN2 server, il traffico ricevuto sul terminale di ingresso è decifrato, filtrato mediante le proprietà tcp_ports, udp_ports, aux_protocols e inoltrato all'interfaccia di srv.

Sull'appliance di VPN2 di client, il traffico ricevuto sul terminale clt è cifrato e inoltrato al server VPN2 remoto, specificato nella proprietà di remote_host.

Proprietà che devono essere configurate sul lato server: modalità, tunnel, allowed_hosts, tcp_ports, udp_ports, aux_protocols.

Proprietà che devono essere configurate sul lato client: modalità, tunnel, remote_host, auth_path.

Codice ssh

Questa modalità supporta uno scenario "unico server - più client" e permette l'accesso al server VPN2 da più posizioni. È richiesto un archivio di dati (o un volume di dati o un'appliance NAS connessa al terminale di fs). Solamente il traffico TCP può essere inoltrato nel tunnel SSH, quindi soltanto la proprietà tcp_ports è usata sul lato server. Gli intervalli di porta non sono supportati - specificare esplicitamente ogni porta da inoltrare nella proprietà sul lato client di ssh_ports. Questa modalità funziona in IPv4 e IPv6.

VPN2 genera la coppia di codici SSH predefinita all'avvio; i codici predefiniti si trovano in: codice di server (codice pubblico): codice client server/ssh-server.pub (codice privato): server/ssh-client.key. I codici aggiuntivi possono essere generati manualmente usando lo script security.sh: 

[VPN2-1:main.VPN2 ~]# /appliance/security.sh generate_ssh

Coppia di codici SSH generato.

======================

Il codice pubblico dovrebbe essere copiato al server VPN2 nella sottodirectory /server/ del volume di dati o del volume montato su fs.

Il codice pubblico dovrebbe essere copiato al server VPN2 nella sottodirectory /client/ del volume di dati o del volume montato su fs.

Il percorso ai file di codice dovrebbe essere specificato nella proprietà auth_path sul cliente e sul server VPN2.

Posizione dei file:

Codice pubblico: /mnt/fs/server/ssh.11179ebbfa3f6852.pub

Codice privato: /mnt/fs/server/ssh.11179ebbfa3f6852.key

Il codice pubblico dovrebbe essere copiato sul server VPN2 nella sottodirectory /server/; il codice privata dovrebbe essere copiato al client nella sottodirectory /client/. La proprietà auth_path dovrebbe essere impostata sul client e sul server. Se auth_path è vuoto sul server, viene usato il codice SSH predefinito.

Sull'appliance di VPN2 server, il traffico ricevuto sul terminale di ingresso è decifrato, filtrato mediante la proprietà ssh_ports e inoltrato al terminale srv. Soltanto l'inoltro della porta TCP è supportato. La proprietà auth_path definisce il codice ssh pubblico da utilizzare. Quando l'appliance opera nella modalità client e server, il codice pubblico e il codice privato devono avere lo stesso nome e devono trovarsi nelle sottodirectory /server/ e /client/. La proprietà ssh_ports dovrebbe essere configurata sul server e sul client allo stesso modo.

Sull'appliance di VPN2 di client, il traffico ricevuto sul terminale clt è cifrato e inoltrato al server VPN2 remoto, specificato nella proprietà di remote_host.

Proprietà che devono essere configurate sul lato server: modalità, tunnel, allowed_hosts, auth_path, tcp_ports.

Proprietà che devono essere configurate sul lato client: modalità, tunnel, remote_host, auth_path, ssh_ports.

Nota: modalità server-server di SSH. Due appliance di VPN2 possono entrambe essere configurate nei due modi e connettersi l'una all'altra. Per utilizzare questa modalità, occorre configurare le appliance in modo speciale:

Supponiamo di avere 2 appliance chiamate VPN21 e VPN22:

  1. creare 2 set di file di codice pubblico/privato (1.key/1.pub, 2.key/2.pub usando "/appliance/security.sh generate_ssh" script)
  2. configurare proprietà auth_path sulle due appliance in "ssh.key"
  3. copiare 2.pub su VPN21:/mnt/data/server/ssh.key (o sul file ssh.key nella sottodirectory /server/ dell'unità di NAS) (il codice pubblico nella sottodirectory /server/)
  4. copiare 2.key su VPN22:/mnt/data/client/ssh.key (il codice privato nella sottodirectory /client/)
  5. copiare 1.pub su VPN22:/mnt/data/server/ssh.key (il codice pubblico nella sottodirectory /server/)
  6. copiare 1.key su VPN21:/mnt/data/client/ssh.key (il codice privato nella sottodirectory /client/)

Certificato IPSec

Questa modalità supporta uno scenario "unico server - più client" e permette l'accesso al server VPN2 da più posizioni. È richiesto un archivio di dati (o un volume di dati o un'appliance NAS connessa al terminale di fs). Questa modalità funziona solamente in IPv4.

All'avvio, l'appliance di server genera i certificati necessari e i file di codice se questi file non sono già presenti. Questi file possono essere ri-generati con lo script security.sh, che si trova nella directory /appliance/. Prima di configurare i client di VPN2, occorre generare dei certificati per loro. Un utente può accedere all'appliance di VPN2 server corrente e generare una coppia di codici come segue: 

grid> comp login VPN2-1:main.VPN2

CentOS release 6 (Final)



[VPN2-1:main.VPN2 ~]# /appliance/security.sh generate_client

Certificato di SSL client generato e file di codice.

==============================================

Questi file, con il file di certificato di CA, dovrebbero essere copiati al server VPN2

nella sottodirectory /client/ del volume di dati o del volume montato di fs.

Il percorso ai file client (client.829de5afcac564b3) dovrebbe essere specificato nella proprietà di auth_path.

Posizione dei file:

certificato di client: /mnt/fs/server/client.829de5afcac564b3.crt

file di codice client: /mnt/fs/server/client.829de5afcac564b3.key

File di certificato di CA localizzato in /mnt/fs/server/ca.crt

È necessario copiare il certificato di client e il file di codice nell'appliance di VPN2 client nella sottodirectory /client/ dell'archivio dati con auth_path impostato sul valore appropriato, "client.829de5afcac564b3", in questo caso. È necessario copiare il certificato di CA dal server VPN2 (/mnt/fs/server/ca.crt) nella sottodirectory /client/ sull'appliance client e denominarlo "ca.crt". Ogni appliance di VPN2 client dovrebbe avere il proprio certificato.

Importante: Si verifica un'eccezione quando il VPN2 è usato nelle due modalità. In questo caso tutti i certificati, client e server, devono essere generati dalla stessa istanza di VPN2, e distribuiti insieme al certificato di ca.crt alle altre istanze.

Sull'appliance di VPN2 server, il traffico ricevuto sul terminale di ingresso è decifrato, filtrato mediante le proprietà tcp_ports, udp_ports, aux_protocols e inoltrato all'interfaccia di srv.

Sull'appliance di VPN2 di client, il traffico ricevuto sul terminale clt è cifrato e inoltrato al server VPN2 remoto, specificato nella proprietà di remote_host.

Proprietà che devono essere configurate sul lato server: modalità, tunnel, allowed_hosts, tcp_ports, udp_ports, aux_protocols.

Proprietà che devono essere configurate sul lato client: modalità, tunnel, remote_host, auth_path.