Symantec.com
Partner
Informazioni su Symantec
BenvenutoProdotti e ServiziSecurity ResponseSupportoSoluzioni e SettoriLicenzeFormazione
Soluzioni Enterprise
Symantec.com > Enterprise > Supporto > Knowledge Base

STAMPA QUESTA SOLUZIONE STAMPA QUESTA SOLUZIONE

VALUTA QUESTA SOLUZIONE VALUTA QUESTA SOLUZIONE

Come configurare un tunnel da client a gateway

Questo documento è una traduzione dall'inglese. È possibile che dopo la traduzione e pubblicazione di questo documento siano stato eseguiti aggiornamenti alla versione inglese originale. Symantec non garantisce l'accuratezza in merito alla completezza della traduzione.


Situazione:
Questo documento fornisce informazioni e dettagliate istruzioni di configurazione per la creazione di tunnel VPN da client a gateway.

Soluzione:


Configurazione di tunnel VPN da client a gateway
I tunnel VPN da client a gateway consentono a utenti remoti di eseguire il software Symantec Client VPN (o qualsiasi software client VPN compatibile IPSec) per stabilire connessioni sicure attraverso Internet con una rete protetta da un gateway di sicurezza Symantec.

Tunnel VPN da client a gateway
Symantec Gateway Security Serie 300 supporta le configurazioni di tunnel VPN da cient a gateway. Questo tipo di configurazione viene creata quando una workstation che esegue il software Symantec Client VPN si connette al gateway di sicurezza dall'interno della rete protetta o da una posizione remota attraverso Internet.

Nota: i client wireless possono utilizzare tunnel da client a gateway per proteggere le proprie connessioni. Vedere la Guida all'implementazione di Symantec Gateway Security Serie 300.

Una volta stabilito un tunnel VPN, gli utenti remoti possono connettersi e accedere in modo sicuro alle risorse della rete privata, attraverso Internet, come se la workstation remota fosse situata fisicamente all'interno della rete protetta.

Durante la modalità di configurazione Fase 1 è possibile definire le impostazioni di rete di ciascun gruppo VPN che vengono scaricate dai client. Le impostazioni comprendono i server DNS primario e secondario, i server WINS e gli indirizzi del controller di dominio primario. Trasmettendo queste informazioni ai client durante la modalità di configurazione si eviterà che ciascuno debba configurarle autonomamente, facendo risparmiare tempo di gestione e riducendo le possibilità di errore.

I tunnel VPN da client a gateway di Symantec richiedono un ID client e una chiave condivisa. Per fornire un ulteriore livello di autenticazione ai tunnel VPN da client a gateway è anche possibile applicare l'autenticazione estesa utilizzando un server RADIUS. Vedere il paragrafo "Defining users" a pagina 86 della Symantec Gateway Security 300 Series Administrator's Guide.

Nella configurazione di tunnel VPN è possibile definire due tipi di utenti da client a gateway: dinamico e statico. Vedere il paragrafo "Identifying users" a pagina 85 della Symantec Gateway Security 300 Series Administrator's Guide.

Tunnel globali
Quando un client stabilisce un tunnel VPN nella LAN, viene configurato un tunnel globale (0.0.0.0) per il client. Questo impone che tutto il traffico client attraverso il tunnel VPN termini all'appliance. Ciò è utile nelle reti non attendibili, quali quelle wireless, per mantenere la protezione del traffico.

Quando si stabilisce un tunnel sulla WAN, la subnet del dispositivo (192.168.0.0 per impostazione predefinita) viene configurata per il client. In questo modo si ottiene una suddivisione del tunnel che permette al client di accedere direttamente a Internet inviando attraverso il tunnel VPN solo il traffico destinato alla LAN.



Attività di configurazione per i tunnel VPN da client a gateway

Definizione di tunnel VPN client
In questa sezione viene descritto come definire tunnel VPN client. Questa operazione è costituita dalle seguenti attività:
Per attivare tunnel client
  1. Nel riquadro sinistro della SGMI (Security Gateway Management Interface), fare clic su VPN.
  2. Nella scheda Tunnel client, sotto Definizione tunnel gruppo, selezionare una delle opzioni seguenti:
    • Attiva VPN client nel lato WAN
      In questo modo i tunnel VPN sono attivati solo per il traffico sulla porta WAN del dispositivo.
    • Attiva VPN client nel lato WLAN/LAN
      In questo modo i tunnel VPN sono attivati per il traffico su qualsiasi porta del dispositivo.
  3. Nella casella di testo DNS primario in Parametri rete VPN, digitare il nome del server DNS primario.
  4. DNS (Domain Name System) è un servizio Internet che traduce i nomi di dominio in indirizzi IP.
  5. Facoltativamente, nella casella di testo DNS secondario, digitare il nome del server DNS secondario.
  6. Facoltativamente, nella casella di testo WINS primario, digitare il nome del server WINS primario.
  7. Questo passaggio è facoltativo. Windows Internet Naming Service (WINS) è un sistema che determina l'indirizzo IP associato a un particolare computer nella rete.
  8. Facoltativamente, nella casella di testo WINS secondario, digitare il nome del server WINS secondario.
  9. Facoltativamente, nella casella di testo PDC (Primary Domain Controller), digitare il nome del controller di dominio primario.
  10. (Facoltativo) Nella casella di testo Binding gruppo RADIUS, digitare il nome per Binding gruppo RADIUS.
  11. Se si intende utilizzare l'autenticazione RADIUS, selezionare Attiva autenticazione utente estesa e fornisci Binding gruppo RADIUS. Il nome Binding gruppo RADIUS deve corrispondere al parametro ID di filtro restituito dal server RADIUS.
  12. Fare clic su Aggiorna.

Selezione di un metodo di autenticazione
È possibile autenticare i client mediante un nome utente e password definiti nel gateway per la sicurezza Symantec o mediante l'autenticazione estesa con RADIUS. Con l'autenticazione RADIUS, non è necessario definire gli utenti sul gateway per la sicurezza. Gli utenti vengono definiti sul server RADIUS. Quando un utente dinamico (un utente cioè non definito sul gateway per la sicurezza) tenta di collegare un tunnel VPN, il gateway per la sicurezza verifica la presenza del nome utente nell'elenco di utenti definiti. Se il nome utente non è presente in elenco, ed è attivata e configurata l'autenticazione estesa, il gateway per la sicurezza verifica che il segreto condiviso corrisponda con quello configurato per il tunnel. Se il segreto condiviso corrisponde, il gateway per la sicurezza chiede le informazioni richieste dal server RADIUS. Se le informazioni sul gruppo restituite dal server RADIUS corrispondono al Binding gruppo RADIUS sul gateway per la sicurezza, il tunnel può collegarsi. Non è necessario definire gli utenti dinamici sul gateway per la sicurezza.

Se non si utilizza l'autenticazione RADIUS, è necessario definire gli utenti sul gateway per la sicurezza creando una identità utente VPN per ciascun utente.

Per creare un'identità utente VPN
  1. Nel riquadro sinistro della SGMI, fare clic su VPN.
  2. Nel riquadro di destra della scheda Utenti client, selezionare Attiva.
  3. Nella casella di testo Nome utente, immettere il nome utente.
  4. Nella casella di testo Chiave precondivisa, digitare la chiave precondivisa.
  5. La lunghezza di tale chiave deve essere almeno di 20 caratteri.
  6. Fare clic su Aggiungi.
  7. Ripetere i passaggi da 1 a 5 per ciascun utente che si desidera creare.

Per configurare gli utenti dinamici per l'autenticazione RADIUS
  1. Se ancora non è stato fatto, creare gli account utente nel sistema RADIUS.
  2. Nel riquadro sinistro della SGMI, fare clic su VPN.
  3. Sulla scheda Avanzate, sotto Impostazioni client VPN dinamico, selezionare Attiva tunnel client VPN dinamici.
  4. Nella casella di testo Chiave precondivisa, digitare la chiave precondivisa fornita dagli utenti dinamici.
  5. La lunghezza di tale chiave deve essere almeno di 20 caratteri.
  6. Sotto le impostazioni RADIUS, nella casella di testo Server RADIUS primario, digitare l'indirizzo IP del server RADIUS.
  7. Facoltativamente, nella casella di testo Impostazioni RADIUS secondario, digitare l'indirizzo IP di un secondo server RADIUS.
  8. Nella casella di testo Porta di autenticazione (UDP), digitare la porta utilizza dal server RADIUS per l'autenticazione.
  9. L'impostazione predefinita (1812) funziona con la maggior parte delle implementazioni RADIUS.
  10. Nella casella di testo Segreto condiviso o Chiave, digitare il segreto condiviso del server RADIUS.
  11. Fare clic su Salva.

Impostazioni di politica globali per i tunnel VPN da client a gateway
Alcune impostazioni possono essere configurate a livello globale per i tunnel VPN da client a gateway. Queste impostazioni consentono di configurare il tipo di ID fase 1 per tutti i tunnel VPN client che si connettono al gateway di sicurezza. Queste impostazioni sono condivise da tutte e tre i gruppi VPN.

Per stabilire impostazioni di politica globali per i tunnel VPN da client a gateway
  1. Nel riquadro sinistro della SGMI, fare clic su VPN.
  2. Nel riquadro destro, in Impostazioni client VPN globale nella scheda Avanzate, svolgere le seguenti operazioni.
    • Nell'elenco a discesa Tipo ID fase 1 gateway locale, selezionare un tipo di ID.
    • Nella casella di testo ID fase 1 gateway locale, digitare il valore che corrisponde al tipo di ID selezionato.
    • Nell'elenco a discesa Politica VPN, selezionare una politica VPN da applicare a tutti i tunnel client.
  3. In Impostazioni client VPN dinamico, svolgere le seguenti operazioni:
    • Per attivare utenti dinamici per tutti e tre i gruppi VPN, fare clic su Attiva tunnel client VPN dinamici.
    • Nella casella di testo Chiave precondivisa, digitare una stringa di caratteri per la chiave.
  4. Fare clic su Salva.

Condivisione di informazioni con i client
Dopo avere configurato il tunnel VPN da client a gateway, è necessario comunicare le informazioni sul gateway ai client in modo che possano connettersi. L'elenco seguente descrive le informazioni necessarie ai client per collegare i tunnel:
AVVISO: Condividere queste informazioni solo a voce o tramite altro metodo sicuro.



Monitoraggio dello stato del tunnel VPN
La finestra Stato VPN consente di visualizzare lo stato di ciascun tunnel VPN da gateway a gateway dinamico e statico configurato. Lo stato dei tunnel statici è Attivato o Disattivato; lo stato di quelli dinamici è Connesso, Attivato o Disattivato. Lo stato dei tunnel statici non è mai connesso perché per questi non esiste alcuna negoziazione.

Le informazioni visualizzate nella scheda Stato sono aggiornate al momento in cui si accede alla scheda. Lo stato della connessione può cambiare durante la visualizzazione delle informazioni. Fare clic su Aggiorna per aggiornare la visualizzazione.

Per monitorare lo stato del tunnel VPN
Verificare che il tunnel sia operativo su entrambe le estremità, quindi monitorare la finestra Stato.

Per aggiornare le informazioni nella finestra Stato
Per verificare che il tunnel sia operativo su entrambe le estremità
Da un host locale, eseguire un comando PING su un computer situato nella rete remota.




Riferimenti
Versione del documento in inglese

Fare clic qui per visualizzare la versione inglese di questo documento

Nota: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.




VALUTA QUESTA SOLUZIONE
Questa soluzione è stata utile?

No
Se alcune informazioni non erano chiare e se le informazioni cercate non erano disponibili, inserire un commento. I vostri commenti ci aiuteranno a migliorare il servizio.

NOTA: I commenti inseriti NON riceveranno una risposta via e-mail.


Numero del documento: 20050215160407964
Ultimo aggiornamento: 04/27/2006
Creato il: 02/15/2005
Sistema operativo: Appliance
Prodotto: Symantec Gateway Security 300 Series

Indice del sito · Note legali · Informativa sulla privacy · Feedback sul sito · Contattaci · Siti globali
©1995 - 2009 Symantec Corporation