16 září

Konfigurační návod Aruba VIA (Virtual Intranet Access)   Google+ Twitter LinkedIn Facebook

  0 Přílohy   0 Komentáře   
Počet hvězdiček je: 5/5. Hodnoceno 3x.
 
 
 

Konfigurační návod Aruba VIA (Virtual Intranet Access)

 
 
 
Jakub Konečný

jakub.konecny@atlantis.cz

 
4. srpna 2020
 

Šíření bez souhlasu autora a společnosti atlantis telecom je zakázáno.

 
 



Obsah

1   Představení Aruba VIA (Virtual Intranet Access) ........................................................................... 4
      1.1   Podporované platformy pro VIA VPN server............................................................................................ 4
      1.2   Podporované klientské platformy .............................................................................................................. 4
      1.3   Licencování ...................................................................................................................................................... 4
      1.4   Dokumentace  ................................................................................................................................................ 5
2   Topologie pro tento návod a prerekvizity ...................................................................................... 6
3   Nahrání licencí do kontroléru .......................................................................................................... 7
4   Zapnutí skrytých voleb ..................................................................................................................... 10
5   Konfigurace IP konektivity ............................................................................................................... 11
      5.1   Nastavení VLAN .............................................................................................................................................. 11
      5.2   Nastavení IP parametrů ............................................................................................................................... 13
      5.3   Otestování konektivity ................................................................................................................................... 16
6   Konfigurace VIA VPN v režimu Full Tunnel ..................................................................................... 18
      6.1   Příprava uživatelské role .............................................................................................................................. 18
      6.2   Nastavení VPN služby ................................................................................................................................... 19
      6.3   Konfigurace VIA VPN komponent .............................................................................................................. 21
            6.3.1   VIA Authentication ............................................................................................................................... 22
            6.3.2   VIA Connection ..................................................................................................................................... 23
            6.3.3   VIA Web Authetication ........................................................................................................................ 24
            6.3.4   Dokončení nastavení VIA VPN .......................................................................................................... 25
      6.4   Práce s interní databází uživatelů .............................................................................................................. 26
            6.4.1   Vytvoření nového uživatelského účtu ............................................................................................. 26
            6.4.2   Editace uživatelského účtu ................................................................................................................ 28
            6.4.3   Smazání uživatelského účtu .............................................................................................................. 28
      6.5   Stažení VIA instalátoru z kontroléru .......................................................................................................... 28
      6.6   Nastavení VIA klienta a připojení k VPN .................................................................................................... 30
7   Konfigurace VIA VPN režimu Split Tunnel ...................................................................................... 33
      7.1   Nastavení serverové části VPN ................................................................................................................... 33
      7.2   Nastavení klientské části VPN ..................................................................................................................... 36
      7.3   Otestování a kontrola VPN ........................................................................................................................... 37
8   Diagnostika ........................................................................................................................................ 39
      8.1   Troubleshooting na klientovi ....................................................................................................................... 39
      8.2   Troubleshooting na kontroléru ................................................................................................................... 41
            8.2.1   Práce se systémovým logem ............................................................................................................. 41
            8.2.2   Získávání informací o aktivních uživatelích .................................................................................... 43
            8.2.3   Získávání informací o IPsec spojeních ............................................................................................. 44
9   Pokročilá nastavení ........................................................................................................................... 47
      9.1   Aktualizace instalátorů VIA klienta na kontroléru .................................................................................. 47
      9.2   Vlastní logo v klientovi.................................................................................................................................... 48
      9.3   SSL Fallback ..................................................................................................................................................... 49
      9.4   Ověřování uživatelů proti RADIUS serveru .............................................................................................. 49
            9.4.1   Konfigurace RADIUS autentizace ...................................................................................................... 49
            9.4.2   Otestování RADIUS autentizace ........................................................................................................ 52
      9.5   Ověřování uživatelů proti RADIUS serveru s použitím Server-Derivation Rules ............................. 53
Seznam obrázků ...................................................................................................................................... 57
 
 
_____
3   

Zpět na obsah

 

1  Představení Aruba VIA (Virtual Intranet Access)

Aruba VIA je softwarové řešení pro zabezpečený přístup koncových uživatelů do vnitropodnikové sítě. Pro přístup je použitý softwarový klient, pro přístup tedy uživatel potřebuje pouze zařízení s podporovaným operačním systémem a funkční připojení k internetu.

Virtual Intranet Access staví na protokolu IPsec s možností SSL fallbacku pro případy, kdy je IPsec VPN omezena firewallem. Díky tomu může VIA nabídnout vysoký stupeň zabezpečení (podporovány jsou různé možnosti šifrování, včetně Suite B kryptografie). S ohledem na typ nasazení lze volit mezi různými způsoby tunelování dat (tunelování veškerého uživatelského provozu versus zabezpečení pouze vybraných citlivých dat). Uživatelé se mohou autentizovat různými způsoby (jméno a heslo, certifikáty, vícefaktorové ověřování) a vůči různým databázím (například interní databáze uživatelů v kontroléru, externí RADIUS, či LDAP server).

Výhodou je také jednoduché nasazení VIA u koncových uživatelů (zařízení). Veškerá konfigurace se provádí na straně serveru, který potřebná nastavení dále distribuuje klientům. Uživateli tedy stačí VIA klienta nainstalovat a následně se přihlásit svými údaji – o zbytek už se postará server. Klientský program je možné také instalovat automatizovaně, což může zjednodušit práci správcům sítě a koncových zařízení.

Více informací lze nalézt například v oficiálním datasheetu na webové stránce výrobce: https://www.arubanetworks.com/assets/ds/DS_VIA.pdf.
 

1.1  Podporované platformy pro VIA VPN server

Roli serveru pro Aruba VIA VPN řešení může plnit:

  • kontrolér řady 7000 a 7200,
  • virtualizovaný kontrolér (Mobility Controller Virtual Appliance),
  • SD-WAN gateway řady 9000 v režimu Wi-Fi kontroléru.
 

1.2  Podporované klientské platformy

VIA software lze provozovat na valné většině dnes používaných operačních systémů. Podporovány jsou jak desktopové (Windows, různé distribuce Linuxu, Apple OS X a macOS), tak i mobilní platformy (iOS, Android). Podrobnější informace o podporovaných OS a verzích lze nalézt v dokumentaci, například na https://www.arubanetworks.com/techdocs/VIA/3x/content/overview/compatibility%20matrix.htm.

V dokumentaci lze také najít seznam podporovaných vlastností na jednotlivých platformách, viz https://www.arubanetworks.com/techdocs/VIA/3x/content/overview/feature%20parity.htm.
 

1.3  Licencování

Možnosti licencování lze rozdělit v závislosti na verzi ArubaOS, která na kontroléru běží. V případě ArubaOS 6 je třeba mít aktivní licenci PEFV. Ta odemyká podporu VIA VPN spojení a umožňuje připojit uživatele do výše kapacity konkrétního modelu kontroléru. Například v případě modelu 7005 je tedy možné po nahrání PEFV licence připojit skrze VIA VPN až 1024 uživatelů. Je však třeba nezapomínat, že se do limitu počtu uživatelů počítají všichni uživatelé/zařízení, která kontrolér obsluhuje – tedy včetně těch na Wi-Fi a podobně. V případě kontroléru, který zároveň obsluhuje WiFi síť, pak bude VPN kapacita snížena o ostatní uživatele.

V případě ArubaOS 8 je možné VIA VPN licencovat buď pomocí PEFV licence (typicky pokud ji zákazník vlastní z doby ArubaOS 6 a posléze upgradoval na novější verzi OS), nebo pomocí nové licence LIC-VIA. Pro PEFV licenci platí stejné zákonitosti jako u ArubaOS 6: licence tedy odemyká VIA VPN do maximální kapacity kontroléru. LIC-VIA naopak představuje per uživatel licenční model. Je k dispozici pouze pro
 

_____
4   

Zpět na obsah


 

zařízení s ArubaOS 8 a v závislosti na množství VPN uživatelů může často vycházet finančně výhodněji než koupit PEFV licenci. Pro SD-WAN gateway řady 9000 pak PEFV licence neexistuje vůbec.

1.4  Dokumentace

Podrobná dokumentace viz https://www.arubanetworks.com/techdocs/VIA/3x/content/home.htm. Dále pak samozřejmě lze použít i konfigurační dokumentace k jednotlivým softwarovým verzím OS pro kontrolér, viz například Aruba Support Portal na adrese https://asp.arubanetworks.com.



















 


 

_____
5   

Zpět na obsah

 

2  Topologie pro tento návod a prerekvizity

Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.

 

Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.


 

Obrázek 1: Schéma testovací topologie

 

V příkladech níže budete konfigurovat především Aruba kontrolér a notebook uživatele. V pokročilých kapitolách se od vás bude vyžadovat i konfigurace vámi zvoleného RADIUS serveru. Firewall plní jen roli výchozí brány pro kontrolér a stará se o komunikaci do internetu – jeho nastavení zde proto není dále nijak diskutováno.

 

_____
6   

Zpět na obsah

 

3  Nahrání licencí do kontroléru

Před začátkem konfigurace je nutné zalicencovat kontrolér, viz část 1 na straně 4. Pokud jste již licence do kontroléru nahráli, můžete tuto část přeskočit. V opačném případě následujte instrukce níže.

Nejprve si připravte licenční klíče. Získáte je aktivací v licenčním portálu, který používáte. V době vzniku tohoto návodu je to buď My Networking portál, nebo novější ASP (Aruba Support Portal). Nezapomeňte, že už máte pro konkrétní kontrolér aktivované nějaké licence a budete chtít aktivovat další, je třeba to provést pod stejným účtem, pod kterým jsou vedeny ostatní aktivní licence.

Nyní se přihlaste do webového rozhraní kontroléru. Má-li kontrolér IP adresu například 172.16.0.254, pak je management běžně na adrese https://172.16.0.254:4343. Viz Obrázek 2.
 

 

Obrázek 2: Přihlášení do webového rozhraní kontroléru


 

Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
 

 

Obrázek 3: Přehled provozních informací po přihlášení do kontroléru


 

_____
7   

Zpět na obsah


 

Dále v hlavním menu vyberte položku License v části Configuration (viz Obrázek 4).
 

 

Obrázek 4: Přístup ke správě licencí skrze hlavní menu


 

Na stránce, která se otevře, uvidíte aktuální stav nahraných licencí – protože kontrolér není ještě zalicencovaný, měly by počty být stejné, jako ukazuje Obrázek 5.
 

 

Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru


 

Na téže stránce přejděte do části Inventory a klepnutím na symbol otevřete dialog pro přidání nových licencí. V okně, které se otevře (viz Obrázek 6), zadejte licenční klíč pro VIA (nebo dříve PEFV) funkcionalitu a potvrďte ho klepnutím na tlačítko OK.
 

 

Obrázek 6: Dialog pro vložení licenčního klíče


 

_____
8   


 

Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz Obrázek 7.
 

 

Obrázek 7: Kontrola stavu licencí pro přidání nových

 

Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.

















 


 

_____
9   


4  Zapnutí skrytých voleb

Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.

V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz Obrázek 8.
 

 

Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní


 

V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz
 

 

Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní


V další části nastavíte nezbytné VLAN a IP parametry.



 
_____
10  

 

Zpět na obsah

 

5  Konfigurace IP konektivity

Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.

Konfigurační kontext změníte klepnutím na tlačítko   vlevo nahoře, viz Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 11.
 
 
Obrázek 10: Menu pro změnu konfiguračního kontextu
 
 
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního

Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 12.
 
 
Obrázek 12: Změna konfiguračního kontextu
 

5.1  Nastavení VLAN

VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 13.
 
 
Obrázek 13: Menu pro přístup ke konfiguraci VLAN
 
Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 14.

 

 

_____
11  

 

Zpět na obsah

 
 
 
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu)
 
Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko Deploy Changes se změny aktivují. Viz Obrázek 15.
 
 
Obrázek 15: Nasazení konfigurace nové VLAN do provozu
 
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 190) a následně ji v části Port Members přiřaďte na konkrétní port. Viz Obrázek 16 a Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.
 
 
Obrázek 16: Přístup k nastavení VLAN na portech
 

 

_____
12  

 

Zpět na obsah

 

 
 
Obrázek 17: Přiřazení VLAN na konkrétní port

Následně opět změny aktivujte klepnutím na tlačítko Pending Changes vpravo nahoře, respektive tlačítko Deploy Changes v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje Obrázek 18.
 
 
Obrázek 18: Nasazení konfigurace nové VLAN do provozu
 

5.2  Nastavení IP parametrů

Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 19. Nastavení uložte klepnutím na tlačítko Submit.
 
 
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu
 

 

_____
13  

 

Zpět na obsah

 


Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven.

 

 

Obrázek 20: Zapnutí NAT provoz do internetu

 
 

I tentokrát nastavení uložte tlačítkem Submit a následně změny aktivujte klepnutím na tlačítko Pending Changes, viz Obrázek 21.
 

 

Obrázek 21: Kontrola a aktivace nastavení IP adresy

 

 


_____
14  

 

Zpět na obsah


 

Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko   a zadejte adresu brány, jak ukazuje Obrázek 22.
 

 

Obrázek 22: Přidání nové výchozí brány

 

Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu, viz Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře – viz Obrázek 24.
 

 

Obrázek 23: Seznam existujících výchozích bran

 

 

Obrázek 24: Aktivace změn po nastavení nové výchozí brány

 

Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko  , zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz Obrázek 25. Tlačítkem Submit nastavení uložte a nezapomeňte změny aktivovat – viz Obrázek 26.
 

 

_____
15  

 

Zpět na obsah


 

 

Obrázek 25: Přidání nového NTP serveru


 

 

Obrázek 26: Aktivace nastavení nového NTP serveru


 

5.3  Otestování konektivity

Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 27.
 

 

Obrázek 27: Menu pro přístup k diagnostickým nástrojům


 

Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz Obrázek 28 a Obrázek 29.
 

 

_____
16  
 

 

 

Obrázek 28: Použití nástroje Ping pro otestování konektivity

 

 

Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping


 

Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.

 

 

_____
17  
 

6  Konfigurace VIA VPN v režimu Full Tunnel

V tomto případě budete nastavovat VPN, která bude tunelovat veškerý provoz. To znamená, že uživatel skrze VPN přistupuje nejen k interním zdrojům, ale také že přistupuje na internet přes firemní konektivitu. To může být žádoucí například tehdy, když uživatelé potřebují dále přistupovat ke službám v internetu, které mají omezený přístup na vybrané (firemní) zdrojové IP adresy. Alternativa v podobě split tunnelingu je popsána dále v části 7 Konfigurace VIA VPN režimu Split Tunnel na straně 33.

Uživatelé se budou v tuto chvíli ověřovat vůči interní databázi kontroléru (ale jak bylo popsáno v úvodu, je samozřejmě možné uživatele ověřovat například vůči externímu RADIUS serveru a dalším).
 

6.1  Příprava uživatelské role

Nejprve si připravte uživatelskou roli, kterou VIA uživatelé dostanou po úspěšném připojení. Na základě této role pak můžete v rámci kontroléru řídit jejich přístup. Například pomocí ACL omezovat jejich přístup k různým zdrojům. Uživatelské role a ACL se spravují v menu Configuration, Roles & Policies, viz Obrázek 30.
 

 

Obrázek 30: Menu pro přístup k nastavení uživatelských rolí


 

Na stránce, která se vám otevře, klepněte v tabulce Roles na symbol  +  a přidejte novou uživatelskou roli, viz Obrázek 31.
 

 

Obrázek 31: Vytvoření nové uživatelské role


 

Následně ze seznamu rolí tuto novou roli vyberte. Níže se zobrazí tabulka s detaily této konkrétní role. Vpravo v záhlaví této tabulky klepněte na Show Advanced View. Potom klepněte v seznamu politik na symbol   , abyste mohli přidat k roli další ACL – viz Obrázek 32.
 

 

Obrázek 32: Přístup k přidání bezpečnostní politiky ke konkrétní uživatelské roli


_____
18  

Zpět na obsah

 

 

V okně, které se otevře, vyberte existující ACL allowall (povoluje uživateli přístup bez omezení všude) a tlačítkem Submit nastavení uložte. Viz Obrázek 33.
 

 

Obrázek 33: Přidání bezpečnostní politiky k uživatelské roli

 

Nastavení zkontrolujte, viz Obrázek 34, a pak jako vždy aktivujte konfiguraci skrze tlačítko Pending Changes vpravo nahoře.
 

 

Obrázek 34: Seznam bezpečnostních politik aplikovaných na konkrétní uživatelskou roli

 

6.2  Nastavení VPN služby

Dále si připravte několik věcí nezbytných pro fungování VPN služby. Přejděte do menu Configuration, Services – viz Obrázek 35.
 

 

Obrázek 35: Menu pro přístup k nastavení VPN služeb

 

Na stránce s nastavením VPN otevřete část IKEv1 a povolte protokoly tak, jak ukazuje Obrázek 36. Nastavení uložte tlačítkem Submit.
 

 

Obrázek 36: Nastavení protokolů použitých při IKEv1

 

_____
19  

Zpět na obsah


Přejděte do části General VPN, v seznamu Address Pools klepněte na    a založte nový pool, z kterého budou VIA uživatelé dostávat po připojení IP adresy (uvádí se rozsah poolu, tedy první a poslední adresa; maska se neuvádí). Dále povolte NAT-T kvůli průchodu IPsec provozu skrze NAT po cestě a nezapomeňte vyplnit adresy DNS serverů, které mají uživatelé po připojení k VPN používat. Viz Obrázek 37. Provedené změny uložte tlačítkem Submit.

Na DNS servery je třeba pamatovat proto, aby uživatelům po připojení k VPN správně fungovaly překlady typicky interních DNS názvů. Normálně uživatel při svém připojení zvenčí používá veřejné DNS servery, které však nemusí být schopny přeložit interní DNS názvy. Proto po připojení k VPN kontrolér pošle uživateli novou konfiguraci DNS serverů, typicky interních firemních, které tato neveřejná doménová jména je schopen obsloužit. Po odpojení uživatele se VIA klient na jeho počítači postará o obnovení DNS konfigurace do původního stavu.
 

 

Obrázek 37: Přidání IP poolu pro VPN služby a další doplňující nastavení

 

Nakonec se přepněte do části Shared Secrets. V tabulce IKE Shared Secrets klepněte na    a vytvořte heslo, které se použije pro IKE mezi klientem a kontrolérem. Subnet a Subnet Mask ponechejte 0.0.0.0, viz vysvětlení přímo u formuláře. Viz Obrázek 38. Změny opět uložte tlačítkem Submit a následně je pomocí Pending Changes vpravo nahoře aktivujte.
 

 

Obrázek 38: Vytvoření preshared key pro IKE

 

_____
20  

Zpět na obsah

 


Provedená nastavení ještě pro jistotu zkontrolujte, viz Obrázek 39 a Obrázek 40, a pokračujte další částí.
 

 

Obrázek 39: Seznam nastavených VPN poolů

 

 

Obrázek 40: Seznam nastavených preshared key pro IKE


 

6.3  Konfigurace VIA VPN komponent

Nastavení VIA VPN se provádí v menu Configuration, Authentication, viz Obrázek 41.
 

 

Obrázek 41: Menu pro přístup k nastavení VIA profilů


Samotná VIA VPN se skládá ze tří profilů, viz Obrázek 42.
 

  1. VIA Authentication Profile: obsahuje informace o tom, jak a vůči kterému serveru se mají uživatelé ověřovat při připojení.
  2. VIA Connection Profile: obsahuje kompletní konfiguraci připojení, které následně obdrží klienti.
  3. VIA Web Authentication Profile: umožňuje uživatelům vybraných VIA Authentication profilů přístup k webovému rozhraní, z něhož lze stáhnout instalační soubory VIA klienta.

 

 

Obrázek 42: Seznam profilů potřebných k zprovoznění VIA

 

_____
21  


 

Konfigurace pak probíhá tak, že si nejprve jednotlivé profily připravíte, následně je pospojujete dohromady a nakonec vše ještě propojíte s rolí, kterou dostanou uživatelé po připojení.
 

6.3.1  VIA Authentication

Nejprve nastavte ověřování uživatelů. Přejděte do menu Configuration, Authentication. V seznamu L3 Authentication vyberte VIA Authentication a klepnutím na    vytvořte nový profil – viz Obrázek 43.
 

 

Obrázek 43: Vytvoření nového VIA Authentication profilu

 

Nastavte parametry profilu, jak ukazuje Obrázek 44 a Obrázek 45. Profil pojmenujte; vyberte jako výchozí uživatelskou roli tu, kterou jste vytvořili v části 6.1; zvolte autentizační protokol; nakonec ještě nastavte server, proti kterému se budou uživatelé ověřovat – nyní budete používat interní databázi uživatelů, zvolte proto server internal.
 

 

Obrázek 44: Nastavení parametrů nového VIA Authentication profilu

 

 

Obrázek 45: Nastavení serveru pro ověřování uživatelů při VIA VPN

 

_____
22  
 

 

Nakonec provedená nastavení uložte tlačítkem Submit a konfiguraci aktivujte přes tlačítko Pending Changes – viz Obrázek 46.
 

 

Obrázek 46: Kontrola a aktivace nastavení VIA Authentication profilu

 


6.3.2  VIA Connection

Nyní v seznamu L3 Authentication vyberte VIA Connection a klepnutím na    opět vytvořte nový profil – viz Obrázek 47.
 

 

Obrázek 47: Vytvoření nového VIA Connection profilu

 

Pomocí tlačítka    do nového profilu postupně přidejte VPN server (položka Addr znamená veřejnou IP adresu kontroléru, Internal_ip pak jeho LAN adresu) a profil pro autentizaci. Viz Obrázek 48 a Obrázek 49.
 

 

Obrázek 48: Přidání VPN serveru (kontroléru) do VIA Connection profilu

 

_____
23  

 

 

 

Obrázek 49: Přidání VIA Authentication profilu do VIA Connection profilu

 

Dále povolte automatické přihlášení po spuštění VIA klienta na uživatelově počítači a nastavení profilu zkontrolujte, viz Obrázek 50. Změny opět uložte tlačítkem Submit a jako vždy je aktivujte.
 

 

Obrázek 50: Nastavení parametrů nového VIA Connection profilu

 

U VIA Connection profilu lze nastavit také další volby, které se mohou hodit v případě konkrétních instalací. Je jich velké množství, proto v případě potřeby nahlédněte do oficiální dokumentace. Například do tabulky VIA Connection Profile Options v části Creating VIA Connection Profiles na webu https://www.arubanetworks.com/techdocs/VIA/3x/content/via%20config/configuring_via_settings.htm.
 

6.3.3  VIA Web Authetication

V menu L3 Authentication vyberte nyní VIA Web Authentication. Protože tento typ profilu je v AOS pouze jeden, použijte již existující profil default. Profil vyberte, pak klepnutím na    přidejte váš VIA Authentication Profile (ten, který jste vytvořili v části 6.3.1). Viz Obrázek 51 a Obrázek 52.
 

 

Obrázek 51: Přidání VIA Authentication profilu do VIA Web Authentication profilu

 

_____
24  


 

 

Obrázek 52: Výběr VIA Authentication profilu pro VIA Web Authentication profil

 

Nakonec nastavení zkontrolujte (viz Obrázek 53), uložte tlačítkem Submit vpravo dole a nastavení jako vždycky aktivujte přes tlačítko Pending Changes.
 

 

Obrázek 53: Kontrola nastavení VIA Web Authentication profilu


 

6.3.4 Dokončení nastavení VIA VPN

Nyní doplňte k uživatelské roli pro VIA uživatele potřebné VPN nastavení. Přejděte do menu Configuration, Roles & Policies (viz Obrázek 30). Ze seznamu rolí vyberte tu, kterou jste vytvořili v části 6.1. Ve vlastnostech role přepněte zobrazení klepnutím na Show Advanced View. Nakonec přejděte na záložku More. Zde nastavte L2TP pool (bude to ten, který jste vytvořili v části 6.2) a VIA Connection Profile (bude to ten z části 6.3.2). Viz Obrázek 54.

Tímto nastavením kontroléru řeknete, jaké IP adresy mají uživatelé připojení přes VIA VPN získat a jaké parametry má mít jejich připojení (například, zdali se má použít split tunneling, a pokud ano, tak pro jaké IP adresy).
 

 

Obrázek 54: Doplnění VPN nastavení k uživatelské roli použité pro VIA uživatele

 

_____
25  



Nakonec klasicky nastavení uložte tlačítkem Submit a aktivujte ho.
 

6.4  Práce s interní databází uživatelů

Kontroléry umožňují použít pro správu uživatelů interní databázi a interní RADIUS server. V případě jednodušších instalací je to cesta, jak snadno a bez potřeby další infrastruktury nasadit do sítě ověřování vůči RADIUS serveru. Je samozřejmě potřeba počítat s mnohými omezeními, kterými je toto zjednodušení řešení zatíženo.

Práce s uživatelskými účty se provádí přímo nad databází, takže veškeré operace (přidání, smazání, úprava uživatele) se provedou okamžitě. Není tedy třeba je aktivovat, jako tomu je u běžného nastavení. Proto buďte opatrní, tyto změny jsou nevratné.

Správa interní databáze uživatelů se provádí v menu Configuration, Authentication – viz Obrázek 55.
 

 

Obrázek 55: Menu pro přístup k interní databázi uživatelů

 



6.4.1  Vytvoření nového uživatelského účtu

V seznamu serverů (tabulka All Servers) vyberte položku Internal. Níže se otevřou vlastnosti tohoto konkrétního serveru. Pod záložkou Users klepněte na tlačítko  , čímž založíte nového uživatele – viz Obrázek 56.
 

 

Obrázek 56: Přístup k vytvoření nového uživatele v databázi interního RADIUS serveru

 

_____
26  


 

Nově založený uživatel má automaticky vygenerované jméno a heslo (viz Obrázek 57). Můžete to tak ponechat, nebo tlačítkem Generate vygenerovat údaje nové, nebo jeho údaje zadat ručně (viz Obrázek 58). Ať už použijete jakoukoliv možnost, nezapomeňte uživateli nastavit správnou roli a ujistit se, že je účet aktivní. Vytvoření účtu potvrďte klepnutím na tlačítko Submit.
 

 

Obrázek 57: Vytvoření nového uživatelského účtu s náhodně vygenerovaným heslem

 

 

Obrázek 58: Vytvoření nového uživatelského účtu s ručně zadaným heslem

 

Nakonec v seznamu All Servers vyberte interní databázi uživatelů a zkontrolujte, že je vše v pořádku. Viz Obrázek 59.
 

_____
27  


 

 

Obrázek 59: Přehled uživatelů v databázi interního RADIUS serveru

 



6.4.2  Editace uživatelského účtu

V seznamu účtů vyberte konkrétního uživatele. Níže se otevřou jeho detaily, které můžete editovat (viz Obrázek 60). Pozor, uživatelské jméno je neměnné – pokud ho potřebujete změnit, je nutné existujícího uživatele smazat a vytvořit znovu s novým jménem. Změny nakonec uložte tlačítkem Submit vpravo dole.
 

 

Obrázek 60: Editace existujícího uživatelského účtu v databázi interního RADIUS serveru

 

6.4.3  Smazání uživatelského účtu

V seznamu účtů vyberte konkrétního uživatele. Vpravo klepněte na tlačítko  a potvrďte smazání v okně, které se otevře.
 

6.5  Stažení VIA instalátoru z kontroléru

Instalátor VIA klienta je možné získat na různých místech. Pro některé operační systémy (macOS například) je instalátor dostupný výhradně skrze oficiální obchod s aplikacemi. Instalátory pro další platformy (například Windows, Linux, OS X) lze stáhnout na webu technické podpory Aruba a uživatelům je zpřístupnit prostřednictvím kontroléru.
 

_____
28  


 

V praxi to vypadá tak, že kontrolér v sobě obsahuje instalátory VIA klienta dostupné v době vydání konkrétního AOS. Případně může administrátor nahrát novější instalační soubory do kontroléru ručně. Uživatel se poté svými VIA údaji přihlásí do kontroléru a stáhne si instalátor podle potřeby. Správce sítě tak má (společně s automatickou aktualizací klienta) pod kontrolou, jaké verze klienta uživatelé používají.

Pro stažení instalátoru navštivte adresu https://<server-IP-address>/via, kde IP adresa odpovídá položce Addr, viz Obrázek 50 na straně 24. Typicky jde o adresu, na které je kontrolér dostupný z internetu. V tomto příkladu jde o adresu https://192.168.190.1/via. Měl by se vám otevřít přihlašovací formulář, viz Obrázek 61.
 

 

Obrázek 61: Přihlášení do kontroléru pro stažení VIA instalátoru

 

Po úspěšném přihlášení se vám otevře stránka se seznamem dostupných instalátorů, viz Obrázek 62. Podobu stránky lze upravit, viz dokumentace (*1).
 

 

Obrázek 62: Webová stránka s odkazy na stažení instalátorů Aruba VIA klienta




__________________________________________
(*1)  Konkrétně je přizpůsobení stahovací stránky popsáno například v kapitole „Rebranding VIA“ na webu https://www.arubanetworks.com/techdocs/VIA/3x/content/via%20config/configuring_via_settings.htm.
 

_____
29  

 

6.6 Nastavení VIA klienta a připojení k VPN

Po instalaci VIA klienta spusťte. Protože jste se zatím nepřipojili k žádnému serveru, klient vás k tomu vybídne – viz Obrázek 63. Pro úplnost, ukázka zde je z klienta pro operační systém Windows 10.
 

 

Obrázek 63: Aruba VIA klient: prostředí po prvním spuštění, před stažením VPN profilu

 

Nejprve zadejte veřejnou IP adresu VIA VPN serveru (v tomto příkladu spíše „veřejnou“), viz Obrázek 64. Pokračujte dále klepnutím na tlačítko Download.
 

 

Obrázek 64: Aruba VIA klient: zadání VPN serveru pro stažení konfigurace

 

Dále zadejte uživatelské jméno a heslo k VPN a pokračujte klepnutím na tlačítko Proceed – viz Obrázek 65.
 

_____
30  


 

 

Obrázek 65: Aruba VIA klient: zadání údajů pro přihlášení uživatele

 

Program se poté připojí ke kontroléru a po úspěšném ověření uživatele si stáhne konfigurační soubor. Nakonec se připojí k VPN serveru. Po připojení klientský program ukazuje základní atributy spojení (jde o Full Tunnel spojení a IPsec zabezpečení). Viz Obrázek 66. VPN spojení můžete ukončit klepnutím na zelené kolečko v hlavní obrazovce programu.
 

 

Obrázek 66: Aruba VIA klient: informace o aktivním připojení

 

Nakonec můžete zkontrolovat, že máte přístup do LAN, která je v tomto příkladu simulována sítí 172.16.0.0/24. Například „opingejte“ LAN adresu kontroléru, viz Obrázek 67.
 

_____
31  
 

 

 

Obrázek 67: Otestování VIA z klientského počítače

 

Podívejte se také z klientského počítače přímo do webového rozhraní kontroléru, jak vypadá přehled připojených klientů. Připojte se, v tomto příkladu, na adresu https://172.16.0.254:4343 a přihlaste se administrátorským účtem. Přepněte se do správného konfiguračního kontextu (viz začátek části 5). Obrázek 68 zobrazuje, jak se k přehledu VPN klientů dostat z prostředí hlavního dohledového dashboardu. Obrázek 69 pak ukazuje už samotný přehled připojených uživatelů.
 

 

Obrázek 68: Hlavní dashboard pro monitoring kontroléru a souvisejících věcí

 

 

Obrázek 69: Přehled uživatelů připojených přes VPN

 

_____
32  

 

7  Konfigurace VIA VPN režimu Split Tunnel

Druhým používaným scénářem je VPN v režimu Split Tunnel. V takovém případě se skrze VIA VPN tunelují pouze vybrané sítě a zbytek provozu je obsloužen lokálně klientem. Typicky jde o to zajistit zabezpečený přístup koncového uživatele k vybraným interním firemním zdrojům a zároveň mu ponechat přímý přístup na internet.

Výhody jsou jasné: šetří to pásmo a eliminuje možné negativní vlivy tunelování na některé internetové služby. Například je zbytečné, aby stream internetového rádia, které si uživatel pustil, šel nejprve do firemního kontroléru a teprve odtud putoval k uživateli, když může uživatel poslouchat rádio přímo ze serveru provozovatele.

V konfiguračním příkladu níže budete uživatele ověřovat opět vůči internímu RADIUS serveru. Nezapomeňte, že je třeba konfiguraci provádět ve správném kontextu, jak bylo popsáno v části 5 na straně 11.
 

7.1  Nastavení serverové části VPN

Nejprve vytvořte novou uživatelskou roli, jak bylo popsáno v části 6.1 na straně 18. Roli nazvěte například via-split-role a nezapomeňte jí přidat ACL allowall – viz Obrázek 70.
 

 

Obrázek 70: Uživatelská role pro Split Tunnel VIA VPN a seznam k ní připojených ACL

 

Dále přejděte do menu Configuration, Authentication, L3 Authentication. Založte nový VIA Authentication profil – viz část 6.3.1 na straně 22. Pojmenujte ho třeba my-via-split a nastavte ho tak, jak ukazuje Obrázek 71 a Obrázek 72.
 

 

Obrázek 71: Nastavení parametrů VIA Authentication profilu pro Split Tunnel VPN

 

_____
33  


 

 

Obrázek 72: Nastavení serveru pro ověřování uživatelů pro Split Tunnel VPN

 

Následně si připravte VIA Connection profil. Můžete vycházet z části 6.3.2 na straně 23. Oproti předchozímu příkladu doplňte nastavení split tunnelingu. Tedy povolte split tunneling jako takový a přidejte LAN subnet mezi tunelované sítě. Viz Obrázek 73.
 

 

Obrázek 73: Nastavení parametrů nového VIA Connection profilu pro Split Tunnel VPN

 


Konfiguraci VIA profilů dokončete úpravou nastavení VIA Web Authentication profilu. Jak ukazuje Obrázek 74, do profilu default doplňte výše nově vytvořený autentizační profil my-via-split. Pokud tam nyní máte přiřazený profil z konfigurace příkladu 6 na straně 18, pro zjednodušení situace ho smažte.


 

_____
34  
 

 

 

Obrázek 74: Přidání autentizačního profilu do VIA Web Auth. profilu pro Split Tunnel VPN

 

Nakonec doplňte ještě VPN nastavení k uživatelské roli, která je použita pro vaši split tunnel VPN, viz Obrázek 75. Nezapomeňte provedená nastavení aktivovat přes tlačítko Pending Changes vpravo nahoře.
 

 

Obrázek 75: Doplnění VPN nastavení k uživatelské roli pro Split Tunnel VPN

 

Před samotným testováním vytvořte v interní databázi nového uživatele s patřičnou rolí (tzn. via-split-role). Část 6.4 na straně 26 popisuje jak na to. Nebo upravte již existující účet, viz Obrázek 76.
 

 

Obrázek 76: Úprava uživatelského účtu pro Split Tunnel VPN


_____

35 

 

7.2  Nastavení klientské části VPN

Pokud máte nyní ve VIA klientovi nastavení pro příklad 6 na straně 18, vyčistěte ho. Nejprve smažte profil: otevřete nastavení programu klepnutím na ikonu    v hlavním okně programu, na záložce VPN Profiles klepněte na tlačítko Clear Profiles, viz Obrázek 77. Klepnutím na tlačítko Done pak nastavení zavřete.
 

 

Obrázek 77: Smazání aktuálního VPN profilu ve VIA klientovi

 

Dále úplně smažte z VIA klienta existující VPN server. V hlavním okně programu klepněte na ikonu  .

V seznamu serverů vyberte ten správný a smažte ho, viz Obrázek 78.
 

 

Obrázek 78: Smazání VPN serveru ve VIA klientovi

 

_____
36  


 

Nyní se můžete k VPN znovu připojit, můžete postupovat třeba podle části 6.6 na straně 30. Jen nezapomeňte použít přihlašovací údaje uživatele pro split tunnel VPN (pokud jste uživatelů vytvořili více). Po úspěšném připojení byste to opět měli poznat v hlavním okně programu, viz Obrázek 79.
 

 

Obrázek 79: Kontrola Split Tunnel spojení ve VIA klientovi

 

7.3  Otestování a kontrola VPN

Připojenou VPN můžete zkontrolovat na kontroléru, viz Obrázek 68 a Obrázek 80.
 

 

Obrázek 80: Informace o uživatelích připojených přes VIA VPN

 


Nakonec ještě můžete vyzkoušet funkčnost split tunnelu přímo z klienta. Jak je vidět níže (viz Obrázek 81), přístup mimo tunelované sítě jde přímo do internetu, zatímco firemní síť (zde subnet 172.16.0.0/24) klient posílá skrze VPN.


 

_____
37  


 

 

Obrázek 81: Testování split tunnel VPN z klientského počítače


 

 

_____
38  

 

8  Diagnostika

8.1  Troubleshooting na klientovi

Na klientovi se dostanete k diagnostickým informacím přes ikonu ozubeného kolečka na hlavní obrazovce VIA klienta, viz Obrázek 82.
 

 

Obrázek 82: Menu pro přístup k servisním možnostem VIA klienta

 

Na záložce Log najdete aplikační logy, viz Obrázek 83. Logy můžete smazat klepnutím na tlačítko Clear Logs. Také můžete získat podrobnější informace pro troubleshooting klepnutím na tlačítko Send Logs. Druhé zmíněné vytvoří ZIP archiv s podrobnými diagnostickými informacemi, které se hodí zejména v případě, že řešíte nějaký problém přímo s technickou podporou Aruba –viz Obrázek 84.
 

 

Obrázek 83: Servisní log ve VIA klientovi

 

 

Obrázek 84: E-mail s tech support soubory pro troubleshooting problémů s VIA klientem


 

_____
39  


 

Záložka VPN Profile, viz Obrázek 85, obsahuje informace o aktuálně používaném VIA nastavení (vidíte zde například, jaké VIA Authentication a VIA Connection profily jsou aktivní). V případě problémů také můžete aktuální nastavení smazat tlačítkem Clear Profiles.
 

 

Obrázek 85: Informace o VPN profilu, který VIA klient aktuálně používá


Poslední užitečná záložka je About, kde naleznete informaci o verzi VIA klienta. Viz Obrázek 86.
 

 

Obrázek 86: Informace o verzi nainstalovaného VIA klienta


 

_____
40  


 

Když v hlavním okně programu klepnete na ikonu   , otevře se seznam známých VPN serverů. Servery, které nejsou nyní aktivní (to znamená, že nemáte stažený žádný VPN profil, který by k nim patřil) můžete smazat, viz Obrázek 87.
 

 

Obrázek 87: Smazání VPN serveru ve VIA klientovi

 

8.2  Troubleshooting na kontroléru

Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
 

8.2.1  Práce se systémovým logem

V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.


Zobrazení posledních 10 zpráv v systémovém logu kontroléru:
 


 

_____
41  


 


Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:
 


Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:
 


 

_____
42  



Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:
 

 



8.2.2  Získávání informací o aktivních uživatelích

Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):
 


 

_____
43  


 

8.2.3  Získávání informací o IPsec spojeních

Obecně jsou všechny podstatné informace o IPsec dostupné pod menu show crypto (*2). K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI (*3) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).


Zobrazení informací o IPsec spojeních a jejich parametrech:
 


Zobrazení podrobných informací o konkrétní IPsec protistraně:
 



__________________________________________
(*2)  Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/aaa-als-grp.htm.
(*3)  Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/Chapters/cli-access.htm.
 

_____
44  



Zobrazení informací o ISAKMP spojeních a jejich parametrech:
 


Detailní informace o konkrétním ISAKMP spojení:
 


 

_____
45  


 


















 

_____
46  

 

9  Pokročilá nastavení

V této části naleznete několik vybraných pokročilých tipů a ukázek.
 

9.1  Aktualizace instalátorů VIA klienta na kontroléru

Správa instalátorů VIA klienta je dostupná pod menu Configuration, Services, na záložce VPN, dole v části VIA.

Nový instalační balíček můžete přidat klepnutím na tlačítko v tabulce VIA Installer Packages – viz Obrázek 88. Pokud chcete aktualizovat balíček pro architekturu, pro kterou už kontrolér instalátor má, pak stačí nahrát novou verzi – existující instalátor bude přepsán. Instalační balíčky můžete též smazat. Stačí některý vybrat a klepnout na tlačítko vpravo.
 

 

Obrázek 88: Seznam instalátorů VIA klientů aktuálně nahraných do kontroléru

 

Po klepnutí na tlačítko vyberte instalační balíček, který se má do kontroléru nahrát a klepnutím na tlačítko OK instalátor nahrajte – viz Obrázek 89. Nezapomeňte, že je nutné použít instalátory ve formátu ARB, ne obvyklé spustitelné soubory jako je například windowsovské MSI.
 

 

Obrázek 89: Upload instalátoru VIA klienta do kontroléru


Jakmile je nahrávání nového instalátoru dokončeno, uvidíte to v seznamu. Viz Obrázek 90.
 

 

Obrázek 90: Seznam instalátorů VIA klientů po aktualizaci jednoho z nich

 

_____
47  


 

Pokud je povolena automatická aktualizace (ve výchozím nastavení povolena je), nabídne se uživatelům aktualizace VIA klienta při nejbližší příležitosti. Toto pochopitelně neplatí pro operační systém macOS, kde instalace i aktualizace klienta probíhá z centrálního AppStore.
 

9.2  Vlastní logo v klientovi

Nastavení vlastního loga je dostupné pod menu Configuration, Services, na záložce VPN, dole v části VIA.
 

Klepnutím na tlačítko Browse u položky Logo vyberte v počítači obrázek, které splňuje uvedená omezení – viz Obrázek 91. Klepnutím na tlačítko Submit vpravo dole logo do kontroléru nahrajte.
 

 

Obrázek 91: Nahrání vlastního loga pro VIA VPN

 

Následně je nové logo vidět přímo v administraci kontroléru – viz Obrázek 92. Pokud tomu tak není (což se občas může stát), stačí většinou stránku znovu načíst.
 

 

Obrázek 92: Nové logo VIA VPN v administraci kontroléru

 

Na uživatelově počítači se nové logo objeví většinou po restartu VIA a opětovném připojení k VPN. Viz Obrázek 93. Pokud by to nepomohlo, vždycky můžete aktuální profil smazat a znovu ho stáhnout (viz Obrázek 85 na straně 40).
 

 

Obrázek 93: Aruba VIA klient s vlastním logem

 

_____
48  


9.3  SSL Fallback

Některé firewally mohou blokovat porty potřebné pro správnou funkčnost IPsec (konkrétně porty 4500/UDP a 500/UDP). Pro tyto situace má VIA takzvaný SSL fallback, kdy je VPN provoz zabalen do SSL hlavičky a navenek se tváří jako běžný HTTPS provoz, který firewall obvykle neblokuje. Více informací je například na webu Airheads: https://community.arubanetworks.com/t5/Controller-Based-WLANs/What-is-the-role-of-SSL-fallback-option-in-VIA-deployments-and/ta-p/180088.

Nastavení se provádí v menu Configuration, System. Dále v horním menu vyberte Profiles a v seznamu All Profiles přejděte do části Other Profiles, VIA Global Configuration. Zde povolte možnost SSL fallbacku, viz Obrázek 94. Nastavení uložte tlačítkem Submit a aktivujte tlačítkem Pending Changes.
 

 

Obrázek 94: Povolení SSL fallbacku pro VIA VPN

 



9.4  Ověřování uživatelů proti RADIUS serveru

Autentizace VPN uživatelů proti RADIUS serveru může být vyžadována hlavně v případě organizací, které ho již stejně používají pro ověřování uživatelů i pro jiné účely (například přístup do sítě chráněný pomocí 802.1X). Použít lze prakticky jakýkoliv RADIUS server, například robustní ClearPass Policy Manager, NPS od Microsoftu, či třeba bezplatný FreeRADIUS.

Níže tedy uvidíte, jak nastavit ověřování VIA VPN uživatelů vůči RADIUS serveru, a to včetně přidělování uživatelských rolí (použitím k tomu určeného VSA). Příklad vychází z části 7 (Konfigurace VIA VPN režimu Split Tunnel) na straně 33 a upravuje ho. Pro úplnost: v tomto příkladu je použitý ClearPass Policy Manager, jeho konfigurace ale není předmětem tohoto návodu.
 

9.4.1  Konfigurace RADIUS autentizace

Přejděte do menu Configuration, Authentication, Auth Servers, kde se RADIUS servery nastavují. Zde v části Server Groups kliknutím na  nejprve založte novou skupinu, viz obrázek Obrázek 95.
 

 

Obrázek 95: Přidání nové server group

 

Dále v části All Servers klepněte na a přidejte nový RADIUS server, viz Obrázek 96. Jakmile server vytvoříte, vyberte ho ze seznamu a doplňte další nezbytné nastavení (typicky klíč pro přístup, někdy i NAS IP), viz Obrázek 97.
 

_____
49  

 

 

 

Obrázek 96: Přidání nového RADIUS serveru

 

 

Obrázek 97: Nastavení přístupu k novému RADIUS serveru

 

Protože VIA při autentizaci pracuje se server groups, musíte nový server přiřadit do konkrétní skupiny. Přidejte tedy váš server do server group vytvořené výše, viz Obrázek 98.
 

 

Obrázek 98: Přidání RADIUS serveru do server group

 

_____
50  


 

Nakonec zkontrolujte, že je vše správně nastaveno – tedy že nový server je ve správné server group. Viz Obrázek 99. Nastavení pak aktivujte tlačítkem Pending Changes vpravo nahoře.
 

 

Obrázek 99: Přehled RADIUS serverů ve vybrané server group

 

Nakonec upravte nastavení VIA profilu, který se stará o autentizaci klientů. V tomto příkladu budete spoléhat na přiřazení uživatelských rolí RADIUS serverem, proto nastavte výchozí uživatelskou roli na denyall (viz Obrázek 100). Takto zajistíte, že komunikovat budou moci pouze uživatelé, kterým jste prostřednictvím RADIUS serveru dali konkrétní roli, provoz ostatních (včetně uživatelů nezařazených do konkrétní role) bude zablokován. Nezapomeňte také přepnout autentizaci z interní databáze na externí RADIUS server (viz Obrázek 101).
 

 

Obrázek 100: Úprava nastavení VIA Authentication profilu před ověřováním vůči RADIUS serveru

 

 

Obrázek 101: Výběr serveru pro ověřování VIA uživatelů proti externímu RADIUS serveru


Nezapomeňte nastavení uložit tlačítkem Submit a aktivovat tlačítkem Pending Changes.

 

_____
51  


 

 

Obrázek 102: Aktivace nastavení před ověřováním VIA uživatelů vůči RADIUS serveru

 

Před otestováním nezapomeňte správně nastavit RADIUS server. VSA pro předání informace o uživatelské roli se jmenuje Aruba-User-Role. Pamatujte, že tato uživatelská role musí být na kontroléru nakonfigurovaná. Jinak přiřazení neproběhne a uživatel skončí s výchozí rolí (což je v tomto případě denyall, což efektivně zablokuje veškerou jeho komunikaci).
 

9.4.2  Otestování RADIUS autentizace

Otestování je prosté. Ve VIA klientovi se odhlaste a vyčistěte nastavení uživatele – viz třeba část 7.2 na straně 36. Následně v klientovi přidejte nové spojení jako dříve, jen pro přihlášení použijte jméno a heslo uživatele z RADIUS serveru (místo uživatele z interní databáze kontroléru, jako tomu bylo dříve).

Po připojení uživatele k VPN se můžete podívat do administrace RADIUS serveru a zkontrolovat, že ověření a přiřazení role proběhlo správně. Například v případě CPPM je k tomu určen Access Tracker. Detail konkrétního přihlášení viz Obrázek 103.
 

 

Obrázek 103: Detail odpovědi RADIUS serveru na uživatelský požadavek

 

_____
52  



Také se můžete podívat na seznam připojených uživatelů na kontrolér, viz Obrázek 104.
 

 

Obrázek 104: Přehled připojených klientů po přihlášení proti RADIUS serveru

 

Na klientovi uvidíte jméno přihlášeného uživatele (viz Obrázek 105). Dále můžete v nastavení klienta ověřit, zdali použitý profil odpovídá roli, kterou uživatel měl dostat a dostal (viz Obrázek 106).
 

 

Obrázek 105: VIA klient po přihlášení uživatele proti RADIUS serveru

 

 

Obrázek 106: Kontrola použitého proti ve VIA klientovi po přihlášení vůči RADIUS serveru

 


9.5 Ověřování uživatelů proti RADIUS serveru s použitím Server-Derivation Rules

Server-Derivation Rules (SDR) umožňují administrátorovi přiřazovat uživatelské role na základě lokálně definovaných pravidel, místo aby je přiděloval přímo RADIUS server pomocí VSA. Možnosti použití jsou různé.
 

_____
53  


 

Například pokud by konfigurace policy enforcementu na vámi používaném RADIUS serveru byla příliš komplikovaná, nebo máte serverů více a chcete jednotně přiřazovat role uživatelům bez ohledu na server (SDR se konfigurují nad skupinami serverů, nikoliv nad jedním konkrétním serverem). Více viz dokumentace, například:
 

 

Možnosti SDR jsou velké, zde uvidíte jednoduchou ukázku, jak přiřadit roli pro VPN uživateli podle jeho uživatelského jména. Ano, toto by v reálném nasazení nebylo z mnoha důvodů ideální řešení, ale pro ilustraci to postačí.

Nastavení se provádí v menu Configuration, Authentication, Auth Servers. V seznamu Server Groups vyberte konkrétní skupinu serverů, dole pak v detailech této skupiny klepněte na záložku Server Rules. Viz Obrázek 107.
 

 

Obrázek 107: Přístup ke konfiguraci Server-Derivation Rules

 


Klepnutím na  (v části Server Rules) přidejte nové pravidlo a nastavte ho podle požadavků. V tomto případě budeme roli mapovat na základě uživatelského jména, jak bude tedy pravidlo vypadat, to ukazuje Obrázek 108. Nezapomeňte hotové pravidlo uložit klepnutím na tlačítko Submit vpravo dole a konfiguraci aktivovat tlačítkem Pending Changes.


 

_____
54  

 

 

 

Obrázek 108: Nastavení nového SDR pro přiřazení role VIA uživateli


Seznam pravidel aktuálně nastavených konkrétních skupině serverů pak ukazuje Obrázek 109.
 

 

Obrázek 109: Seznam aktuálně vytvořených Server-Derivation Rules

 


O zbytek se už postará kontrolér (bude vyhodnocovat pravidla, aplikovat podle nich role a podobně), z pohledu uživatele se nic nemění.








 

_____
55  
 











 

Seznamy











 


 

_____
56  

 

Seznam obrázků

Obrázek 1: Schéma testovací topologie ................................................................................................................... 6
Obrázek 2: Přihlášení do webového rozhraní kontroléru .................................................................................... 7
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru ........................................................... 7
Obrázek 4: Přístup ke správě licencí skrze hlavní menu ...................................................................................... 8
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru .......................................................................... 8
Obrázek 6: Dialog pro vložení licenčního klíče ....................................................................................................... 8
Obrázek 7: Kontrola stavu licencí pro přidání nových .......................................................................................... 9
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní ............................................................... 10
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní ...................................................... 10
Obrázek 10: Menu pro změnu konfiguračního kontextu .................................................................................... 11
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního ............................................................ 11
Obrázek 12: Změna konfiguračního kontextu ....................................................................................................... 11
Obrázek 13: Menu pro přístup ke konfiguraci VLAN ............................................................................................ 11
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu) .............................................................................. 12
Obrázek 15: Nasazení konfigurace nové VLAN do provozu ............................................................................... 12
Obrázek 16: Přístup k nastavení VLAN na portech ............................................................................................... 12
Obrázek 17: Přiřazení VLAN na konkrétní port ...................................................................................................... 13
Obrázek 18: Nasazení konfigurace nové VLAN do provozu ............................................................................... 13
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu ............................................................... 13
Obrázek 20: Zapnutí NAT provoz do internetu ...................................................................................................... 14
Obrázek 21: Kontrola a aktivace nastavení IP adresy ........................................................................................... 14
Obrázek 22: Přidání nové výchozí brány .................................................................................................................. 15
Obrázek 23: Seznam existujících výchozích bran .................................................................................................. 15
Obrázek 24: Aktivace změn po nastavení nové výchozí brány ........................................................................... 15
Obrázek 25: Přidání nového NTP serveru ............................................................................................................... 16
Obrázek 26: Aktivace nastavení nového NTP serveru .......................................................................................... 16
Obrázek 27: Menu pro přístup k diagnostickým nástrojům ............................................................................... 16
Obrázek 28: Použití nástroje Ping pro otestování konektivity ............................................................................ 17
Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping ........................................................................... 17
Obrázek 30: Menu pro přístup k nastavení uživatelských rolí ............................................................................ 18
Obrázek 31: Vytvoření nové uživatelské role .......................................................................................................... 18
Obrázek 32: Přístup k přidání bezpečnostní politiky ke konkrétní uživatelské roli ....................................... 18
Obrázek 33: Přidání bezpečnostní politiky k uživatelské roli .............................................................................. 19
Obrázek 34: Seznam bezpečnostních politik aplikovaných na konkrétní uživatelskou roli ........................ 19
Obrázek 35: Menu pro přístup k nastavení VPN služeb ...................................................................................... 19
Obrázek 36: Nastavení protokolů použitých při IKEv1 ......................................................................................... 19
Obrázek 37: Přidání IP poolu pro VPN služby a další doplňující nastavení ..................................................... 20
Obrázek 38: Vytvoření preshared key pro IKE......................................................................................................... 20
Obrázek 39: Seznam nastavených VPN poolů ........................................................................................................ 21
Obrázek 40: Seznam nastavených preshared key pro IKE .................................................................................. 21
Obrázek 41: Menu pro přístup k nastavení VIA profilů ........................................................................................ 21
Obrázek 42: Seznam profilů potřebných k zprovoznění VIA .............................................................................. 21
Obrázek 43: Vytvoření nového VIA Authentication profilu .................................................................................. 21
Obrázek 44: Nastavení parametrů nového VIA Authentication profilu ............................................................ 22
Obrázek 45: Nastavení serveru pro ověřování uživatelů při VIA VPN ............................................................... 22
Obrázek 46: Kontrola a aktivace nastavení VIA Authentication profilu ............................................................ 23


 

_____
57  


 

Obrázek 47: Vytvoření nového VIA Connection profilu ........................................................................................ 23
Obrázek 48: Přidání VPN serveru (kontroléru) do VIA Connection profilu ...................................................... 23
Obrázek 49: Přidání VIA Authentication profilu do VIA Connection profilu .................................................... 24
Obrázek 50: Nastavení parametrů nového VIA Connection profilu .................................................................. 24
Obrázek 51: Přidání VIA Authentication profilu do VIA Web Authentication profilu ..................................... 24
Obrázek 52: Výběr VIA Authentication profilu pro VIA Web Authentication profil ........................................ 25
Obrázek 53: Kontrola nastavení VIA Web Authentication profilu ...................................................................... 25
Obrázek 54: Doplnění VPN nastavení k uživatelské roli použité pro VIA uživatele ....................................... 25
Obrázek 55: Menu pro přístup k interní databázi uživatelů ................................................................................ 26
Obrázek 56: Přístup k vytvoření nového uživatele v databázi interního RADIUS serveru ........................... 26
Obrázek 57: Vytvoření nového uživatelského účtu s náhodně vygenerovaným heslem............................. 27
Obrázek 58: Vytvoření nového uživatelského účtu s ručně zadaným heslem ............................................... 27
Obrázek 59: Přehled uživatelů v databázi interního RADIUS serveru .............................................................. 28
Obrázek 60: Editace existujícího uživatelského účtu v databázi interního RADIUS serveru ....................... 28
Obrázek 61: Přihlášení do kontroléru pro stažení VIA instalátoru .................................................................... 29
Obrázek 62: Webová stránka s odkazy na stažení instalátorů Aruba VIA klienta .......................................... 29
Obrázek 63: Aruba VIA klient: prostředí po prvním spuštění, před stažením VPN profilu .......................... 30
Obrázek 64: Aruba VIA klient: zadání VPN serveru pro stažení konfigurace .................................................. 30
Obrázek 65: Aruba VIA klient: zadání údajů pro přihlášení uživatele ............................................................... 31
Obrázek 66: Aruba VIA klient: informace o aktivním připojení ........................................................................... 31
Obrázek 67: Otestování VIA z klientského počítače .............................................................................................. 32
Obrázek 68: Hlavní dashboard pro monitoring kontroléru a souvisejících věcí ............................................ 32
Obrázek 69: Přehled uživatelů připojených přes VPN .......................................................................................... 32
Obrázek 70: Uživatelská role pro Split Tunnel VIA VPN a seznam k ní připojených ACL ............................. 33
Obrázek 71: Nastavení parametrů VIA Authentication profilu pro Split Tunnel VPN ................................... 33
Obrázek 72: Nastavení serveru pro ověřování uživatelů pro Split Tunnel VPN ............................................. 34
Obrázek 73: Nastavení parametrů nového VIA Connection profilu pro Split Tunnel VPN .......................... 34
Obrázek 74: Přidání autentizačního profilu do VIA Web Auth. profilu pro Split Tunnel VPN ..................... 35
Obrázek 75: Doplnění VPN nastavení k uživatelské roli pro Split Tunnel VPN ............................................... 35
Obrázek 76: Úprava uživatelského účtu pro Split Tunnel VPN .......................................................................... 35
Obrázek 77: Smazání aktuálního VPN profilu ve VIA klientovi ............................................................................ 36
Obrázek 78: Smazání VPN serveru ve VIA klientovi ............................................................................................... 36
Obrázek 79: Kontrola Split Tunnel spojení ve VIA klientovi ................................................................................. 37
Obrázek 80: Informace o uživatelích připojených přes VIA VPN ....................................................................... 37
Obrázek 81: Testování split tunnel VPN z klientského počítače ........................................................................ 38
Obrázek 82: Menu pro přístup k servisním možnostem VIA klienta ................................................................ 39
Obrázek 83: Servisní log ve VIA klientovi .................................................................................................................. 39
Obrázek 84: E-mail s tech support soubory pro troubleshooting problémů s VIA klientem ..................... 39
Obrázek 85: Informace o VPN profilu, který VIA klient aktuálně používá......................................................... 40
Obrázek 86: Informace o verzi nainstalovaného VIA klienta .............................................................................. 40
Obrázek 87: Smazání VPN serveru ve VIA klientovi .............................................................................................. 41
Obrázek 88: Seznam instalátorů VIA klientů aktuálně nahraných do kontroléru ......................................... 47
Obrázek 89: Upload instalátoru VIA klienta do kontroléru ................................................................................. 47
Obrázek 90: Seznam instalátorů VIA klientů po aktualizaci jednoho z nich ................................................... 47
Obrázek 91: Nahrání vlastního loga pro VIA VPN .................................................................................................. 48
Obrázek 92: Nové logo VIA VPN v administraci kontroléru ................................................................................. 48
Obrázek 93: Aruba VIA klient s vlastním logem ...................................................................................................... 48
Obrázek 94: Povolení SSL fallbacku pro VIA VPN ................................................................................................... 49


 

_____
58  
 

 

Obrázek 95: Přidání nové server group ................................................................................................................... 49
Obrázek 96: Přidání nového RADIUS serveru ......................................................................................................... 50
Obrázek 97: Nastavení přístupu k novému RADIUS serveru .............................................................................. 50
Obrázek 98: Přidání RADIUS serveru do server group ......................................................................................... 50
Obrázek 99: Přehled RADIUS serverů ve vybrané server group ........................................................................ 51
Obrázek 100: Úprava nastavení VIA Authentication profilu před ověřováním vůči RADIUS serveru ....... 51
Obrázek 101: Výběr serveru pro ověřování VIA uživatelů proti externímu RADIUS serveru ...................... 51
Obrázek 102: Aktivace nastavení před ověřováním VIA uživatelů vůči RADIUS serveru .............................. 52
Obrázek 103: Detail odpovědi RADIUS serveru na uživatelský požadavek ..................................................... 52
Obrázek 104: Přehled připojených klientů po přihlášení proti RADIUS serveru ........................................... 53
Obrázek 105: VIA klient po přihlášení uživatele proti RADIUS serveru ............................................................ 53
Obrázek 106: Kontrola použitého proti ve VIA klientovi po přihlášení vůči RADIUS serveru ..................... 53
Obrázek 107: Přístup ke konfiguraci Server-Derivation Rules ............................................................................ 54
Obrázek 108: Nastavení nového SDR pro přiřazení role VIA uživateli ............................................................. 55
Obrázek 109: Seznam aktuálně vytvořených Server-Derivation Rules ............................................................. 55











 

_____
59  

 

Konfigurační návod Aruba VIA (Virtual Intranet Access)

Komentáře (0)



Leave message
Your rating:

Štítky

Přihlášení

Registrace