Come il suo fratello 802.11b FVM318, anche l'FWAG possiede un endpoint IPsec integrato e supporta una VPN tramite PPTP, l'IPsec e L2TP. Diversamente dall'FVM318, però, permette un tunnellling che origina e termina unicamente sull'interfaccia WAN. Per la protezione dei client LAN con il wireless, bisognerà usare il WEP o il WPA.
L'endpoint IPsec ha i suoi lati positivi e negativi. E' molto più configurabile di quello che abbiamo trovato nel popolare router BEFVP41 [recensito qui] e nel BEFSX41 [recensito qui] della Linksys e supporta i certificati digitali (e una lista di revoca dei certificati) per l'autenticazione IKE, oltre a chiavi precondivise. La NETGEAR inoltre ha messo a disposizione un paio di dettagliati esempi di configurazione per il VPN dell'FWAG114.
Il principale aspetto negativo è il sistema di login e connessione. I messaggi di log del VPN sono globalmente piuttosto ardui da decifrare, a meno che non siate degli esperti. Li ho trovati di più difficile interpretazione di quelli generati dal BEFSX41 della Linksys. Dato che non c'è alcun tasto "Connetti", la NETGEAR suggerisce di provare a pingare il client dall'altro capo del tunnel, per mettere in moto il meccanismo. Una volta che il tunnel è stabilito, non c'è modo di terminare la connessione (benchè questo sia più un problema per la fase di test che per le applicazioni reali).
Dato che ho di recente spiegato come utilizzare il client IPsec contenuto in WinXP [qui per i dettagli], ho provato a farlo funzionare con l'FWAG. Alla fine ce l'ho fatta, ma unicamente facendo partire il tunnel dall'FWAG e comunque dopo un reboot del router. Oltretutto, nonostante il tunnel funzionasse, ho ricevuto un messaggio che non mi ha dato molta fiducia:
[2003-09-02 17:17:39]Something terribly wrong, trying to free alredy freed
IKE_QM_STATE block
Tuttavia, sono rimasto colpito dalla velocità media, un 1.6Mbps di tutto rispetto dal client all'FWAG e un 2.0Mbps nella direzione opposta, paragonabile a molte velocità di connessione a banda larga.
Consiglio: Se volete tentare la fortuna con il tunnelling tra il client dell'XP e l'FWAG, ecco qualche impostazione di base:
| FWAG114 IKE | |
| Direzione | Entrambe le direzioni |
| Identità locale richiesta | Indirizzo IP WAN |
| Identità remota richiesta | Indirizzo IP WAN remoto |
| Parametri IKE SA | Algoritmo di criptazione: 3DES Algoritmo di autenticazione: MD5 Metodo di autenticazione: Chiave pre-condivisa Gruppo Diffie-Hellman: Gruppo 2 |
| FWAG114 VPN Auto | |
| Policy IKE | Possibilità di selezionare la policy creata |
| Terminale VPN remoto | Indirizzo IP |
| PFS IPsec | Chiave PFS Gruppo 2 |
| Selettore di traffico | IP Locale: Indirizzp Subnet IP Remoto: Indirizzo Singolo |
| Configurazione ESP | Abilita codifica, 3DES Abilita autenticazione, MD5 |
| Client XP | |
|
Le informazioni soprastanti bastano per le impostazioni di base. Per entrambe le tipologie di regole: Il filtro richiede un protocollo di sicurezza, ESP con MD5 e 3DES. L'autenticazione è costituita da una chiave pre-condivisa. Per una regola "in uscita": Le impostazioni del tunnel usano l'IP WAN dell'FWAG come indirizzo. La lista filtro degli IP usa il "My IP address" come sorgente e gli IP della subnet dell'FWAG come indirizzi di destinazione. Per una regola "in entrata": Le impostazioni del tunnel usano l'IP del client XP come indirizzo. La lista filtro degli IP usa il "My IP address" come sorgente e gli IP della subnet dell'FWAG come indirizzi di destinazione. |
|
| Client VPN | |
| PPTP? | Sì |
| IPsec? | Sì |
| L2TP? | Sì |
| Note Client VPN | Non è chiaro quante sessioni siano supportate e se possano passare attraverso altri gateway VPN remoti |
| Server VPN | |
| PPTP? | Sì |
| IPsec? | Nessuna informazione |
| L2TP? | Nessuna informazione |
| Note Server VPN | Nessuna informazione |
| Altre opzioni VPN | |
| Endpoint? | Sì |
| Coprocessore Hardware? | No |
| Note Endpoint | 2 tunnel IPsec con chiave manuale e IKE SA con chiave pre-condivisa, firme RSA/DSA, supporto certificato PKI con X.509 v.3, impostazioni key life e IKE lifetime, assoluta riservatezza nel forwarding, Modalità Main, Aggressive, Quick , codifica DES, 3DES, MD5, SHA-1 hashing |