Vikasietoisen VPN-yhteyden organisointi palomuurien välillä

Abstract

Tässä opinnäytetyössä tavoitteena oli luoda vikasietoinen VPN-yhteys eri palvelintilojen palomuurien välille Kajaanin ammattikorkeakoulussa. Projektin keskeisinä tehtävinä olivat vanhentuneen pfSense-palomuurin korvaaminen uudella versiolla, korkean käytettävyyden (High Availability, HA) toiminnallisuuden käyttöönotto sekä kahden VPN-tunnelin konfigurointi: IPsec-tunneli palvelintilojen sisäverkkojen yhdistämiseksi ja OpenVPN-tunneli palomuurin hallintaliittymän etäyhteyksiä varten. Lisäksi luotiin 30 VLAN-verkkoa opiskelijoille, jotta korkeakoululla olisi valmius, jos opiskelijaryhmät kasvavat tulevaisuudessa. Palomuurille tehtiin myös käyttäjätili, jolla on rajoitetut oikeudet tarkistaa palomuurin asetuksia ilman muokkausmahdollisuutta. OpenVPN-yhteyksiä varten luotiin varmenteet, joiden voimassaoloaika on 10 vuotta. Menetelminä käytettiin pfSense-palomuurien asennusta ja konfigurointia kahdelle HP ProLiant -palvelimelle. Palvelimiin asennettiin uudet verkkokortit, jotka tukevat 10 Gbps:n yhteyksiä, ja yhteydet laitettiin kulkemaan näiden verkkokorttien porttien kautta. Korkean käytettävyyden toiminnallisuus toteutettiin pfSensen tarjoamilla CARP-, pfsync- ja XMLRPC Sync -teknologioilla. VLAN-verkot konfiguroitiin manuaalisesti molemmilla palomuureilla ja niille luotiin tarvittavat palomuurisäännöt. Tuloksena syntyi toimiva ja vikasietoinen palomuurijärjestelmä. IPsec-tunneli varmisti kaksisuuntaisen yhteyden palvelintilojen verkkojen välillä ja OpenVPN mahdollisti etäyhteyden palomuurien hallintaliittymään. Järjestelmän luotettavuutta testattiin simuloimalla vikatilanteita, kuten verkkokaapelin irrottaminen tai verkkovirran katkaisu. Järjestelmä vaihtoi automaattisesti varalaitteeseen ilman yhteyksien katkeamista. Täydellisen sähkökatkoksen jälkeen järjestelmä palautui normaalitilaan ilman ylimääräisiä toimenpiteitä. Testien jälkeen todettiin, että HA-ratkaisu toimii kaikissa testatuissa skenaarioissa. Yhteydet pysyivät vakaana ja palautuivat oikein. Kaikki työn osa-alueet toteutuivat suunnitellusti, ja myös teknisiin haasteisiin, kuten verkkokorttien ajuriongelmiin, löydettiin ratkaisut. Lopputuloksena saatiin nykyaikainen, turvallinen ja helposti ylläpidettävä palomuurijärjestelmä, joka täyttää korkeakoulun tarpeet ja kestää vikatilanteet luotettavasti.

The objective of this thesis was to create a fault-tolerant VPN connection between the firewalls of different server rooms at Kajaani University of Applied Sciences. The main tasks of the project included replacing the outdated pfSense firewall version with a new one, enabling High Availability (HA) functionality, and config-uring two VPN tunnels: an IPsec tunnel for connecting the internal networks of the server rooms and an OpenVPN tunnel for remote access to the firewall's management interface. In addition, 30 VLAN networks were created for students to ensure that the university is prepared in case student groups grow in the future. A user account with limited privileges was also created on the firewall, allowing inspection of the firewall settings without the ability to modify them. Certificates with a validity period of 10 years were generated for OpenVPN connections. The methods used included the installation and configuration of pfSense firewalls on two HP ProLiant serv-ers. New network interface cards supporting 10 Gbps connections were installed on the servers, and net-work traffic was routed through these interfaces. The high availability functionality was implemented using pfSense’s CARP, pfsync, and XMLRPC Sync technologies. VLANs were configured manually on both firewalls, and the necessary firewall rules were created for them. As a result, a functional and fault-tolerant firewall system was built. The IPsec tunnel ensured bidirectional communication between the server room networks, and OpenVPN enabled remote access to the firewall management interface. The reliability of the system was tested by simulating fault scenarios, such as un-plugging network cables or cutting off power. The system automatically switched to the backup device without interrupting the connection. After a complete power outage, the system returned to normal oper-ation without the need for additional actions. After testing, it was confirmed that the HA solution worked in all tested scenarios. The connections remained stable and recovered correctly. All aspects of the project were completed as planned, and technical challenges, such as driver issues with the network cards, were resolved. As a result, a modern, secure, and easy-to-maintain firewall system was implemented, meeting the university’s needs and providing reliable fault tolerance.