notempty
- Hinweis zur Nutzung von ACME-Zertifikaten
- DPD Timeout und DPD Intervall lassen sich konfigurieren
Einleitung
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.
Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.
Konfiguration einer IPSec Site-to-Site Verbindung
Einrichtungsassistent
Schritt 1 - Verbindungstyp | |||
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Site to Site | Es stehen folgende Verbindungen zur Verfügung.
Für die Konfiguration einer Site to Site Verbindung wird eben diese ausgewählt. | ||
Schritt 2 - Allgemein | |||
Name: | IPSec S2S | Name für die Verbindung | |
Authentifizierungsmethode: | Außerdem möglich: | ||
Bei Authentifizierungsmethode Pre-Shared Key: |
12345 | Ein beliebiger PSK. Mit der Schaltfläche | wird ein sehr starker Schlüssel erzeugt.|
Bei Authentifizierungsmethode X.509 Zertifikat: |
Auswahl eines Zertifikates Dieses Zertifikat muss zuvor unter erstellt werden. Es können auch ACME-Zertifikate verwendet werden.
| ||
IKE Version: | Auswahl der IKE Version Neu ab v12.2 Bei Verwendung von IKE v2 ist es möglich, mehrere Subnetze unter einer SA zusammenzufassen (default für neu angelegte Verbindungen). Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Aktiviert wird diese Option bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag Subnetzkombinationen gruppieren. Bei Authentifizierungsmethode | ||
Schritt 3 - Lokal | |||
Local Gateway ID: | LAN1 | Beliebige Zeichenfolge Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden. |
|
Bei Authentifizierungsmethode Privater RSA-Schlüssel: |
Privater RSA-Schlüssel zur Identifizierung | ||
Netzwerke freigeben: | » ✕192.168.122.0/24 | Das lokale Netzwerk der Gegenstelle, auf das zugegriffen werden soll | |
Schritt 4 - Gegenstelle | |||
Remote Gateway: | 192.0.2.192 | Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle | |
Remote Gateway ID: | 192.0.2.192 | ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge) | |
Bei Authentifizierungsmethode Öffentlicher RSA-Schlüssel: |
RSA-Schlüssel, der öffentliche Teil mit dem sich die Gegenstelle authentifizieren muss. | ||
Netzwerke freigeben: | » ✕192.168.192.0/24 | Das lokale Netzwerk der Gegenstelle, auf das zugegriffen werden soll | |
Beenden des Einrichtungsassistenten mit | |||
Dazu wird in Phase 2 die Option Subnetzkombinationen gruppieren aktiviert.
notempty
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version! notempty Der Artikel für die neueste Version steht hier Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
| |||
Phase 1 | |||
Verbindungen Schaltfläche AllgemeinReiter Allgemein | Reiter |||
Beschriftung | Wert | Beschreibung | |
Beliebige Remote-Adressen erlauben: | Ein Default |
Deaktivieren Sie diese Option für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind. | |
Startverhalten: | Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen. | ||
Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt. | |||
Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen. | |||
Deaktiviert den Tunnel | |||
Dead Peer Detection: | Ein | Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) | |
DPD Timeout: Nur bei IKEv1 Neu ab 12.2.3 |
30 Sekunden | Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Hier werden die gleichen Werte verwendet, wie für normale Pakete. | |
DPD Intervall: Neu ab 12.2.3 |
10 Sekunden | Intervall der Überprüfung | |
Compression: | Aus | Kompression wird nicht von allen Gegenstellen unterstützt | |
Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE | |||
Beschriftung | Default-Werte UTM | Default-Werte NCP-Client | |
Verschlüsselung: | AES 128 Bit | ||
Authentifizierung: | Hash: SHA2 256 Bit | ||
Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | ||
Reiter IKE Weitere Einstellungen: | |||
Beschriftung | Wert | Beschreibung | |
Strict: | Aus | Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet | |
Ein | Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich. | ||
IKE Lifetime: | Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1 | ||
Rekeying: | Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch) Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen | ||
Phase 2 | |||
Verbindungen Schaltfläche AllgemeinReiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen: | Reiter |||
Beschriftung | Default-Werte UTM | Default-Werte NCP-Client | |
Verschlüsselung: | AES 128 Bit | ||
Authentifizierung: | SHA2 256 Bit | ||
DH-Gruppe (PFS): | keine | ||
Schlüssel-Lebensdauer: | Schlüssel Lebensdauer in Phase 2 | ||
Austausch-Modus | Main Mode (nicht konfigurierbar) | Aggressive Mode (IKEv1) Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode. | |
Reiter Allgemein: Weitere Einstellungen | |||
Beschriftung | Wert | Beschreibung | |
Neustart nach Abbruch: | Nein | Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. | |
Subnetzkombinationen gruppieren: Nur bei IKEv2 |
Ja |
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. | |
SubnetzeReiter Subnetze Nur bei IKEv2 | |||
Szenario: Alle Subnetze haben untereinander Zugriff
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
|||
Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen
Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
Portfilterregeln ermöglichen es, den Zugriff zu steuern.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
|||
TroubleshootingDetaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt
| |||
Subnetzkombinationen gruppieren: Ein |
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. |
||
Alle Subnetze haben untereinander Zugriff | Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
||
Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen | Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! Portfilterregeln ermöglichen es, den Zugriff zu steuern. Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
||
RegelwerkUm den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden. | |||
Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter VPN zu konfigurieren. |
|||
Grundsätzlich gilt: Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt! Netzwerkobjekt anlegenEs muss ein Netzwerkobjekt für das entfernte Netz erstellt werden. Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen. | |||
Name: | IPSec-S2S | Name für das IPSec-S2S-Netzwerkobjekt | |
Typ: | VPN-Netzwerk | zu wählender Typ | |
Adresse: | 192.168.192.0/24 | Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im Installationsassistenten in Schritt 4 - Gegenstelle in der Zeile Netzwerke freigeben eingetragen wurde. In diesem Beispiel also das Netzwerk 192.168.192.0/24. | |
Zone: | zu wählende Zone | ||
Gruppe: | Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört. | ||
Portfilter Regeln | |||
Es müssen zwei Portfilter Regeln erstellt werden. Menü Reiter Portfilter Schaltfläche |
|||
Erste Regel | |||
Quelle |
internal-network | Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll | |
Ziel |
IPSc-Netzwerk | Ziel | |
Dienst |
benötigter Dienst | Dienst oder Dienstgruppe, die benötigt wird | |
NAT Typ |
|||
Netzwerkobjekt |
|||
Zweite Regel | |||
Quelle |
IPSc-Netzwerk | Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll | |
Ziel |
internal-network | Ziel | |
Dienst |
benötigter Dienst | Dienst oder Dienstgruppe, die benötigt wird | |
NAT |
Kein NAT
|
Konfiguration des zweiten Gateways
Es ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.
Verwendung einer Securepoint UTM
Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden
- Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
- Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
- Portfilterregeln werden erstellt.
Gegenstelle Schritt 2
- Es muss die gleiche Authentifizierungsmethode gewählt werden
- Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
- Es muss die gleiche IKE-Version verwendet werden
Gegenstelle Schritt 3
- Als Local Gateway ID muss nun die Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
- Unter Netzwerke freigeben muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden
Gegenstelle Schritt 4
- Als Remote Gateway muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden.
(Diese Adresse wurde im Assistenten der ersten UTM nicht benötigt) - Als Remote Gateway ID muss die Local Gateway ID aus Schritt 3 der ersten UTM verwendet werden
- Unter Netzwerke freigeben muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden
Netzwerkobjekt der Gegenstelle anlegen
- Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar.
Entsprechend muss unter Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden.
Im Beispiel 192.168.218.0/24
Hinweise
Der transparente HTTP-Proxy
Wenn aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert.
Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.
Damit das nicht passiert, muss im Menü Reiter Transparenter Modus Schaltfläche eine Regel Exclude mit der Quelle internal-network' zum Ziel name-vpn-netzwerk-objekt' und dem Protokoll HTTP erstellt werden.
Troubeshooting
Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide