Wechseln zu:Navigation, Suche
Wiki






























De.png
En.png
Fr.png





Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2
Neuer Artikel zur Version: 12.2.4
Neu:
  • EAP-MSCHAPv2

Vorherige Versionen:

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen

Vorbereitungen

Benutzerrechte und Einstellungen


Gruppe mit Berechtigung IPSec EAP
Aktiv Berechtigung Beschreibung UTM v12.2.4 Authentifizierung Benutzer Gruppe hinzufügen.png
In dieser neuen Gruppe muss IPSec EAP noch aktiviert werden.
Ein IPSec EAP Aktiviert Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2
  • Menü → Authentifizierung →BenutzerReiter Gruppe
  • Schaltfläche
Gruppe bearbeiten
oder
Gruppe hinzufügen
  • Reiter Berechtigungen
  • IPSEC EAP aktivieren

Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zu Benutzer Gruppen


Benutzer Konfiguration
Beschriftung Wert Beschreibung UTM v12.2.4 IPSec-EAP Benutzer Passwort.png
EAP MSCHAPv2 Passwort: **************** Ein entsprechendes Passwort wird eingetragen.
  • Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden.
    • Menü → Authentifizierung →BenutzerReiter Benutzer
    • Schaltfläche
    Benutzer bearbeiten
    oder
    Benutzer hinzufügen
    • Reiter Allgemein
    Die Benutzerinnen oder Benutzer müssen Mitglied der soeben konfigurierten Gruppe mit der Berechtigung IPSEC EAP sein
    • Reiter VPN/ Abschnitt ╭╴IPSec╶╮
      Neu ab v12.2.4
    MSCHAPv2 Passwort eintragen

    Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zur Benutzerverwaltung



    IPSec konfigurieren

    Vorbereitungen

    CA und Serverzertifikat erstellen

    Für eine IPSec Verbindung ist ein entsprechendes CA und Serverzertifikat notwendig. Falls dies noch nicht vorhanden sind, so müssen diese neu erstellt werden.

    DHCP einrichten

    Falls gewünscht, können Clients per DHCP IP-Adressen aus einem lokalen Netz erhalten.
    Dazu müssen ein paar allgemein Einstellungen vorgenommen werden.
































    Vorbereitung
    Auf dem DHCP-Server muss ein IP-Adressbereich für das Netz der gewählten Schnittstelle zur Verfügung stehen.

    Auf der UTM wird dies unter → Netzwerk →NetzwerkkonfigurationReiter DHCP-Pools konfiguriert.
    Weitere Hinweise zur Einrichtung im Wiki Artikel zu DHCP.


    IPSec DHCP Einstellungen

    Menü → VPN →IPSecReiter Global

    Beschriftung Wert Beschreibung UTM v12.5.0 IPSec Global.png
    Dialog zu den globalen DHCP Einstellungen für IPSec-Clients ab v12.5.0
    Modus Neu ab v12.5.0Neu ab v12.5.0 ServerSchnittstelle Legt fest, ob DHCP-Anfragen an einen bestimmten Server oder über eine Schnittstelle als Broadcast gesendet werden
    DHCP-Server:
    Nur bei Modus Server
    192.168.222.1 Legt die Adresse des zu verwendenden DHCP-Servers fest. Es kann auch eine Unicast-Adresse sein. Beispielsweise zu verwenden bei entfernten DHCP-Servern, die nur über geroutete Netzwerke erreichbar sind.
    DHCP-Schnittstelle:
    Nur bei Modus Schnittstelle
    LAN2 (UTM-Pools: xyz) Legt ein Interface fest, über das DHCP-Anfragen des Clients als Broadcast weitergeleitet werden.

    Damit kann der DHCP-Server der UTM oder andere DHCP-Server im lokalen Netz (lokale Schnittstelle) angesprochen werden.
    Es werden ggf. die Namen der Pools angezeigt, die unter unter → Netzwerk →NetzwerkkonfigurationReiter DHCP-Pools konfiguriert wurden und die zu einem Netzwerk gehören, daß auf der Schnittstelle konfiguriert ist

    Statische DHCP-Identität: Aus Bei Ein wird für jeden Client aus seiner IPSec-Identity (z.B. Zertifikat DN, EAP-Identity) eine statische DHCP client identity und MAC-Adresse erzeugt, um die Zuweisung statischer IP-Adressen durch den Server zu ermöglichen.
    Speichern und neustarten Speichert die Einstellungen und startet den IPSec Dienst neu

    Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen



    IPSec Roadwarrior Verbindung erstellen

    Verbindung mit dem Einrichtungs-Assistenten hinzufügen unter: → VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen
    Verbindungstyp
    Schritt 1 - Verbindungstyp
    Beschriftung Wert Beschreibung UTMv11.8.8 IPSEC Assitent1.png
    Auswahl des Verbindungs-Typs
    Auswahl des Verbindungs-Typs Roadwarrior Für die Konfiguration einer E2S / End-to-Site-Verbindung mit MSCHAPv2 wird Roadwarrior ausgewählt.
    Allgemein
    Schritt 2 - Allgemein
    Name: IPsec Roadwarrior Name der IPSec-Verbindung UTMv12.2.4 IPSEC S2E ikev2 Assitent2.png
    Schritt 2 - Allgemein
    Verbindungstyp: IKEv2 - Native Als Verbindungstyp wird IKEv2 ausgewählt
    Lokal
    Schritt 3 - Lokal
    Local Gateway ID:     Die Local Gateway ID wird eingetragen. Bei Auswahl des Zertifikats wird dies automatisch ausgefüllt. UTMv12.2.4 IPSEC S2E ikev2 Assitent3-EAP.png
    Schritt 3 - Lokal
    Authentifizierungsmethode: Zertifikat Zertifikat wird ausgewählt
    X.509 Zertifikat: IPSec Cert Es sollte ein Zertifikat gewählt werden, das ausschließlich für diese IPSec Verbindung zuständig ist
    Netzwerk freigeben: 192.168.222.1/24 Das lokale Netzwerk, welches für die IPSec-Verbindung freigegeben werden soll
    Gegenstelle
    Schritt 4 - Gegenstelle
    Remote Gateway ID: 192.0.2.192/24 Die IP-Adresse, bzw. die Gateway ID der Gegenstelle UTMv12.2.4 IPSEC S2E ikev2 Assitent4.png
    Schritt 4 - Lokal
    Authentifizierungsmethode: EAP MSCHAPv2 Als Authentifizierungsmethode für die Gegenstelle wird EAP-MSCHAPv2 ausgewählt
    Benutzergruppe: IPSec-Benutzergruppe Die zuvor erstellte Benutzergruppe wird ausgewählt
    IP-Adresse/Pool: 192.168.22.35/32 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Fertig Speichert die Eingaben und schließt den Assistenten

    Falls die Clients IP-Adressen aus einem internen Netzwerk erhalten sollen, kann dies nun
    in den Einstellungen zu Phase 2 Reiter Allgemein mit DHCP Ein aktiviert werden.
    UTM v12.2.4 IPSec-EAP-Phase2.png
    Das aktivierte DHCP