Wechseln zu:Navigation, Suche
Wiki

IPSec mit EAP-MSCHAPv2

Aus Securepoint Wiki








































































De.png
En.png
Fr.png





Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2
Neuer Artikel zur Version: 12.2.4
Neu:
  • EAP-MSCHAPv2

Vorherige Versionen:

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen

Vorbereitungen

Benutzerrechte und Einstellungen


Gruppe mit Berechtigung IPSec EAP
Aktiv Berechtigung Beschreibung UTM v12.2.4 Authentifizierung Benutzer Gruppe hinzufügen.png
In dieser neuen Gruppe muss IPSec EAP noch aktiviert werden.
Ein IPSec EAP Aktiviert Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2
  • Menü → Authentifizierung →BenutzerReiter Gruppe
  • Schaltfläche
Gruppe bearbeiten
oder
Gruppe hinzufügen
  • Reiter Berechtigungen
  • IPSEC EAP aktivieren

Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zu Benutzer Gruppen


Benutzer Konfiguration
Beschriftung Wert Beschreibung UTM v12.2.4 IPSec-EAP Benutzer Passwort.png
EAP MSCHAPv2 Passwort: **************** Ein entsprechendes Passwort wird eingetragen.
  • Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden.
    • Menü → Authentifizierung →BenutzerReiter Benutzer
    • Schaltfläche
    Benutzer bearbeiten
    oder
    Benutzer hinzufügen
    • Reiter Allgemein
    Die Benutzerinnen oder Benutzer müssen Mitglied der soeben konfigurierten Gruppe mit der Berechtigung IPSEC EAP sein
    • Reiter VPN/ Abschnitt ╭╴IPSec╶╮
      Neu ab v12.2.4
    MSCHAPv2 Passwort eintragen

    Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zur Benutzerverwaltung


    IPSec konfigurieren

    Vorbereitungen

    CA und Serverzertifikat erstellen

    Für eine IPSec Verbindung ist ein entsprechendes CA und Serverzertifikat notwendig. Falls dies noch nicht vorhanden sind, so müssen diese neu erstellt werden.

    DHCP einrichten

    Falls gewünscht, können Clients per DHCP IP-Adressen aus einem lokalen Netz erhalten.
    Dazu müssen ein paar allgemein Einstellungen vorgenommen werden.










































    Vorbereitung
    Auf dem DHCP-Server muss ein IP-Adressbereich für das Netz der gewählten Schnittstelle zur Verfügung stehen.

    Auf der UTM wird dies unter → Netzwerk →NetzwerkkonfigurationReiter DHCP-Pools konfiguriert.
    Weitere Hinweise zur Einrichtung im Wiki Artikel zu DHCP.

    IPSec DHCP Einstellungen

    Menü → VPN →IPSecReiter Global

    Beschriftung Wert Beschreibung UTMv12.2.4 IPSec DHCP Global.png
    Das Fenster zu den globalen DHCP Einstellungen von IPSec.
    DHCP-Server 192.168.222.1 Legt die Adresse des zu verwendenden DHCP-Servers fest. Es kann auch eine Unicast-Adresse sein.
    DHCP-Schnittstelle LAN3 Legt ein Interface fest, über das DHCP-Anfragen des Clients als Broadcast weitergeleitet werden.
    Statische DHCP-Identität Aus Bei Ein wird jedem Client aus seiner IPSec-Identity (z.B. Zertifikat DN, EAP-Identity) eine statische DHCP client identity und MAC-Adresse erzeugt, um die Zuweisung statischer IP-Adressen durch den Server zu ermöglichen.
    Speichern und neustarten Speichert die Einstellungen und startet den IPSec Dienst neu

    Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen



    IPSec Roadwarrior Verbindung erstellen

    Verbindung mit dem Einrichtungs-Assistenten hinzufügen unter: → VPN →IPSecReiter Verbindungen Schaltfläche IPSec Verbindung hinzufügen
    Verbindungstyp
    Schritt 1 - Verbindungstyp
    Beschriftung Wert Beschreibung UTMv11.8.8 IPSEC Assitent1.png
    Auswahl des Verbindungs-Typs
    Auswahl des Verbindungs-Typs Roadwarrior Für die Konfiguration einer E2S / End-to-Site-Verbindung mit MSCHAPv2 wird Roadwarrior ausgewählt.
    Allgemein
    Schritt 2 - Allgemein
    Name: IPsec Roadwarrior Name der IPSec-Verbindung UTMv12.2.4 IPSEC S2E ikev2 Assitent2.png
    Schritt 2 - Allgemein
    Verbindungstyp: IKEv2 - Native Als Verbindungstyp wird IKEv2 ausgewählt
    Lokal
    Schritt 3 - Lokal
    Local Gateway ID:     Die Local Gateway ID wird eingetragen. Bei Auswahl des Zertifikats wird dies automatisch ausgefüllt. UTMv12.2.4 IPSEC S2E ikev2 Assitent3-EAP.png
    Schritt 3 - Lokal
    Authentifizierungsmethode: Zertifikat Zertifikat wird ausgewählt
    X.509 Zertifikat: IPSec Cert Es sollte ein Zertifikat gewählt werden, das ausschließlich für diese IPSec Verbindung zuständig ist
    Netzwerk freigeben: 192.168.222.1/24 Das lokale Netzwerk, welches für die IPSec-Verbindung freigegeben werden soll
    Gegenstelle
    Schritt 4 - Gegenstelle
    Remote Gateway ID: 192.0.2.192/24 Die IP-Adresse, bzw. die Gateway ID der Gegenstelle UTMv12.2.4 IPSEC S2E ikev2 Assitent4.png
    Schritt 4 - Lokal
    Authentifizierungsmethode: EAP MSCHAPv2 Als Authentifizierungsmethode für die Gegenstelle wird EAP-MSCHAPv2 ausgewählt
    Benutzergruppe: IPSec-Benutzergruppe Die zuvor erstellte Benutzergruppe wird ausgewählt
    IP-Adresse/Pool: 192.168.22.35/32 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Fertig Speichert die Eingaben und schließt den Assistenten

    Falls die Clients IP-Adressen aus einem internen Netzwerk erhalten sollen, kann dies nun
    in den Einstellungen zu Phase 2 Reiter Allgemein mit DHCP Ein aktiviert werden.     		UTM v12.2.4 IPSec-EAP-Phase2.png
    Das aktivierte DHCP
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-EAP&oldid=84286