IPSec mit EAP-MSCHAPv2

Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.2

Vorbereitungen

Benutzerrechte und Einstellungen

Gruppe mit Berechtigung IPSec EAP
Aktiv	Berechtigung	Beschreibung	Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer In dieser neuen Gruppe muss IPSec EAP noch aktiviert werden.
Ein	IPSec EAP	Aktiviert Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2
Menü Authentifizierung Benutzer Bereich Gruppe Schaltfläche Gruppe bearbeiten oder Gruppe hinzufügen Breich Berechtigungen IPSEC EAP aktivieren Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zu Benutzer Gruppen

Benutzer Konfiguration
Beschriftung	Wert	Beschreibung	Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer
EAP MSCHAPv2 Passwort:	****************	Ein entsprechendes Passwort wird eingetragen. Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden.
Menü Authentifizierung Benutzer Bereich Benutzer Schaltfläche Benutzer bearbeiten oder Benutzer hinzufügen Bereich Allgemein Die Benutzerinnen oder Benutzer müssen Mitglied der soeben konfigurierten Gruppe mit der Berechtigung IPSEC EAP sein Bereich VPN/ Abschnitt IPSec MSCHAPv2 Passwort eintragen Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zur Benutzerverwaltung

IPSec konfigurieren

Vorbereitungen

CA und Serverzertifikat erstellen

Für eine IPSec Verbindung ist ein entsprechendes CA und Serverzertifikat notwendig. Falls dies noch nicht vorhanden sind, so müssen diese neu erstellt werden.

DHCP einrichten

Falls gewünscht, können Clients per DHCP IP-Adressen aus einem lokalen Netz erhalten.
Dazu müssen ein paar allgemein Einstellungen vorgenommen werden.

Vorbereitungen von IPSec DHCP anzeigen

Vorbereitung

Auf dem DHCP-Server muss ein IP-Adressbereich für das Netz der gewählten Schnittstelle zur Verfügung stehen.

Auf der UTM wird dies unter Netzwerk Netzwerkkonfiguration Bereich DHCP-Pools konfiguriert.
Weitere Hinweise zur Einrichtung im Wiki Artikel zu DHCP.

IPSec DHCP Einstellungen

Menü VPN IPSec Bereich DHCP

Beschriftung	Wert	Beschreibung	IPSec UTMbenutzer@firewall.name.fqdnVPN IPSec Log Speichern und neustarten Dialog zu den globalen DHCP Einstellungen für IPSec-Clients
Modus notempty Neu ab v12.5.0	ServerSchnittstelle	Legt fest, ob DHCP-Anfragen an einen bestimmten Server oder über eine Schnittstelle als Broadcast gesendet werden
DHCP-Server: Nur bei Modus Server	192.168.222.1	Legt die Adresse des zu verwendenden DHCP-Servers fest. Es kann auch eine Unicast-Adresse sein. Beispielsweise zu verwenden bei entfernten DHCP-Servern, die nur über geroutete Netzwerke erreichbar sind.
DHCP-Schnittstelle: Nur bei Modus Schnittstelle	LAN2 (UTM-Pools: xyz)	Legt ein Interface fest, über das DHCP-Anfragen des Clients als Broadcast weitergeleitet werden. Damit kann der DHCP-Server der UTM oder andere DHCP-Server im lokalen Netz (lokale Schnittstelle) angesprochen werden. Es werden ggf. die Namen der Pools angezeigt, die unter unter Netzwerk Netzwerkkonfiguration Bereich DHCP-Pools konfiguriert wurden und die zu einem Netzwerk gehören, daß auf der Schnittstelle konfiguriert ist
Statische DHCP-Identität:	Aus	Bei Ein wird für jeden Client aus seiner IPSec-Identity (z.B. Zertifikat DN, EAP-Identity) eine statische DHCP client identity und MAC-Adresse erzeugt, um die Zuweisung statischer IP-Adressen durch den Server zu ermöglichen.
Speichern und neustarten		Speichert die Einstellungen und startet den IPSec Dienst neu notempty Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen

IPSec Roadwarrior Verbindung erstellen

Verbindung mit dem Einrichtungs-Assistenten hinzufügen unter: VPN IPSec Bereich Verbindungen Schaltfläche IPSec Verbindung hinzufügen

Verbindungstyp Schritt 1 - Verbindungstyp
Beschriftung	Wert	Beschreibung	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Auswahl des Verbindungs-Typs
Auswahl des Verbindungs-Typs	Roadwarrior	Für die Konfiguration einer E2S / End-to-Site-Verbindung mit MSCHAPv2 wird Roadwarrior ausgewählt.

Allgemein Schritt 2 - Allgemein
Name:	IPsec Roadwarrior	Name der IPSec-Verbindung	Schritt 2 - Allgemein
Verbindungstyp:	IKEv2 - Native	Als Verbindungstyp wird IKEv2 ausgewählt

Lokal Schritt 3 - Lokal
Local Gateway ID:		Die Local Gateway ID wird eingetragen. Bei Auswahl des Zertifikats wird dies automatisch ausgefüllt.	Schritt 3 - Lokal
Authentifizierungsmethode:	Zertifikat	Zertifikat wird ausgewählt
X.509 Zertifikat:	IPSec Cert	Es sollte ein Zertifikat gewählt werden, das ausschließlich für diese IPSec Verbindung zuständig ist
Netzwerk freigeben:	192.168.222.1/24	Das lokale Netzwerk, welches für die IPSec-Verbindung freigegeben werden soll

Gegenstelle Schritt 4 - Gegenstelle
Remote Gateway ID:	203.0.113.113/24	Die IP-Adresse, bzw. die Gateway ID der Gegenstelle	Schritt 4 - Lokal
Authentifizierungsmethode:	EAP MSCHAPv2	Als Authentifizierungsmethode für die Gegenstelle wird EAP-MSCHAPv2 ausgewählt
Benutzergruppe:	IPSec-Benutzergruppe	Die zuvor erstellte Benutzergruppe wird ausgewählt
IP-Adresse/Pool:	192.168.22.35/32	Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
Fertig		Speichert die Eingaben und schließt den Assistenten

Falls die Clients IP-Adressen aus einem internen Netzwerk erhalten sollen, kann dies nun in den Einstellungen zu Phase 2 Bereich Allgemein mit DHCP: Ein aktiviert werden.			Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Das aktivierte DHCP