Aufruf: UTM-IP:Port oder UTM-URL:Port Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert Default-Port: 11115 z.B.: https://utm.ttt-point.de:11115 Default: https://192.168.175.1:11115 VPN IPSec Bereich Verbindungen Schaltfläche IPSec Verbindung hinzufügen
Vorbereitungen
Benutzerrechte und Einstellungen
Gruppe mit Berechtigung IPSec EAP
Aktiv
Berechtigung
Beschreibung
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer In dieser neuen Gruppe muss IPSec EAP noch aktiviert werden.
Ein
IPSec EAP
Aktiviert Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2
Menü Authentifizierung Benutzer Bereich Gruppe
Schaltfläche
Gruppe bearbeiten oder Gruppe hinzufügen
Breich Berechtigungen
IPSEC EAP aktivieren
Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zu Benutzer Gruppen
Für eine IPSec Verbindung ist ein entsprechendes CA und Serverzertifikat notwendig. Falls dies noch nicht vorhanden sind, so müssen diese neu erstellt werden.
DHCP einrichten
Falls gewünscht, können Clients per DHCP IP-Adressen aus einem lokalen Netz erhalten. Dazu müssen ein paar allgemein Einstellungen vorgenommen werden.
Vorbereitung
Auf dem DHCP-Server muss ein IP-Adressbereich für das Netz der gewählten Schnittstelle zur Verfügung stehen.
Auf der UTM wird dies unter Netzwerk Netzwerkkonfiguration Bereich DHCP-Pools konfiguriert. Weitere Hinweise zur Einrichtung im Wiki Artikel zu DHCP.
IPSec DHCP Einstellungen
Menü VPN IPSec Bereich DHCP
Beschriftung
Wert
Beschreibung
IPSec UTMbenutzer@firewall.name.fqdnVPN IPSec LogSpeichern und neustartenDialog zu den globalen DHCP Einstellungen für IPSec-Clients
Modusnotempty
Neu ab v12.5.0
ServerSchnittstelle
Legt fest, ob DHCP-Anfragen an einen bestimmten Server oder über eine Schnittstelle als Broadcast gesendet werden
DHCP-Server: Nur bei Modus Server
192.168.222.1
Legt die Adresse des zu verwendenden DHCP-Servers fest. Es kann auch eine Unicast-Adresse sein. Beispielsweise zu verwenden bei entfernten DHCP-Servern, die nur über geroutete Netzwerke erreichbar sind.
DHCP-Schnittstelle: Nur bei Modus Schnittstelle
LAN2 (UTM-Pools: xyz)
Legt ein Interface fest, über das DHCP-Anfragen des Clients als Broadcast weitergeleitet werden.
Damit kann der DHCP-Server der UTM oder andere DHCP-Server im lokalen Netz (lokale Schnittstelle) angesprochen werden.
Es werden ggf. die Namen der Pools angezeigt, die unter unter Netzwerk Netzwerkkonfiguration Bereich DHCP-Pools konfiguriert wurden und die zu einem Netzwerk gehören, daß auf der Schnittstelle konfiguriert ist
Statische DHCP-Identität:
Aus
Bei Ein wird für jeden Client aus seiner IPSec-Identity (z.B. Zertifikat DN, EAP-Identity) eine statische DHCP client identity und MAC-Adresse erzeugt, um die Zuweisung statischer IP-Adressen durch den Server zu ermöglichen.
Speichern und neustarten
Speichert die Einstellungen und startet den IPSec Dienst neu
notempty
Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen
IPSec Roadwarrior Verbindung erstellen
Verbindung mit dem Einrichtungs-Assistenten hinzufügen unter: VPN IPSec Bereich Verbindungen Schaltfläche IPSec Verbindung hinzufügen
Verbindungstyp
Schritt 1 - Verbindungstyp
Beschriftung
Wert
Beschreibung
IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Auswahl des Verbindungs-Typs
Auswahl des Verbindungs-Typs
Roadwarrior
Für die Konfiguration einer E2S / End-to-Site-Verbindung mit MSCHAPv2 wird Roadwarrior ausgewählt.
Allgemein
Schritt 2 - Allgemein
Name:
IPsec Roadwarrior
Name der IPSec-Verbindung
Schritt 2 - Allgemein
Verbindungstyp:
IKEv2 - Native
Als Verbindungstyp wird IKEv2 ausgewählt
Lokal
Schritt 3 - Lokal
Local Gateway ID:
Die Local Gateway ID wird eingetragen. Bei Auswahl des Zertifikats wird dies automatisch ausgefüllt.
Schritt 3 - Lokal
Authentifizierungsmethode:
Zertifikat
Zertifikat wird ausgewählt
X.509 Zertifikat:
IPSec Cert
Es sollte ein Zertifikat gewählt werden, das ausschließlich für diese IPSec Verbindung zuständig ist
Netzwerk freigeben:
192.168.222.1/24
Das lokale Netzwerk, welches für die IPSec-Verbindung freigegeben werden soll
Gegenstelle
Schritt 4 - Gegenstelle
Remote Gateway ID:
203.0.113.113/24
Die IP-Adresse, bzw. die Gateway ID der Gegenstelle
Schritt 4 - Lokal
Authentifizierungsmethode:
EAP MSCHAPv2
Als Authentifizierungsmethode für die Gegenstelle wird EAP-MSCHAPv2 ausgewählt
Benutzergruppe:
IPSec-Benutzergruppe
Die zuvor erstellte Benutzergruppe wird ausgewählt
IP-Adresse/Pool:
192.168.22.35/32
Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
Fertig
Speichert die Eingaben und schließt den Assistenten
Falls die Clients IP-Adressen aus einem internen Netzwerk erhalten sollen, kann dies nun in den Einstellungen zu Phase 2 Bereich Allgemein mit DHCP:Ein aktiviert werden.
Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Das aktivierte DHCP