Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN IPSec  Bereich Verbindungen Schaltfläche IPSec Verbindung hinzufügen

Vorbereitungen

Benutzerrechte und Einstellungen


Gruppe mit Berechtigung IPSec EAP
Aktiv Berechtigung Beschreibung Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6.4 IPSec-EAP Berechtigungen IPSec EAP.pngIn dieser neuen Gruppe muss IPSec EAP noch aktiviert werden.
Ein IPSec EAP Aktiviert Microsoft CHAPv2 für IPSec Verbindungen mit IKEv2
  • Menü Authentifizierung Benutzer  Bereich Gruppe
  • Schaltfläche
Gruppe bearbeiten
oder
Gruppe hinzufügen
  • Breich Berechtigungen
  • IPSEC EAP aktivieren

Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zu Benutzer Gruppen


Benutzer Konfiguration
Beschriftung Wert Beschreibung Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6.4 IPSec-EAP Berechtigungen MSCHAPv2 Passwort.png
EAP MSCHAPv2 Passwort: **************** Ein entsprechendes Passwort wird eingetragen.
  • Aus Sicherheitsgründen sollte sich das EAP Passwort von dem allgemeinen Passwort des Benutzers unterscheiden.
    • Menü Authentifizierung Benutzer  Bereich Benutzer
    • Schaltfläche
    Benutzer bearbeiten
    oder
    Benutzer hinzufügen
    • Bereich Allgemein
    Die Benutzerinnen oder Benutzer müssen Mitglied der soeben konfigurierten Gruppe mit der Berechtigung IPSEC EAP sein
    • Bereich VPN/ Abschnitt
      IPSec
    MSCHAPv2 Passwort eintragen

    Weitere Konfigurationsmöglichkeiten im Wiki-Artikel zur Benutzerverwaltung



    IPSec konfigurieren

    Vorbereitungen

    CA und Serverzertifikat erstellen

    Für eine IPSec Verbindung ist ein entsprechendes CA und Serverzertifikat notwendig. Falls dies noch nicht vorhanden sind, so müssen diese neu erstellt werden.

    DHCP einrichten

    Falls gewünscht, können Clients per DHCP IP-Adressen aus einem lokalen Netz erhalten.
    Dazu müssen ein paar allgemein Einstellungen vorgenommen werden.





























    Vorbereitung
    Auf dem DHCP-Server muss ein IP-Adressbereich für das Netz der gewählten Schnittstelle zur Verfügung stehen.

    Auf der UTM wird dies unter Netzwerk Netzwerkkonfiguration  Bereich DHCP-Pools konfiguriert.
    Weitere Hinweise zur Einrichtung im Wiki Artikel zu DHCP.


    IPSec DHCP Einstellungen

    Menü VPN IPSec  Bereich DHCP

    Beschriftung Wert Beschreibung IPSec UTMbenutzer@firewall.name.fqdnVPN IPSec Log Speichern und neustarten UTM v12.6.4 IPSec-DHCP.pngDialog zu den globalen DHCP Einstellungen für IPSec-Clients
    Modus notempty
    Neu ab v12.5.0
    ServerSchnittstelle Legt fest, ob DHCP-Anfragen an einen bestimmten Server oder über eine Schnittstelle als Broadcast gesendet werden
    DHCP-Server:
    Nur bei Modus Server
    192.168.222.1 Legt die Adresse des zu verwendenden DHCP-Servers fest. Es kann auch eine Unicast-Adresse sein. Beispielsweise zu verwenden bei entfernten DHCP-Servern, die nur über geroutete Netzwerke erreichbar sind.
    DHCP-Schnittstelle:
    Nur bei Modus Schnittstelle
    LAN2 (UTM-Pools: xyz) Legt ein Interface fest, über das DHCP-Anfragen des Clients als Broadcast weitergeleitet werden.

    Damit kann der DHCP-Server der UTM oder andere DHCP-Server im lokalen Netz (lokale Schnittstelle) angesprochen werden.
    Es werden ggf. die Namen der Pools angezeigt, die unter unter Netzwerk Netzwerkkonfiguration  Bereich DHCP-Pools konfiguriert wurden und die zu einem Netzwerk gehören, daß auf der Schnittstelle konfiguriert ist

    Statische DHCP-Identität: Aus Bei Ein wird für jeden Client aus seiner IPSec-Identity (z.B. Zertifikat DN, EAP-Identity) eine statische DHCP client identity und MAC-Adresse erzeugt, um die Zuweisung statischer IP-Adressen durch den Server zu ermöglichen.
    Speichern und neustarten
    Speichert die Einstellungen und startet den IPSec Dienst neu

    notempty

    Dabei werden alle bestehenden IPSec-Verbindungen unterbrochen



    IPSec Roadwarrior Verbindung erstellen

    Verbindung mit dem Einrichtungs-Assistenten hinzufügen unter: VPN IPSec  Bereich Verbindungen Schaltfläche IPSec Verbindung hinzufügen
    Verbindungstyp
    Schritt 1 - Verbindungstyp
    Beschriftung Wert Beschreibung IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP Verbindungsassistent Schritt 1.pngAuswahl des Verbindungs-Typs
    Auswahl des Verbindungs-Typs Roadwarrior Für die Konfiguration einer E2S / End-to-Site-Verbindung mit MSCHAPv2 wird Roadwarrior ausgewählt.
    Allgemein
    Schritt 2 - Allgemein
    Name: IPsec Roadwarrior Name der IPSec-Verbindung UTM v12.6.4 IPSec-EAP Verbindungsassistent Schritt 2.png
    Schritt 2 - Allgemein
    Verbindungstyp: IKEv2 - Native Als Verbindungstyp wird IKEv2 ausgewählt
    Lokal
    Schritt 3 - Lokal
    Local Gateway ID:     Die Local Gateway ID wird eingetragen. Bei Auswahl des Zertifikats wird dies automatisch ausgefüllt. UTM v12.6.4 IPSec-EAP Verbindungsassistent Schritt 3.png
    Schritt 3 - Lokal
    Authentifizierungsmethode: Zertifikat Zertifikat wird ausgewählt
    X.509 Zertifikat: IPSec Cert Es sollte ein Zertifikat gewählt werden, das ausschließlich für diese IPSec Verbindung zuständig ist
    Netzwerk freigeben: 192.168.222.1/24 Das lokale Netzwerk, welches für die IPSec-Verbindung freigegeben werden soll
    Gegenstelle
    Schritt 4 - Gegenstelle
    Remote Gateway ID: 203.0.113.113/24 Die IP-Adresse, bzw. die Gateway ID der Gegenstelle UTM v12.6.4 IPSec-EAP Verbindungsassistent Schritt 4.png
    Schritt 4 - Lokal
    Authentifizierungsmethode: EAP MSCHAPv2 Als Authentifizierungsmethode für die Gegenstelle wird EAP-MSCHAPv2 ausgewählt
    Benutzergruppe: IPSec-Benutzergruppe Die zuvor erstellte Benutzergruppe wird ausgewählt
    IP-Adresse/Pool: 192.168.22.35/32 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Fertig Speichert die Eingaben und schließt den Assistenten

    Falls die Clients IP-Adressen aus einem internen Netzwerk erhalten sollen, kann dies nun
    in den Einstellungen zu Phase 2 Bereich Allgemein mit DHCP: Ein aktiviert werden.
    Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP Phase 2 bearbeiten.pngDas aktivierte DHCP