Letzte Anpassung zur Version: 12.6.0
- Parameter ergänzt, der verhindert, daß der gesamte Internetverkehr durch den Tunnel geleitet wird
- Aktualisierung zum Redesign des Webinterfaces
- 05.2024
Einleitung
Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
Anpassung des Server-Zertifikats
UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate
Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:
- Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
- Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
- Es lassen sich auch beide Einträge kombinieren
In Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen , oder eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche werden die Einträge abgespeichert.
IPSec mit EAP-MSCHAPv2
Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.
Anpassung der IPSec-Verbindung
Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
IKEv2 Phase 1
Über die Schaltfläche IKE gewechselt und folgende empfohlene Einstellungen getätigt
wird im Fenster auf den ReiterIKEv2 Phase 2
Über die Schaltfläche Allgemein gewechselt und folgende empfohlene Einstellungen getätigt
wird im Fenster auf den ReiterEinrichtung der Verbindung auf dem Windows Client
CA vom Server-Zertifikat importieren
Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
- Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
- Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
- Die CA muss als .crt-Datei abgespeichert werden.
Einrichtung der Verbindung
Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.
- Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben. - notemptyNeu:Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden