Wechseln zu:Navigation, Suche
Wiki






























De.png
En.png
Fr.png









Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client

Letzte Anpassung zur Version: 12.6.0

Neu:
Zuletzt aktualisiert: 
    05.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN IPSec

Einleitung

Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.


Anpassung des Server-Zertifikats

Zertifikat bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten.pngAnpassung des Server-Zertifikats Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:

  • Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
  • Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
  • Es lassen sich auch beide Einträge kombinieren

In Authentifizierung Zertifikate wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen Zertifikat hinzufügen, ACME-Zertifikat hinzufügen oder Zertifikat importieren eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche Speichern werden die Einträge abgespeichert.



IPSec mit EAP-MSCHAPv2

Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.

notempty
Damit die DHCP Option benutzt werden kann, darf kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.

Anpassung der IPSec-Verbindung

Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter VPN IPSec  Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.

IKEv2 Phase 1

Über die Schaltfläche Phase 1 wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten.pngIKEv2 Phase 1
Verschlüsselung: aes256 Als Verschlüsselung aes256 auswählen
Authentifizierung: sha2_384 Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group: modp2048s256 Als Diffie-Hellman Group modp2048s256 auswählen.
Strict: Ein Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
IKE Lifetime: Aus Falls erwünscht, kann dies aktiviert werden
IKE Rekeytime: 1Link= Stunden Die Rekeytime kann beliebig eingestellt werden
Rekeying: unbegrenzt (empfohlen) Auf unbegrenzt (empfohlen) setzen
IKEv2 Phase 2

Über die Schaltfläche Phase 2 wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung Wert Beschreibung Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten.pngIKEv2 Phase 2
Verschlüsselung: aes256 Als Verschlüsselung aes256 auswählen
Authentifizierung sha2_384 Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group: modp2048s256 Als Diffie-Hellman Group modp2048s256 auswählen.
Schlüssel-Lebensdauer: 8 Stunden Kann frei ausgewählt werden
Neustart nach Abbruch: Nein Wenn erwünscht kann dies aktiviert werden
Subnetzkombinationen gruppieren: Ein Sollte schon per Default aktiv sein
DHCP: Aus Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist

Einrichtung der Verbindung auf dem Windows Client

CA vom Server-Zertifikat importieren

Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.

  • Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
  • Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
  • Die CA muss als .crt-Datei abgespeichert werden.
UTM Windows-Client Server-Zertifikat Import-Install.png
Abb.1
Die CA wird als .crt-Datei (Export als PEM) auf dem Windows Client kopiert und installiert.
UTM Windows-Client Server-Zertifikat Install Schritt1.png
Abb.2
  • Als Speicherort  Lokaler Computer auswählen
  • Weiter
UTM Windows-Client Server-Zertifikat Install Schritt2.png
Abb.3
  •  Alle Zertifikate in folgendem Speicher speichern auswählen
  • Als Zertifikatspeicher: Vertrauenswürdige Stammzertifizierungsstellen auswählen
  • Weiter
UTM Windows-Client Server-Zertifikat Install Schritt3.png
Abb.4
  • Mit Fertig stellen wird die CA importiert












Einrichtung der Verbindung

Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.

UTM Windows-Client-IPSec Powershell Befehl1.png
Abb.1
Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:


Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling
Folgende Anpassung müssen dabei getan werden:

  • Add-VpnConnection -Name "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
  • -ServerAddress "utm.spdns.eu": Hostname der UTM
UTM Windows-Client-IPSec Powershell Befehl2.png
Abb.2
Mit dem nächsten Befehl werden die Einstellungen von IKEv2 Phase 1 und 2 entsprechend der oberen Eingaben angepasst:


Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force
Folgende Anpassung müssen dabei getan werden:

  • -ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung













  • Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
    Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
  • notempty
    Neu:
    Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden

Verbindung initiieren

VPN-Client in Windows

Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.