IPSec mit EAP-MSCHAPv2 zu einem Windows Client

Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.

Anpassung des Server-Zertifikats

Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:

• Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
• Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
• Es lassen sich auch beide Einträge kombinieren

In → Authentifizierung →Zertifikate wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen Zertifikat hinzufügen, ACME-Zertifikat hinzufügen oder Zertifikat importieren eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche Speichern werden die Einträge abgespeichert.

Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.

Anpassung der IPSec-Verbindung

Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter → VPN →IPSecReiter Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.

IKEv2 Phase 1

Über die Schaltfläche Phase 1 wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung	Wert	Beschreibung	IKEv2 Phase 1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 auswählen
Authentifizierung:	sha2_384	Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:	modp2048s256	Als Diffie-Hellman Group modp2048s256 auswählen. Dazu muss Schwache Algorithmen anzeigen aktiv sein.
Schwache Algorithmen anzeigen:	Ein	Erst bei Aktivierung wird die Diffie-Hellman Group modp2048s256 auswählbar
Strict:	Ein	Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
IKE Lifetime:	Aus	Falls erwünscht, kann dies aktiviert werden
IKE Rekeytime:	1 Stunden	Die Rekeytime kann beliebig eingestellt werden
Rekeying:	unbegrenzt (empfohlen)	Auf unbegrenzt (empfohlen) setzen

IKEv2 Phase 2

Über die Schaltfläche Phase 2 wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung	Wert	Beschreibung	IKEv2 Phase 2
Verschlüsselung:	aes256	Als Verschlüsselung aes256 auswählen
Authentifizierung:	sha2_384	Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:	modp2048s256	Als Diffie-Hellman Group modp2048s256 auswählen. Dazu muss Schwache Algorithmen anzeigen aktiv sein.
Schwache Algorithmen anzeigen:	Ein	Erst bei Aktivierung wird die Diffie-Hellman Group modp2048s256 auswählbar
Schlüssel-Lebensdauer:	8 Stunden	Kann frei ausgewählt werden
Neustart nach Abbruch:	Nein	Wenn erwünscht kann dies aktiviert werden
Subnetzkombinationen gruppieren:	Ein	Sollte schon per Default aktiv sein
DHCP:	Aus	Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist

CA vom Server-Zertifikat importieren

Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.

• Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
• Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
• Die CA muss als .crt-Datei abgespeichert werden.

Abb.1

Die CA wird als .crt-Datei (Export als PEM) auf dem Windows Client kopiert und installiert.

Abb.2

• Als Speicherort  Lokaler Computer auswählen
• Weiter

Abb.3

•  Alle Zertifikate in folgendem Speicher speichern auswählen
• Als Zertifikatspeicher: Vertrauenswürdige Stammzertifizierungsstellen auswählen
• Weiter

Abb.4

• Mit Fertig stellen wird die CA importiert

Einrichtung der Verbindung

Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.

Abb.1

Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:

Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential
Folgende Anpassung müssen dabei getan werden:

• Add-VpnConnection -Name "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
• -ServerAddress "utm.spdns.eu": Hostname der UTM

Abb.2

Mit dem nächsten Befehl werden die Einstellungen von IKEv2 Phase 1 und 2 entsprechend der oberen Eingaben angepasst:

Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force
Folgende Anpassung müssen dabei getan werden:

• -ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung

Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten. Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.

Verbindung initiieren

VPN-Client in Windows

Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.