Wechseln zu:Navigation, Suche
Wiki



























De.png
En.png
Fr.png
Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
Letzte Anpassung zur Version: 12.2.3
Neu:

Vorherige Versionen: 11.8 11.6.12


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Konfiguration einer nativen IPSec Verbindung

Neue Verbindungen werden im Menü → VPN →IPSecReiter Verbindungen mit der Schaltfläche IPSec Verbindung hinzufügen hinzugefügt.

Einrichtungsassistent

Verbindungstyp
Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung UTMv11.8.8 IPSEC Assitent1.png
Einrichtungsschritt 1
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein
Schritt 2 - Allgemein
Name: IPSec Roadwarrior Name für die Verbindung UTMv11.8.8 IPSEC S2E ikev1 Assitent2.png
Einrichtungsschritt 2
Verbindungstyp: IKEv1 - Native
Mögliche Verbindungstypen:

IKEv1 - L2TP
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native

Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.

Authentifizierungsmethode: PSK Alternativ:
  • X.509 Zertifikat
  • RSA (Nicht bei IKEv2 !)
Pre-Shared Key: 12345 Ein beliebiger PSK. Mit der Schaltfläche wird ein sehr starker Schlüssel erzeugt.
X.509 Zertifikat: Server-Zertifikat Auswahl eines Zertifikates

Lokal
Schritt 3 - Lokal
Local Gateway ID: eth0 Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. UTMv11.8.8 IPSEC Assitent3.png
Einrichtungsschritt 3
Netzwerk freigeben: 192.168.122.0/24 Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll

Gegenstelle
Schritt 4 - Gegenstelle
Remote Gateway ID: 192.0.2.192
oder
Mein_Roadwarrior
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. UTMv11.8.8 IPSEC S2E ikev1 Assitent4.png
Einrichtungsschritt 4
IP-Adresse(n): 192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.
  • Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in Phase 2 Subnetze eine Netzwerkadresse konfiguriert werden.
    Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.
  • Beenden des Einrichtungsassistenten mit Fertig

    Regelwerk

    Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Implizite Regeln

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN

    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic

    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekt
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe
    Portfilter Regeln
    UTM v11.8.8 Portfilter-Regel IPSec-ikev1.png
    Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
    Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter Schaltfläche Rege lhinzufügen
    Die erste Regel ermöglicht, daß der IPSec-Tunnel überhaupt aufgebaut wird.
    Quelle World.svg  internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Ziel Interface.svg  external-interface Schnittstelle, auf der die Verbindung ankommt.
    Dienst Service-group.svg  ipsec Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp

    Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Quelle Vpn-network.svg  IPSec Roadwarrior Roadwarrior -Host oder -Netzwerk
    Ziel Network.svg  dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Dienst Service-group.svg  xyz Gewünschter Dienst oder Dienstgruppe

    Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
    Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

    Notwendige Änderungen, bei Verwendung eines NCP-Clients:

    • UTM
      • Diffie-Hellman Group (Phase 1)
      • DH-Gruppe (PFS) (Phase 2)
        oder
    • NCP-Client:
      • IKE-DH-Gruppe
    Bei Verwendung von IKEv1 außerdem:
    • NCP-Client:
      • Austausch-Modus: Main Mode (IKEv1)


    Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:



























    Phase 1

    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 1
    Allgemein

    Reiter Allgemein

    Beschriftung Wert: Beschreibung UTM v12.2.3 IPSec v1 Phase1 Allgemein.png
    Beliebige Remote-Adressen erlauben: Ein
    Default
    Deaktivieren Sie diese Option für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
    Ignore Deaktiviert den Tunnel
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
  • DPD Timeout:
    Nur bei IKEv1
    Neu ab 12.2.3
    30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
  • DPD Intervall:
    Neu ab 12.2.3
    10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstüzt
    Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.2.3 IPSec IKEv1 Phase1 IKE.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    Reiter IKE Weitere Einstellungen:
    Beschriftung Wert: Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch) Bei E2S-Verbindungen (Roadwarrier) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

    Phase 2

    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 2
    Allgemein

    Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.2 IPSec S2S Phase2.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    DH-Gruppe (PFS): modp2048 keine
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus Main Mode (nicht konfigurierbar) Agressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Agressive Mode.
  • Reiter Allgemein: Weitere Einstellungen

    Beschriftung Wert: Beschreibung
    Neustart nach Abbruch: Aus Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ein der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
  • Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
  • Subnetzkombinationen gruppieren:
    Nur bei IKEv2
    Ein Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    Subnetze

    Reiter Subnetze Nur bei IKEv2
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
  • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
       local:  %any
       remote: 192.0.2.192
       local pre-shared key authentication:
         id: 192.168.175.218
       remote pre-shared key authentication:
         id: 192.0.2.192
       IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.193.0/24
       IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.193.0/24
    

    UTM v12.2 IPSec S2S Phase2 4Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!

    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.192.0/24
     IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.193.0/24
     IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.219.0/24
       remote: 192.168.192.0/24
    

    UTM v12.2 IPSec S2S Phase2 3Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden