Wechseln zu:Navigation, Suche
Wiki










































































En.png
Fr.png


Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrier

Changelog

Letzte Anpassung zur Version: 11.8


Neu:

  • Designanpassung
  • Übersetzung


Vorherige Versionen: 11.6.12


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Konfiguration einer nativen IPSec Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü → VPN →IPSec Schaltfläche IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Beschriftung Wert Beschreibung
Schritt 1 Verbindungstyp
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrier ausgewählt. UTMv11.8.8 IPSEC Assitent1.png
Einrichtungsschritt 1

Schritt 2 Allgemein

Name: IPSec Roadwarrier Name für die Verbindung UTMv11.8.8 IPSEC S2E ikev1 Assitent2.png
Einrichtungsschritt 2
Verbindungstyp: IKEv1 - Native
Mögliche Verbindungstypen:

IKEv1 - L2TP
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native

Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.

Authentifizierungsmethode: PSK Alternativ:
  • X.509 Zertifikat
  • RSA (Nicht bei IKEv2 !)
Pre-Shared Key: 12345 Ein beliebiger PSK. Mit der Schaltfläche wird ein sehr starker Schlüssel erzeugt.
X.509 Zertifikat: Server-Zertifikat   Auswahl eines Zertifikates

Schritt 3 Lokal

Local Gateway ID: eth0 Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. UTMv11.8.8 IPSEC Assitent3.png
Einrichtungsschritt 3
Netzwerk freigeben: 192.168.122.0/24 Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll

Schritt 4 Gegenstelle

Remote Gateway ID: 192.0.2.192
oder
Mein_Roadwarrier
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. UTMv11.8.8 IPSEC S2E ikev1 Assitent4.png
Einrichtungsschritt 4
IP-Adresse(n): 192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrier, mit der die IPSec-Verbindung aufgebaut wird.
  • Sollen viele Roadwarrier den gleichen Tunnel verwenden, kann später in Phase 2 Subnetze eine Netzwerkadresse konfiguriert werden.
    Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.22.0/24 eingetragen.
  • Beenden des Einrichtungsassistenten mit Fertig

    Regelwerk

    Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Implizite Regeln

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN

    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic

    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Name: ngrp-IPSec-Roadwarrier Name für das IPSec-Netzwerkobjekt UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekt
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe

    Portfilter Regeln


    UTM v11.8.8 Portfilter-Regel IPSec-ikev1.png
    Portfilter-Regel
    Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird.
    ╭╴ Quelle ╶╮ World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    ╭╴ Ziel ╶╮ Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    ╭╴ Dienst ╶╮ Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp

    Eine zweite Regel erlaubt dem Roadwarrier den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    ╭╴ Quelle ╶╮ Vpn-network.svg IPSec Roadwarrier Roadwarrier -Host oder -Netzwerk
    ╭╴ Ziel ╶╮ Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    ╭╴ Dienst ╶╮ Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe


    Jetzt kann eine Verbindung mit einem Roadwarrier hergestellt werden.
    Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

    Bei Verwendung eines NCP-Clients müssen z.B. die Parameter

    • Diffie-Hellman Group: (UTM) bzw. IKE-DH-Gruppe (NCP) und
    • DH-Gruppe (PFS) (UTM) bzw. IKE DH-Gruppe (NCP)

    entweder in der UTM oder im NCP-Client angepasst werden.
    Bei Verwendung von IKEv1 muss außerdem der

    • Austausch-Modus

    im NCP-Client auf den sicheren Main Mode (IKEv1) eingestellt werden.


    Default-Werte IKEv1 / IKEv2
    Beschriftung Default-Werte UTM Default-Werte NCP-Client

    Phase 1
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    Strict: Aus
    IKE Lifetime: 1 Stunde
    Rekeying: default

    Phase 2
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    DH-Gruppe (PFS): modp2048 keine
    Schlüssel-Lebensdauer: 8 Stunden 8 Stunden
    Neustart nach Abbruch: Aus
    Austausch-Modus Main Mode (nicht konfigurierbar) Agressive Mode (IKEv1)