Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
Letzte Anpassung zur Version: 12.2.5
Neu:
- PSK in Zwischenablage kopieren
- Änderungen in der Anordnung der Konfigurationsschritte im Assistenten (v12.2.4)
- Hinweis zur Nutzung von MOBIKE (v12.2.4)
- DHCP für IPSec in Phase 2 konfigurierbar (v12.2.4)
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.
Konfiguration einer nativen IPSec Verbindung
Neue Verbindungen werden im Menü Reiter Verbindungen mit der Schaltfläche hinzugefügt.
Einrichtungsassistent
Verbindungstyp Schritt 1 - Verbindungstyp
| |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Auswahl des Verbindungs-Typs | Es stehen folgende Verbindungen zur Verfügung:
|
Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt. | |
Allgemein Schritt 2 - Allgemein
| |||
| Name: | IPSec Roadwarrior | Name für die Verbindung |  |
| Verbindungstyp: | Mögliche Verbindungstypen: Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird. | ||
| Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:
| |||
Lokal – IKEv1 Schritt 3 - Lokal - IKEv1
| |||
| Local Gateway ID: | Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt
|
 | |
| Authentifizierungsmethode: | Ein Pre-Shared Key wird verwendet | ||
| Ein vorhandenes Zertifikat wird verwendet | |||
| Ein vorhandener privater RSA-Schlüssel wird verwendet | |||
| Pre-Shared Key: | Ein beliebiger PSK | ||
| X.509 Zertifikat: Nur bei Authentifizierungsmethode
|
Auswahl eines Zertifikates | ||
| Privater RSA-Schlüssel: | Auswahl eines RSA-Schlüssels | ||
| Netzwerke freigeben: Nur bei IKEv1 - Native |
192.168.250.0/24 | Netzwerke für die IPSec-Verbindung freigeben | |
Lokal – IKEv2 Schritt 3 - Lokal - IKEv2
| |||
| Local Gateway ID: | Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt
|
 | |
| Authentifizierungsmethode: | Ein Pre-Shared Key wird verwendet | ||
| Ein vorhandenes Zertifikat wird verwendet | |||
| Ein vorhandener privater RSA-Schlüssel wird verwendet | |||
| Nur bei IKEv2 Neu ab v12.2.4 |
EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt. | ||
| Pre-Shared Key: | Ein beliebiger PSK | ||
| Erstellt einen sehr starken Schlüssel | |||
| v12.2.5 |
Kopiert den PSK in die Zwischenablage | ||
| X.509 Zertifikat: Nur bei Authentifizierungsmethode
|
Auswahl eines Zertifikates | ||
| Privater RSA-Schlüssel: | Auswahl eines RSA-Schlüssels | ||
| Netzwerke freigeben: | 192.168.250.0/24 | Netzwerke für die IPSec-Verbindung freigeben | |
Gegenstelle – IKEv1 Schritt 4 - Gegenstelle - IKEv1
| |||
| Öffentlicher RSA-Schlüssel: Nur bei Authentifizierungsmethode RSA |
Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle |  | |
| IP-Adresse / Pool: Nur bei IKEv1 - XAuth |
192.168.22.35/24 | IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen | |
| Öffne Benutzerdialog nach Beendigung: Nur bei
|
Ja | Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM. Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte. | |
| Remote Gateway ID: Nur bei IKEv1 - Native |
192.0.2.192 oder Mein_Roadwarrior |
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
| |
| IP-Adresse(n): Nur bei IKEv1 - Native |
192.168.222.35 | Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.
Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen. | |
Gegenstelle – IKEv2 Schritt 4 - Gegenstelle - IKEv2
| |||
| Öffentlicher RSA-Schlüssel: Nur bei Authentifizierungsmethode RSA |
Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle |  | |
| IP-Adresse / Pool: | 192.168.22.35/24 | IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen | |
| Authentifizierungsmethode: Nur bei Authentifizierungsmethode
|
Ein vorhandenes Zertifikat wird verwendet | ||
| EAP-MSCHAPV2 wird verwendet | |||
| EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt. | |||
| X.509 Zertifikat: Nur bei Authentifizierungsmethode
|
Das Zertifikat für die Gegenstelle Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
| ||
| Benutzergruppe: Neu ab 12.2.4 Nur bei EAP-MSCHAPv2 |
Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden. | ||
| Beenden des Einrichtungsassistenten mit | |||
Regelwerk
Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.
Implizite RegelnEs ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
|
  | ||
Netzwerkobjekt anlegenReiter Netzwerkobjekte Schaltfläche | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name: | ngrp-IPSec-Roadwarrior | Name für das IPSec-Netzwerkobjekt | |
| Typ: | VPN-Netzwerk | zu wählender Typ | |
| Adresse: | 192.168.222.0/24 | Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde. In diesem Beispiel also das Netzwerk 192.168.222.0/24. | |
| Zone: | vpn-ipsec | zu wählende Zone | |
| Gruppe: | Optional: Gruppe | ||
Portfilter Regeln |
 | ||
| Portfilter Regel anlegen unter Reiter Portfilter Schaltfläche Die erste Regel ermöglicht, daß der IPSec-Tunnel überhaupt aufgebaut wird. | |||
| Quelle |  internet |
Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll. | |
| Ziel |  external-interface |
Schnittstelle, auf der die Verbindung ankommt. | |
| Dienst |  ipsec |
Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp | |
Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. | |||
| Quelle |  IPSec Roadwarrior |
Roadwarrior -Host oder -Netzwerk | |
| Ziel |  dmz1-network |
Netzwerk, auf das zugegriffen werden soll. | |
| Dienst | xyz |
Gewünschter Dienst oder Dienstgruppe | |
Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.
Notwendige Änderungen, bei Verwendung eines NCP-Clients:
- UTM
- Diffie-Hellman Group (Phase 1)
- DH-Gruppe (PFS) (Phase 2)
oder
- NCP-Client:
- IKE-DH-Gruppe
- NCP-Client:
- Austausch-Modus: Main Mode (IKEv1)
Weitere Einstellungen
Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:
IKEv1
Phase 1 | |||
Reiter Verbindungen Schaltfläche AllgemeinReiter Allgemein | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Beliebige Remote-Adressen erlauben: | Ein Default |
Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind. | |
| Startverhalten: | Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen. | ||
| Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt. | |||
| Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen. | |||
| Deaktiviert den Tunnel | |||
| Dead Peer Detection: | Ein | Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) | |
| DPD Timeout: | 30 Sekunden |
Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Hier werden die gleichen Werte verwendet, wie für normale Pakete. | |
| DPD Intervall: | 10 Sekunden |
Intervall der Überprüfung | |
| Compression: | Aus | Kompression wird nicht von allen Gegenstellen unterstützt | |
Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE | |||
| Beschriftung | Default-Werte UTM | Default-Werte NCP-Client |  |
| Verschlüsselung: | AES 128 Bit | ||
| Authentifizierung: | Hash: SHA2 256 Bit | ||
| Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | ||
| Reiter IKE Weitere Einstellungen: | |||
| Beschriftung | Wert | Beschreibung | |
| Strict: | Aus | Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet | |
| Ein | Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich. | ||
| IKE Lifetime: | Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1 | ||
| Rekeying: | Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch) Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen | ||
Phase 2 | |||
Reiter Verbindungen Schaltfläche AllgemeinReiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen: | |||
| Beschriftung | Default-Werte UTM | Default-Werte NCP-Client |  |
| Verschlüsselung: | AES 128 Bit | ||
| Authentifizierung: | SHA2 256 Bit | ||
| Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | ||
| Ab der UTM-Version 12.2.4 kann es in Phase 2 bei DH-Gruppen ab modp6144 aktuell zu Schwierigkeiten beim Schlüsselautausch kommen | |||
| Schlüssel-Lebensdauer: | Schlüssel Lebensdauer in Phase 2 | ||
| Austausch-Modus | Main Mode (nicht konfigurierbar) | Aggressive Mode (IKEv1) Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode. | |
Reiter Allgemein: Weitere Einstellungen | |||
| Neustart nach Abbruch: | Nein | Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. | |
| DHCP: Neu ab 12.2.4 |
Aus | Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz. | |
SubnetzeReiter Subnetze | |||
| Szenario: Alle Subnetze haben untereinander Zugriff
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
 | ||
| Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen
Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
Portfilterregeln ermöglichen es, den Zugriff zu steuern.
Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
|
 | ||
Troubleshooting
Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt
IKEv2
Phase 1 | |||
Reiter Verbindungen Schaltfläche AllgemeinReiter Allgemein | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Beliebige Remote-Adressen erlauben: | Ein Default |
Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind. | |
| Startverhalten: | Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen. | ||
| Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt. | |||
| Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen. | |||
| Deaktiviert den Tunnel | |||
| Dead Peer Detection: | Ein | Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) | |
| DPD Timeout: | 30 Sekunden |
Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Hier werden die gleichen Werte verwendet, wie für normale Pakete. | |
| DPD Intervall: | 10 Sekunden |
Intervall der Überprüfung | |
| Compression: | Aus | Kompression wird nicht von allen Gegenstellen unterstützt | |
| MOBIKE aktivieren: Neu ab 12.2.4 |
Ja Default |
Dient zur Deaktivierung der MOBIKE Option | |
Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE | |||
| Beschriftung | Default-Werte UTM | Default-Werte NCP-Client | |
| Verschlüsselung: | AES 128 Bit | ||
| Authentifizierung: | Hash: SHA2 256 Bit | ||
| Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | ||
| Reiter IKE Weitere Einstellungen: | |||
| Beschriftung | Wert | Beschreibung | |
| Strict: | Aus | Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet | |
| Ein | Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich. | ||
| IKE Lifetime: | Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1 | ||
| Rekeying: | Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch) Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen | ||
Phase 2 | |||
Reiter Verbindungen Schaltfläche AllgemeinReiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen: | |||
| Beschriftung | Default-Werte UTM | Default-Werte NCP-Client |  |
| Verschlüsselung: | AES 128 Bit | ||
| Authentifizierung: | SHA2 256 Bit | ||
| Diffie-Hellman Group: | IKE DH-Grupe: DH2 (modp1024) | ||
| Ab der UTM-Version 12.2.4 kann es in Phase 2 bei DH-Gruppen ab modp6144 aktuell zu Schwierigkeiten beim Schlüsselautausch kommen | |||
| Schlüssel-Lebensdauer: | Schlüssel Lebensdauer in Phase 2 | ||
| Austausch-Modus | Main Mode (nicht konfigurierbar) | Aggressive Mode (IKEv1) Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode. | |
Reiter Allgemein: Weitere Einstellungen | |||
| Neustart nach Abbruch: | Nein | Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. | |
| Subnetzkombinationen gruppieren: | Ja |
Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. | |
| DHCP: Neu ab 12.2.4 |
Aus | Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz. | |
Adress-PoolReiter Adress-Pool | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Lokales Netzwerk: | 192.168.250.0/24 | Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert) | |
| Adress-Pool: Nicht bei IPSec DHCP |
192.168.22.35/24 | Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird. | |
Troubleshooting
Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt