Wechseln zu:Navigation, Suche
Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

















































































De.png
En.png
Fr.png

Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior

Changelog

Letzte Anpassung zur Version: 11.8


Neu:

  • Designanpassung
  • Übersetzung


Vorherige Versionen: 11.6.12


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Konfiguration einer nativen IPSec Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü → VPN →IPSec Schaltfläche IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Beschriftung Wert Beschreibung
Schritt 1 Verbindungstyp
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt. UTMv11.8.8 IPSEC Assitent1.png
Einrichtungsschritt 1

Schritt 2 Allgemein

Name: IPSec Roadwarrior Name für die Verbindung UTMv11.8.8 IPSEC S2E ikev1 Assitent2.png
Einrichtungsschritt 2
Verbindungstyp: IKEv1 - Native
Mögliche Verbindungstypen:

IKEv1 - L2TP
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native

Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.

Authentifizierungsmethode: PSK Alternativ:
  • X.509 Zertifikat
  • RSA (Nicht bei IKEv2 !)
Pre-Shared Key: 12345 Ein beliebiger PSK. Mit der Schaltfläche wird ein sehr starker Schlüssel erzeugt.
X.509 Zertifikat: Server-Zertifikat Auswahl eines Zertifikates

Schritt 3 Lokal

Local Gateway ID: eth0 Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. UTMv11.8.8 IPSEC Assitent3.png
Einrichtungsschritt 3
Netzwerk freigeben: 192.168.122.0/24 Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll

Schritt 4 Gegenstelle

Remote Gateway ID: 192.0.2.192
oder
Mein_Roadwarrior
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
  
UTMv11.8.8 IPSEC S2E ikev1 Assitent4.png
Einrichtungsschritt 4
IP-Adresse(n): 192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.
  • Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in Phase 2 Subnetze eine Netzwerkadresse konfiguriert werden.
    Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.22.0/24 eingetragen.
  • Beenden des Einrichtungsassistenten mit Fertig

    Regelwerk

    Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Implizite Regeln

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN

    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic

    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekt
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe

    Portfilter Regeln


    UTM v11.8.8 Portfilter-Regel IPSec-ikev1.png
    Portfilter-Regel
    Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird.
    Quelle
    World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Ziel
    Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    Dienst
    Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec
    Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
      

    Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Quelle
    Vpn-network.svg IPSec Roadwarrior Roadwarrior -Host oder -Netzwerk
    Ziel
    Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Dienst
    Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe


    Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
    Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

    Bei Verwendung eines NCP-Clients müssen z.B. die Parameter

    • Diffie-Hellman Group: (UTM) bzw. IKE-DH-Gruppe (NCP) und
    • DH-Gruppe (PFS) (UTM) bzw. IKE DH-Gruppe (NCP)

    entweder in der UTM oder im NCP-Client angepasst werden.
    Bei Verwendung von IKEv1 muss außerdem der

    • Austausch-Modus

    im NCP-Client auf den sicheren Main Mode (IKEv1) eingestellt werden.


    Default-Werte IKEv1 / IKEv2
    Beschriftung Default-Werte UTM Default-Werte NCP-Client

    Phase 1
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    Strict: Aus
    IKE Lifetime: 1 Stunde
    Rekeying: default

    Phase 2
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    DH-Gruppe (PFS): modp2048 keine
    Schlüssel-Lebensdauer: 8 Stunden 8 Stunden
    Neustart nach Abbruch: Aus
    Austausch-Modus Main Mode (nicht konfigurierbar) Agressive Mode (IKEv1)