IPSec - End to Site / Roadwarrior

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior

Letzte Anpassung zur Version: 12.2.3

Neu:

DPD Timeout und DPD Intervall lassen sich konfigurieren

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

11.8 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Konfiguration einer nativen IPSec Verbindung

Neue Verbindungen werden im Menü Reiter Verbindungen mit der Schaltfläche IPSec Verbindung hinzufügen hinzugefügt.

Einrichtungsassistent

Verbindungstyp Schritt 1 - Verbindungstyp
Beschriftung	Wert	Beschreibung	Einrichtungsschritt 1
Auswahl des Verbindungs-Typs	Es stehen folgende Verbindungen zur Verfügung: Roadwarrior Site to Site	Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein Schritt 2 - Allgemein
Name:	IPSec Roadwarrior	Name für die Verbindung	Einrichtungsschritt 2
Verbindungstyp:	IKEv1 - Native	Mögliche Verbindungstypen: IKEv1 - L2TP IKEv1 - XAuth IKEv1 - Native IKEv2 - Native Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
Authentifizierungsmethode:	PSK	Alternativ: X.509 Zertifikat RSA (Nicht bei IKEv2 !)
Pre-Shared Key:	12345	Ein beliebiger PSK. Mit der Schaltfläche wird ein sehr starker Schlüssel erzeugt.
X.509 Zertifikat:	Server-Zertifikat	Auswahl eines Zertifikates
Lokal Schritt 3 - Lokal
Local Gateway ID:	eth0	Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.	Einrichtungsschritt 3
Netzwerk freigeben:	192.168.122.0/24	Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll

Gegenstelle Schritt 4 - Gegenstelle
Remote Gateway ID:	192.0.2.192 oder Mein_Roadwarrior	Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.	Einrichtungsschritt 4
IP-Adresse(n):	192.168.222.35	Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird. Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in Phase 2 Subnetze eine Netzwerkadresse konfiguriert werden. Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.
Beenden des Einrichtungsassistenten mit Fertig
Regelwerk Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.
Implizite Regeln Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.			Implizite Regeln, Abschnitt VPN Implizite Regeln, Abschnitt IPSec Traffic
Netzwerkobjekt anlegen → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen
Name:	ngrp-IPSec-Roadwarrior	Name für das IPSec-Netzwerkobjekt	Netzwerkobjekt
Typ:	VPN-Netzwerk	zu wählender Typ
Adresse:	192.168.222.0/24	Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde. In diesem Beispiel also das Netzwerk 192.168.222.0/24.
Zone:	vpn-ipsec	zu wählende Zone
Gruppe:		Optional: Gruppe

Portfilter Regeln		Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter Schaltfläche Rege lhinzufügen Die erste Regel ermöglicht, daß der IPSec-Tunnel überhaupt aufgebaut wird.
Quelle	internet	Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
Ziel	external-interface	Schnittstelle, auf der die Verbindung ankommt.
Dienst	ipsec	Vordefinierte Dienstgruppe für IPSec Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
Quelle	IPSec Roadwarrior	Roadwarrior -Host oder -Netzwerk
Ziel	dmz1-network	Netzwerk, auf das zugegriffen werden soll.
Dienst	xyz	Gewünschter Dienst oder Dienstgruppe

Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

Notwendige Änderungen, bei Verwendung eines NCP-Clients:

UTM
- Diffie-Hellman Group (Phase 1)
- DH-Gruppe (PFS) (Phase 2)
  oder
NCP-Client:
- IKE-DH-Gruppe

Bei Verwendung von IKEv1 außerdem:

NCP-Client:
- Austausch-Modus: Main Mode (IKEv1)

Weitere Einstellungen

Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Beschriftung	Wert	Beschreibung
Phase 1
→ VPN →IPSecReiter Verbindungen Schaltfläche Phase 1 Allgemein Reiter Allgemein
Beschriftung	Wert	Beschreibung
Beliebige Remote-Adressen erlauben:	Ein Default	Deaktivieren Sie diese Option für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:	Outgoing	Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
	Incoming	Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
	Route	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
	Ignore	Deaktiviert den Tunnel
Dead Peer Detection:	Ein	Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout: Nur bei IKEv1 Neu ab 12.2.3	30 Sekunden	Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall: Neu ab 12.2.3	10 Sekunden	Intervall der Überprüfung
Compression:	Aus	Kompression wird nicht von allen Gegenstellen unterstützt

Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE
Beschriftung	Default-Werte UTM	Default-Werte NCP-Client
Verschlüsselung:	aes128	AES 128 Bit
Authentifizierung:	sha2_256	Hash: SHA2 256 Bit
Diffie-Hellman Group:	modp2048	IKE DH-Grupe: DH2 (modp1024)

Reiter IKE Weitere Einstellungen:
Strict:	Aus	Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Strict:	Ein	Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:	1 Stunde	Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
Rekeying:	unbegrenzt (empfohlen)	Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch) Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

Phase 2
→ VPN →IPSecReiter Verbindungen Schaltfläche Phase 2 Allgemein Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung	Default-Werte UTM	Default-Werte NCP-Client
Verschlüsselung:	aes128	AES 128 Bit
Authentifizierung:	sha2_256	SHA2 256 Bit
DH-Gruppe (PFS):	modp2048	keine
Schlüssel-Lebensdauer:	8 Stunden	Schlüssel Lebensdauer in Phase 2
Austausch-Modus	Main Mode (nicht konfigurierbar)	Aggressive Mode (IKEv1) Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.

Reiter Allgemein: Weitere Einstellungen
Beschriftung	Wert	Beschreibung
Neustart nach Abbruch:	Nein	Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren: Nur bei IKEv2	Ja Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.	Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
Subnetze Reiter Subnetze Nur bei IKEv2
	Szenario: Alle Subnetze haben untereinander Zugriff Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden. Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns` `IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns` IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24 IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.193.0/24		Alle Subnetze haben untereinander Zugriff
			Alle Subnetze haben untereinander Zugriff
	Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! Portfilterregeln ermöglichen es, den Zugriff zu steuern. Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24`		Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

Troubleshooting Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt