UTM/VPN/IPSec-EAP-Windows.lang - Versionsgeschichte

Maltea am 28. Februar 2025 um 10:41 Uhr

2025-02-28T10:41:39Z

Lauritzl am 16. Mai 2024 um 07:29 Uhr

2024-05-16T07:29:14Z

← Nächstältere Version		Version vom 16. Mai 2024, 09:29 Uhr
Zeile 218:		Zeile 218:
	{{var \| Powershell Befehl 1		{{var \| Powershell Befehl 1
	\| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:		\| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:
	<br>{{code\|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential}}		<br>{{code\|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}
	<br>Folgende Anpassung müssen dabei getan werden:		<br>Folgende Anpassung müssen dabei getan werden:
	* {{code\|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung		* {{code\|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung
	* {{code\|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM		* {{code\|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM
	\| First, the IPSec connection is added. The following command is entered for this purpose:		\| First, the IPSec connection is added. The following command is entered for this purpose:
	<br>{{code\|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential}}		<br>{{code\|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}
	<br>The following adjustment must be done in the process:		<br>The following adjustment must be done in the process:
	* {{code\|Add-VpnConnection -Name "IPSec RW Windows"}}: The name of the created IPSec connection		* {{code\|Add-VpnConnection -Name "IPSec RW Windows"}}: The name of the created IPSec connection
Zeile 249:		Zeile 249:
	\| Enter the second command in the Powershell }}		\| Enter the second command in the Powershell }}
	{{var \| Powershell Befehl Option Login		{{var \| Powershell Befehl Option Login
	\| Mit der Option {{code\|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. Alternativ kann die Option {{code\|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.		\| * Mit der Option {{code\|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. <br>Alternativ kann die Option {{code\|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
	\| With the option {{code\|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code\|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM. }}		* {{Hinweis-box\|{{#var:neu}}\|gr\|12.7\|status=neu}} Die Option {{code\|-SplitTunneling}} sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden
			\| * With the option {{code\|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code\|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM.
			* {{Hinweis-box\|{{#var:neu}}\|gr\|12.7\|status=neu}} The {{code\|-SplitTunneling}} option ensures that only packets for the destination networks of the remote terminal are routed through the tunnel }}
	{{var \| Verbindung initiieren		{{var \| Verbindung initiieren
	\| Verbindung initiieren		\| Verbindung initiieren

Lauritzl am 14. Mai 2024 um 10:15 Uhr

2024-05-14T10:15:38Z

← Nächstältere Version		Version vom 14. Mai 2024, 12:15 Uhr
Zeile 21:		Zeile 21:
	\| Customization of the server certificate }}		\| Customization of the server certificate }}
	{{var \| Anpassung des Server-Zertifikats--Bild		{{var \| Anpassung des Server-Zertifikats--Bild
	\| ~~UTM_v12~~.5.~~1_Authentifizierung_Zertifikat_Server~~-~~Cert_Anpassung~~.png		\| UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten.png
	\| ~~UTM_v12~~.5.~~1_Authentifizierung_Zertifikat_Server~~-~~Cert_Anpassung~~-en.png }}		\| UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten-en.png }}
	{{var \| Anpassung des Server-Zertifikats--cap		{{var \| Anpassung des Server-Zertifikats--cap
	\| Anpassung des Server-Zertifikats		\| Anpassung des Server-Zertifikats
	\| Customization of the server certificate }}		\| Customization of the server certificate }}
			{{var \| Zertifikat bearbeiten
			\| Zertifikat bearbeiten
			\| }}
			{{var \| Zertifikate
			\| Zertifikate
			\| }}
	{{var \| Anpassung des Server-Zertifikats--Einleitung		{{var \| Anpassung des Server-Zertifikats--Einleitung
	\| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.		\| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Zeile 38:		Zeile 44:
	* Both entries can also be combined }}		* Both entries can also be combined }}
	{{var \| 1=Anpassung des Server-Zertifikats--desc		{{var \| 1=Anpassung des Server-Zertifikats--desc
	\| 2=In {{Menu\|Authentifizierung\|Zertifikate}} wird über die Schaltfläche {{button\|\|w\|class=icon}} <span class="Hover">Bearbeiten</span> der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.		\| 2=In {{Menu-UTM\|Authentifizierung\|Zertifikate}} wird über die Schaltfläche {{button\|\|w\|class=icon}} <span class="Hover">Bearbeiten</span> der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
	<br> Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen {{button\|Zertifikat hinzufügen\|+}}, {{button\|ACME-Zertifikat hinzufügen\|+}} oder {{button\|Zertifikat importieren\|u}} eines erstellt.		<br> Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen {{button\|Zertifikat hinzufügen\|+}}, {{button\|ACME-Zertifikat hinzufügen\|+}} oder {{button\|Zertifikat importieren\|u}} eines erstellt.
	<br> Unter {{Kasten\|Alias\|grau}} wird entweder mit {{ic\|IP\|dro\|bc=white-l}} die IP-Adresse, oder mit {{ic\|DNS\|dro\|bc=white-l}} der Domainname eingetragen und mit der Schaltfläche {{button\|\|+\|class=icon}} hinzugefügt.		<br> Unter {{Kasten\|Alias\|grau}} wird entweder mit {{ic\|IP\|dro\|bc=white-l}} die IP-Adresse, oder mit {{ic\|DNS\|dro\|bc=white-l}} der Domainname eingetragen und mit der Schaltfläche {{button\|\|+\|class=icon}} hinzugefügt.
	\| 3=In {{Menu\|Authentication\|Certificates}} the {{button\|\|w\|class=icon}} <span class="Hover">Edit</span> button opens the edit dialog of the server certificate.		\| 3=In {{Menu-UTM\|Authentication\|Certificates}} the {{button\|\|w\|class=icon}} <span class="Hover">Edit</span> button opens the edit dialog of the server certificate.
	<br> If there is no server certificate yet, the {{button\|Add certificate\|+}}, {{button\|Add ACME certificate\|+}} or {{button\|Import certificate\|u}} buttons will create one.		<br> If there is no server certificate yet, the {{button\|Add certificate\|+}}, {{button\|Add ACME certificate\|+}} or {{button\|Import certificate\|u}} buttons will create one.
	<br> Under {{Kasten\|Alias\|grey}} either the IP address is entered with {{ic\|IP\|dro\|bc=white-l}}, or the domain name with {{ic\|DNS\|dro\|bc=white-l}} and added with the {{button\|\|+\|class=icon}} button. }}		<br> Under {{Kasten\|Alias\|grey}} either the IP address is entered with {{ic\|IP\|dro\|bc=white-l}}, or the domain name with {{ic\|DNS\|dro\|bc=white-l}} and added with the {{button\|\|+\|class=icon}} button. }}
Zeile 63:		Zeile 69:
	{{var \| Anpassung der IPSec-Verbindung--desc		{{var \| Anpassung der IPSec-Verbindung--desc
	\| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.		\| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
	<br> Unter {{Menu\|VPN\|IPSec\|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.		<br> Unter {{Menu-UTM\|VPN\|IPSec\|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
	\| For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values.		\| For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values.
	<br> Under {{Menu\|VPN\|IPSec\|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }}		<br> Under {{Menu-UTM\|VPN\|IPSec\|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }}

	{{var \| IKEv2 Phase 1--desc		{{var \| IKEv2 Phase 1--desc
Zeile 71:		Zeile 77:
	\| The {{button\|Phase 1\|w}} button switches the window to the {{Reiter\|IKE}} tab and makes the following recommended settings }}		\| The {{button\|Phase 1\|w}} button switches the window to the {{Reiter\|IKE}} tab and makes the following recommended settings }}
	{{var \| IKEv2 Phase 1--Bild		{{var \| IKEv2 Phase 1--Bild
	\| ~~UTM_v12~~.5.~~1_VPN_IPSec~~-~~Windows_RW_IKEv2_Phase1~~.png		\| UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten.png
	\| ~~UTM_v12~~.5.~~1_VPN_IPSec~~-~~Windows_RW_IKEv2_Phase1~~-en.png }}		\| UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten-en.png }}
	{{var \| Verschlüsselung		{{var \| Verschlüsselung
	\| Verschlüsselung:		\| Verschlüsselung:
Zeile 80:		Zeile 86:
	\| Select ''aes256'' as encryption }}		\| Select ''aes256'' as encryption }}
	{{var \| Authentifizierung		{{var \| Authentifizierung
	\| Authentifizierung:		\| Authentifizierung
	\| Authentication: }}		\| Authentication }}
	{{var \| Authentifizierung--desc		{{var \| Authentifizierung--desc
	\| Als Authentifizierung ''sha2_384'' auswählen		\| Als Authentifizierung ''sha2_384'' auswählen
Zeile 89:		Zeile 95:
	\| Diffie-Hellman Group: }}		\| Diffie-Hellman Group: }}
	{{var \| Diffie-Hellman Group--desc		{{var \| Diffie-Hellman Group--desc
	\| Als Diffie-Hellman Group ''modp2048s256'' auswählen~~.<br>{{Alert\|g}} Dazu muss {{b\|Schwache Algorithmen anzeigen}} aktiv sein~~.		\| Als Diffie-Hellman Group ''modp2048s256'' auswählen.
	\| Select ''modp2048s256'' as Diffie-Hellman Group.~~<br>{{Alert\|g~~}} ~~This requires~~ {{b\|~~Display weak algorithms}} to be active.~~ }}		\| Select ''modp2048s256'' as Diffie-Hellman Group. }}
			{{var \| Phase 1 bearbeiten
			\| Phase 1 bearbeiten
			\| }}
	{{var \| Schwache Algorithmen anzeigen		{{var \| Schwache Algorithmen anzeigen
	\| Schwache Algorithmen anzeigen:		\| Schwache Algorithmen anzeigen:
Zeile 120:		Zeile 129:
	\| The {{button\|Phase 2\|w}} button switches the window to the {{Reiter\|General}} tab and makes the following recommended settings }}		\| The {{button\|Phase 2\|w}} button switches the window to the {{Reiter\|General}} tab and makes the following recommended settings }}
	{{var \| IKEv2 Phase 2--Bild		{{var \| IKEv2 Phase 2--Bild
	\| ~~UTM_v12~~.5.~~1_VPN_IPSec~~-~~Windows_RW_IKEv2_Phase2~~.png		\| UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten.png
	\| ~~UTM_v12~~.5.~~1_VPN_IPSec~~-~~Windows_RW_IKEv2_Phase2~~-en.png }}		\| UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten-en.png }}
			{{var \| Phase 2 bearbeiten
			\| Phase 2 bearbeiten
			\| }}
	{{var \| Schlüssel-Lebensdauer		{{var \| Schlüssel-Lebensdauer
	\| Schlüssel-Lebensdauer:		\| Schlüssel-Lebensdauer:

Lauritzl am 30. November 2023 um 11:13 Uhr

2023-11-30T11:13:10Z

Marcels am 15. November 2023 um 10:38 Uhr

2023-11-15T10:38:50Z

Lauritzl am 30. Oktober 2023 um 07:37 Uhr

2023-10-30T07:37:41Z

Änderungen zeigen

Marcels: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec mit EAP-MSCHAPv2 zu einem Windows Client | }} {{var | head | Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird. | }} {{var | Anpassung des Server-…“

2023-10-26T10:06:39Z

Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec mit EAP-MSCHAPv2 zu einem Windows Client | }} {{var | head | Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird. | }} {{var | Anpassung des Server-…“

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| IPSec mit EAP-MSCHAPv2 zu einem Windows Client
| }}
{{var | head
| Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client
| }}

{{var | Einleitung
| Einleitung
| }}
{{var | Einleitung--desc
| Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
| }}

{{var | Anpassung des Server-Zertifikats
| Anpassung des Server-Zertifikats
| }}
{{var | Anpassung des Server-Zertifikats--Bild
| UTM_v12.5.1_Authentifizierung_Zertifikat_Server-Cert_Anpassung.png
| UTM_v12.5.1_Authentifizierung_Zertifikat_Server-Cert_Anpassung-en.png }}
{{var | Anpassung des Server-Zertifikats--cap
| Anpassung des Server-Zertifikats
| }}
{{var | Anpassung des Server-Zertifikats--Einleitung
| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
 Dazu wird ein ''Subject Alternative Name'' definiert:
* Wird die Verbindung über eine '''statische IP-Adresse''' hergestellt, wird diese Adresse eingetragen
* Wird die Verbindung über einen '''Domainnamen''' hergestellt, wird dieser Name eingetragen
* Es lassen sich auch beide Einträge kombinieren
| }}
{{var | 1=Anpassung des Server-Zertifikats--desc
| 2=In {{Menu|Authentifizierung|Zertifikate}} wird über die Schaltfläche {{button||w|class=icon}} Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
 Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen {{button|Zertifikat hinzufügen|+}}, {{button|ACME-Zertifikat hinzufügen|+}} oder {{button|Zertifikat importieren|u}} eines erstellt.
 Unter {{Kasten|Alias|grau}} wird entweder mit {{ic|IP|dro|bc=white-l}} die IP-Adresse, oder mit {{ic|DNS|dro|bc=white-l}} der Domainname eingetragen und mit der Schaltfläche {{button||+|class=icon}} hinzugefügt.
| 3= }}
{{var | Speichern
| Über die Schaltfläche {{button|Speichern}} werden die Einträge abgespeichert.
| }}

{{var | IPSec mit EAP-MSCHAPv2
| IPSec mit EAP-MSCHAPv2
| }}
{{var | IPSec mit EAP-MSCHAPv2--desc
| Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel [[UTM/VPN/IPSec-EAP | IPSec mit EAP-MSCHAPv2]] enthält die Anleitung dazu.
| }}
{{var | IPSec mit EAP-MSCHAPv2 DHCP Option
| Damit die DHCP Option benutzt werden kann, darf '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.
| }}

{{var | Anpassung der IPSec-Verbindung
| Anpassung der IPSec-Verbindung
| }}
{{var | Anpassung der IPSec-Verbindung--desc
| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
 Unter {{Menu|VPN|IPSec|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
| }}

{{var | IKEv2 Phase 1--desc
| Über die Schaltfläche {{button|Phase 1|w}} wird im Fenster auf den Reiter {{Reiter|IKE}} gewechselt und folgende empfohlene Einstellungen getätigt
| }}
{{var | IKEv2 Phase 1--Bild
| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase1.png
| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase1-en.png }}
{{var | Verschlüsselung
| Verschlüsselung:
| }}
{{var | Verschlüsselung--desc
| Als Verschlüsselung ''aes256'' auswählen
| }}
{{var | Authentifizierung
| Authentifizierung:
| }}
{{var | Authentifizierung--desc
| Als Authentifizierung ''sha2_384'' auswählen
| }}
{{var | Diffie-Hellman Group
| Diffie-Hellman Group:
| }}
{{var | Diffie-Hellman Group--desc
| Als Diffie-Hellman Group ''modp2048s256'' auswählen. {{Alert|g}} Dazu muss {{b|Schwache Algorithmen anzeigen}} aktiv sein.
| }}
{{var | Schwache Algorithmen anzeigen
| Schwache Algorithmen anzeigen:
| }}
{{var | Schwache Algorithmen anzeigen--desc
| Erst bei Aktivierung wird die {{b|Diffie-Hellman Group}} ''modp2048s256'' auswählbar
| }}
{{var | Strict--desc
| Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
| }}
{{var | IKE Lifetime--desc
| Falls erwünscht, kann dies aktiviert werden
| }}
{{var | Stunden
| Stunden
| }}
{{var | IKE Rekeytime--desc
| Die Rekeytime kann beliebig eingestellt werden
| }}
{{var | unbegrenzt
| unbegrenzt (empfohlen)
| }}
{{var | Rekeying--desc
| Auf ''unbegrenzt (empfohlen)'' setzen
| }}

{{var | IKEv2 Phase 2--desc
| Über die Schaltfläche {{button|Phase 2|w}} wird im Fenster auf den Reiter {{Reiter|Allgemein}} gewechselt und folgende empfohlene Einstellungen getätigt
| }}
{{var | IKEv2 Phase 2--Bild
| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase2.png
| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase2-en.png }}
{{var | Schlüssel-Lebensdauer
| Schlüssel-Lebensdauer:
| }}
{{var | Schlüssel-Lebensdauer--desc
| Kann frei ausgewählt werden
| }}
{{var | Neustart nach Abbruch
| Neustart nach Abbruch:
| }}
{{var | Neustart nach Abbruch--desc
| Wenn erwünscht kann dies aktiviert werden
| }}
{{var | Subnetzkombinationen gruppieren
| Subnetzkombinationen gruppieren:
| }}
{{var | Subnetzkombinationen gruppieren--desc
| Sollte schon per Default aktiv sein
| }}
{{var | DHCP--desc
| Erst aktivieren, wenn '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist
| }}

{{var | Einrichtung der Verbindung auf dem Windows Client
| Einrichtung der Verbindung auf dem Windows Client
| }}
{{var | Server-Zertifikat importieren
| Server-Zertifikat importieren
| }}
{{var | Server-Zertifikat importieren--desc
| Das oben überarbeitete Server-Zertifikat wird auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
| }}
{{var | Server-Zertifikat importieren Privater Schlüssel
| Der Client benötigt den privaten Schlüssel des Zertifikates nicht. Daher ''muss'' dieser aus dem Zertifikat entfernt werden:
* Das Zertifikat muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | '''PEM''' exportiert]] und in einem Editor geöffnet werden.
* Der Abschnitt zwischen {{code|-----BEGIN PRIVATE KEY-----}} und {{code|-----END PRIVATE KEY-----}} wird gelöscht.
* Das Zertifikat als '''.crt'''-Datei abspeichern.
| }}
{{var | Server-Zertifikat importieren Client
| Das Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert. {{Hinweis-box|Es ist darauf zu achten, dass das Zertifikat in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}
| }}
{{var | Server-Zertifikat importieren installieren--Bild
| UTM_Windows-Client_Server-Zertifikat_Import-Install.png
| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}
{{var | Server-Zertifikat importieren installieren--cap
| Das Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.
| }}
{{var | Server-Zertifikat importieren Schritt1--Bild
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1.png
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1-en.png }}
{{var | Server-Zertifikat importieren Schritt1--cap
| * Als '''Speicherort''' {{spc|fa|o|Lokaler Computer|class=far fa-dot-circle}} auswählen
* {{button|Weiter}}
| }}
{{var | Server-Zertifikat importieren Schritt2--Bild
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt2.png
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt2-en.png }}
{{var | Server-Zertifikat importieren Schritt2--cap
| * {{spc|fa|o|Alle Zertifikate in folgendem Speicher speichern|class=far fa-dot-circle}} auswählen
* Als '''Zertifikatspeicher:''' ''Vertrauenswürdige Stammzertifizierungsstellen'' auswählen
* {{button|Weiter}}
| }}
{{var | Server-Zertifikat importieren Schritt3--Bild
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3.png
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}
{{var | Server-Zertifikat importieren Schritt3--cap
| * Mit {{button|Fertig stellen}} wird das Zertifikat importiert
| }}

{{var | Einrichtung der Verbindung
| Einrichtung der Verbindung
| }}
{{var | Einrichtung der Verbindung--desc
| Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
 Hier wird die Methode über Powershell beschrieben.
| }}
{{var | Powershell Befehl 1
| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:
 {{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential}}
 Folgende Anpassung müssen dabei getan werden:
* {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung
* {{code|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM
| }}
{{var | Powershell Befehl 1--Bild
| UTM_Windows-Client-IPSec_Powershell_Befehl1.png
| }}
{{var | Powershell Befehl 1--cap
| Den ersten Befehl in der Powershell eingegeben
| }}
{{var | Powershell Befehl 2
| Mit dem nächsten Befehl werden die Einstellungen von IKEv2 Phase 1 und 2 entsprechend der oberen Eingaben angepasst:
 {{code|Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force}}
 Folgende Anpassung müssen dabei getan werden:
* {{code|-ConnectionName "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung
| }}
{{var | Powershell Befehl 2--Bild
| UTM_Windows-Client-IPSec_Powershell_Befehl2.png
| }}
{{var | Powershell Befehl 2--cap
| Den zweiten Befehl in der Powershell eingegeben
| }}
{{var | Powershell Befehl Option Login
| Mit der Option {{code|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. Alternativ kann die Option {{code|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
| }}

{{var | Verbindung initiieren
| Verbindung initiieren
| }}
{{var | Verbindung initiieren--desc
| Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.
| }}
{{var | Verbindung initiieren--Bild
| UTM_Windows-Client_VPN-Menü.png
| UTM_Windows-Client_VPN-Menü-en.png }}
{{var | Verbindung initiieren--cap
| VPN-Client in Windows
| }}

----
{{var |
|
| }}
</div>

← Nächstältere Version		Version vom 30. November 2023, 13:13 Uhr
Zeile 151:		Zeile 151:
	\| Import CA from server certificate }}		\| Import CA from server certificate }}
	{{var \| Server-Zertifikat importieren--desc		{{var \| Server-Zertifikat importieren--desc
	\| ~~Die~~ CA, ~~welche~~ zum oben überarbeitetem Server-Zertifikat gehört, wird auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.		\| Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
	\| The CA ~~belonging~~ to the server certificate revised above is stored on the Windows client. Only then does the client trust the UTM. }}		\| The public key of the CA, which belongs to the server certificate revised above, is stored as a certificate on the Windows client. Only then does the client trust the UTM. }}
	{{var \| Server-Zertifikat importieren Privater Schlüssel		{{var \| Server-Zertifikat importieren Privater Schlüssel
	\| ~~Der Client benötigt den privaten Schlüssel des CA nicht. Daher ''muss'' dieser aus dem CA entfernt werden:~~		\|
	* ~~Das~~ CA muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren \| '''PEM''' exportiert]] und in einem Editor geöffnet werden.		* Die CA muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren \| '''PEM''' exportiert]] und in einem Editor geöffnet werden.
	* Der Abschnitt zwischen {{code\|-----BEGIN PRIVATE KEY-----}} und {{code\|-----END PRIVATE KEY-----}} wird gelöscht.		* Der Abschnitt zwischen {{code\|-----BEGIN PRIVATE KEY-----}} und {{code\|-----END PRIVATE KEY-----}} wird gelöscht.
	* ~~Das~~ CA als '''.crt'''-Datei ~~abspeichern~~.		* Die CA muss als '''.crt'''-Datei abgespeichert werden.
	\| ~~The client does not need the private key of the CA. Therefore it ''must'' be removed from the certificate:~~		\|
	* The CA must be [{{#var:host}}UTM/AUTH/Zertifikate#Export_certificates_/_CAs exported as '''PEM'''] and opened in an editor.		* The CA must be [{{#var:host}}UTM/AUTH/Zertifikate#Export_certificates_/_CAs exported as '''PEM'''] and opened in an editor.
	* The section between {{code\|-----BEGIN PRIVATE KEY-----}} and {{code\|-----END PRIVATE KEY-----}} is deleted.		* The section between {{code\|-----BEGIN PRIVATE KEY-----}} and {{code\|-----END PRIVATE KEY-----}} is deleted.
	* ~~Save the~~ CA as a '''.crt''' file. }}		* The CA must be saved as a '''.crt''' file. }}
	{{var \| Server-Zertifikat importieren Client		{{var \| Server-Zertifikat importieren Client
	\| ~~Das~~ CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box\|Es ist darauf zu achten, dass ~~das~~ CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}		\| Die CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box\|Es ist darauf zu achten, dass die CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}
	\| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box\|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }}		\| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box\|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }}
	{{var \| Server-Zertifikat importieren installieren--Bild		{{var \| Server-Zertifikat importieren installieren--Bild
Zeile 169:		Zeile 169:
	\| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}		\| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}
	{{var \| Server-Zertifikat importieren installieren--cap		{{var \| Server-Zertifikat importieren installieren--cap
	\| ~~Das~~ CA wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.		\| Die CA wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.
	\| The CA is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client. }}		\| The CA is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client. }}
	{{var \| Server-Zertifikat importieren Schritt1--Bild		{{var \| Server-Zertifikat importieren Schritt1--Bild
Zeile 193:		Zeile 193:
	\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}		\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}
	{{var \| Server-Zertifikat importieren Schritt3--cap		{{var \| Server-Zertifikat importieren Schritt3--cap
	\| * Mit {{button\|Fertig stellen}} wird ~~das~~ CA importiert		\| * Mit {{button\|Fertig stellen}} wird die CA importiert
	\| * With {{button\|Complete}} the CA is imported }}		\| * With {{button\|Complete}} the CA is imported }}

← Nächstältere Version		Version vom 15. November 2023, 12:38 Uhr
Zeile 148:		Zeile 148:
	\| Setting up the connection on the Windows client }}		\| Setting up the connection on the Windows client }}
	{{var \| Server-Zertifikat importieren		{{var \| Server-Zertifikat importieren
	\| Server-Zertifikat importieren		\| CA vom Server-Zertifikat importieren
	\| Import server certificate }}		\| Import CA from server certificate }}
	{{var \| Server-Zertifikat importieren--desc		{{var \| Server-Zertifikat importieren--desc
	\| ~~Das~~ oben ~~überarbeitete~~ Server-Zertifikat wird auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.		\| Die CA, welche zum oben überarbeitetem Server-Zertifikat gehört, wird auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
	\| The server certificate revised above is stored on the Windows client. Only then does the client trust the UTM. }}		\| The CA belonging to the server certificate revised above is stored on the Windows client. Only then does the client trust the UTM. }}
	{{var \| Server-Zertifikat importieren Privater Schlüssel		{{var \| Server-Zertifikat importieren Privater Schlüssel
	\| Der Client benötigt den privaten Schlüssel des ~~Zertifikates~~ nicht. Daher ''muss'' dieser aus dem ~~Zertifikat~~ entfernt werden:		\| Der Client benötigt den privaten Schlüssel des CA nicht. Daher ''muss'' dieser aus dem CA entfernt werden:
	* Das ~~Zertifikat~~ muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren \| '''PEM''' exportiert]] und in einem Editor geöffnet werden.		* Das CA muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren \| '''PEM''' exportiert]] und in einem Editor geöffnet werden.
	* Der Abschnitt zwischen {{code\|-----BEGIN PRIVATE KEY-----}} und {{code\|-----END PRIVATE KEY-----}} wird gelöscht.		* Der Abschnitt zwischen {{code\|-----BEGIN PRIVATE KEY-----}} und {{code\|-----END PRIVATE KEY-----}} wird gelöscht.
	* Das ~~Zertifikat~~ als '''.crt'''-Datei abspeichern.		* Das CA als '''.crt'''-Datei abspeichern.
	\| The client does not need the private key of the ~~certificate~~. Therefore it ''must'' be removed from the certificate:		\| The client does not need the private key of the CA. Therefore it ''must'' be removed from the certificate:
	* The ~~certificate~~ must be [{{#var:host}}UTM/AUTH/Zertifikate#Export_certificates_/_CAs exported as '''PEM'''] and opened in an editor.		* The CA must be [{{#var:host}}UTM/AUTH/Zertifikate#Export_certificates_/_CAs exported as '''PEM'''] and opened in an editor.
	* The section between {{code\|-----BEGIN PRIVATE KEY-----}} and {{code\|-----END PRIVATE KEY-----}} is deleted.		* The section between {{code\|-----BEGIN PRIVATE KEY-----}} and {{code\|-----END PRIVATE KEY-----}} is deleted.
	* Save the ~~certificate~~ as a '''.crt''' file. }}		* Save the CA as a '''.crt''' file. }}
	{{var \| Server-Zertifikat importieren Client		{{var \| Server-Zertifikat importieren Client
	\| Das Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box\|Es ist darauf zu achten, dass das ~~Zertifikat~~ in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}		\| Das CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box\|Es ist darauf zu achten, dass das CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}
	\| The server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box\|Care should be taken to store the ~~certificate~~ in ''Trust Root Certification Authorities'' on the client.}} }}		\| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box\|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }}
	{{var \| Server-Zertifikat importieren installieren--Bild		{{var \| Server-Zertifikat importieren installieren--Bild
	\| UTM_Windows-Client_Server-Zertifikat_Import-Install.png		\| UTM_Windows-Client_Server-Zertifikat_Import-Install.png
	\| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}		\| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}
	{{var \| Server-Zertifikat importieren installieren--cap		{{var \| Server-Zertifikat importieren installieren--cap
	\| Das ~~Server-Zertifikat~~ wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.		\| Das CA wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.
	\| The ~~server certificate~~ is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client. }}		\| The CA is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client. }}
	{{var \| Server-Zertifikat importieren Schritt1--Bild		{{var \| Server-Zertifikat importieren Schritt1--Bild
	\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1.png		\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1.png
Zeile 193:		Zeile 193:
	\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}		\| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}
	{{var \| Server-Zertifikat importieren Schritt3--cap		{{var \| Server-Zertifikat importieren Schritt3--cap
	\| * Mit {{button\|Fertig stellen}} wird das ~~Zertifikat~~ importiert		\| * Mit {{button\|Fertig stellen}} wird das CA importiert
	\| * With {{button\|Complete}} the ~~certificate~~ is imported }}		\| * With {{button\|Complete}} the CA is imported }}

	{{var \| Einrichtung der Verbindung		{{var \| Einrichtung der Verbindung