KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
{{:UTM/VPN/IPSec-EAP-Windows.lang}} | {{:UTM/VPN/IPSec-EAP-Windows.lang}} | ||
</div>{{TOC2}}{{Select_lang}} | {{var | neu--SplitTunneling | ||
{{Header|12. | | Parameter ergänzt, der [[#{{#var:Einrichtung der Verbindung}} | verhindert, daß der gesamte Internetverkehr durch den Tunnel geleitet wird]] | ||
| | | Parameter added that [[#{{#var:Einrichtung der Verbindung}} | prevents all Internet traffic from being routed through the tunnel]] }} | ||
| | |||
|{{Menu|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }} | </div><div class="new_design"></div>{{TOC2}}{{Select_lang}} | ||
}} | {{Header|12.6.0| | ||
* {{#var:neu--SplitTunneling}} | |||
* {{#var:neu--rwi}} | |||
|[[UTM/VPN/IPSec-EAP-Windows_v12.5|12.5]] | |||
|{{Menu-UTM|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }} | |||
| zuletzt=05.2024}} | |||
---- | ---- | ||
Zeile 22: | Zeile 27: | ||
=== {{#var:Anpassung des Server-Zertifikats}} === | === {{#var:Anpassung des Server-Zertifikats}} === | ||
<div class="einrücken"> | <div class="einrücken"> | ||
{{ | {{Bild|{{#var:Anpassung des Server-Zertifikats--Bild}}|{{#var:Anpassung des Server-Zertifikats--cap}}||{{#var:Zertifikat bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Zertifikate}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}} | ||
{{#var:Anpassung des Server-Zertifikats--Einleitung}} | {{#var:Anpassung des Server-Zertifikats--Einleitung}} | ||
{{#var:Anpassung des Server-Zertifikats--desc}} | {{#var:Anpassung des Server-Zertifikats--desc}} | ||
Zeile 45: | Zeile 50: | ||
{| class="sptable2 pd5 zh1" | {| class="sptable2 pd5 zh1" | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 1--Bild}}|IKEv2 Phase 1||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}} | | {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}} | ||
|- | |- | ||
| {{b|{{#var:Authentifizierung}} }} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}} | | {{b|{{#var:Authentifizierung}}:}} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}} | ||
|- | |- | ||
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}} | | {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}} | ||
|- | |- | ||
| {{b|Strict:}} || {{buttonAn|{{#var:ein}} }} || {{#var:Strict--desc}} | | {{b|Strict:}} || {{buttonAn|{{#var:ein}} }} || {{#var:Strict--desc}} | ||
Zeile 71: | Zeile 74: | ||
{| class="sptable2 pd5 zh1" | {| class="sptable2 pd5 zh1" | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 2--Bild}}|IKEv2 Phase 2||{{#var:Phase 2 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}} | | {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}} | ||
Zeile 78: | Zeile 81: | ||
|- | |- | ||
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}} | | {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}} | ||
|- | |- | ||
| {{b|{{#var:Schlüssel-Lebensdauer}} }} || {{ic|8 {{#var:Stunden}}|dro|bc=white-l|class=available}} || {{#var:Schlüssel-Lebensdauer--desc}} | | {{b|{{#var:Schlüssel-Lebensdauer}} }} || {{ic|8 {{#var:Stunden}}|dro|bc=white-l|class=available}} || {{#var:Schlüssel-Lebensdauer--desc}} |
Aktuelle Version vom 16. Mai 2024, 08:29 Uhr
- Parameter ergänzt, der verhindert, daß der gesamte Internetverkehr durch den Tunnel geleitet wird
- Aktualisierung zum Redesign des Webinterfaces
- 05.2024
Einleitung
Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
Anpassung des Server-Zertifikats
UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate
Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:
- Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
- Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
- Es lassen sich auch beide Einträge kombinieren
In Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen , oder eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche werden die Einträge abgespeichert.
IPSec mit EAP-MSCHAPv2
Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.
Anpassung der IPSec-Verbindung
Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
IKEv2 Phase 1
Über die Schaltfläche IKE gewechselt und folgende empfohlene Einstellungen getätigt
wird im Fenster auf den ReiterIKEv2 Phase 2
Über die Schaltfläche Allgemein gewechselt und folgende empfohlene Einstellungen getätigt
wird im Fenster auf den ReiterEinrichtung der Verbindung auf dem Windows Client
CA vom Server-Zertifikat importieren
Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
- Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
- Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
- Die CA muss als .crt-Datei abgespeichert werden.
Einrichtung der Verbindung
Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.
- Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben. - notemptyNeu:Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden