Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/IPSec-EAP-Windows: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 4: Zeile 4:
{{:UTM/VPN/IPSec-EAP-Windows.lang}}
{{:UTM/VPN/IPSec-EAP-Windows.lang}}


{{var | neu--Korrektur Zertifikat CA
{{var | neu--SplitTunneling
| Korrektur für das [[#CA_vom_Server-Zertifikat_importieren|Zertifikat, das auf dem Client hinterlegt wird]]
| Parameter ergänzt, der [[#{{#var:Einrichtung der Verbindung}} | verhindert, daß der gesamte Internetverkehr durch den Tunnel geleitet wird]]
| Correction for the [[#Setting_up_the_connection_on_the_Windows_client|certificate that is stored on the client]] }}
| Parameter added that [[#{{#var:Einrichtung der Verbindung}} | prevents all Internet traffic from being routed through the tunnel]] }}


</div>{{TOC2}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
{{Header|12.5.1|zuletzt= 11.2023|new=true|
{{Header|12.6.0|
* {{#var:neu--Korrektur Zertifikat CA}}
* {{#var:neu--SplitTunneling}}
|
* {{#var:neu--rwi}}
|{{Menu|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }}
|[[UTM/VPN/IPSec-EAP-Windows_v12.5|12.5]]
}}
|{{Menu-UTM|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }}
| zuletzt=05.2024}}


----
----
Zeile 26: Zeile 27:
=== {{#var:Anpassung des Server-Zertifikats}} ===
=== {{#var:Anpassung des Server-Zertifikats}} ===
<div class="einrücken">
<div class="einrücken">
{{pt3|{{#var:Anpassung des Server-Zertifikats--Bild}}|{{#var:Anpassung des Server-Zertifikats--cap}} }}
{{Bild|{{#var:Anpassung des Server-Zertifikats--Bild}}|{{#var:Anpassung des Server-Zertifikats--cap}}||{{#var:Zertifikat bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Zertifikate}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
{{#var:Anpassung des Server-Zertifikats--Einleitung}}
{{#var:Anpassung des Server-Zertifikats--Einleitung}}
{{#var:Anpassung des Server-Zertifikats--desc}}
{{#var:Anpassung des Server-Zertifikats--desc}}
Zeile 49: Zeile 50:
{| class="sptable2 pd5 zh1"
{| class="sptable2 pd5 zh1"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv2 Phase 1--Bild}}|IKEv2 Phase 1}}
| class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 1--Bild}}|IKEv2 Phase 1||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
|-
|-
| {{b|{{#var:Authentifizierung}} }} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}}
| {{b|{{#var:Authentifizierung}}:}} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}}
|-
|-
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
|-
| {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
|-
|-
| {{b|Strict:}} || {{buttonAn|{{#var:ein}} }} || {{#var:Strict--desc}}
| {{b|Strict:}} || {{buttonAn|{{#var:ein}} }} || {{#var:Strict--desc}}
Zeile 75: Zeile 74:
{| class="sptable2 pd5 zh1"
{| class="sptable2 pd5 zh1"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv2 Phase 2--Bild}}|IKEv2 Phase 2}}
| class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 2--Bild}}|IKEv2 Phase 2||{{#var:Phase 2 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
| {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
Zeile 82: Zeile 81:
|-
|-
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
| {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
|-
| {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
|-
|-
| {{b|{{#var:Schlüssel-Lebensdauer}} }} || {{ic|8 {{#var:Stunden}}|dro|bc=white-l|class=available}} || {{#var:Schlüssel-Lebensdauer--desc}}
| {{b|{{#var:Schlüssel-Lebensdauer}} }} || {{ic|8 {{#var:Stunden}}|dro|bc=white-l|class=available}} || {{#var:Schlüssel-Lebensdauer--desc}}

Aktuelle Version vom 16. Mai 2024, 08:29 Uhr







































































De.png
En.png
Fr.png








Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client
Letzte Anpassung zur Version: 12.6.0
Neu:
Zuletzt aktualisiert: 
    05.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 VPN IPSec

Einleitung

Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.

Anpassung des Server-Zertifikats

Zertifikat bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten.pngAnpassung des Server-Zertifikats Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:

  • Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
  • Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
  • Es lassen sich auch beide Einträge kombinieren

In Authentifizierung Zertifikate wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen Zertifikat hinzufügen, ACME-Zertifikat hinzufügen oder Zertifikat importieren eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche Speichern werden die Einträge abgespeichert.


IPSec mit EAP-MSCHAPv2

Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.

notempty
Damit die DHCP Option benutzt werden kann, darf kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.

Anpassung der IPSec-Verbindung

Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter VPN IPSec  Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.

IKEv2 Phase 1

Über die Schaltfläche Phase 1 wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten.pngIKEv2 Phase 1
Verschlüsselung: aes256 Als Verschlüsselung aes256 auswählen
Authentifizierung: sha2_384 Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group: modp2048s256 Als Diffie-Hellman Group modp2048s256 auswählen.
Strict: Ein Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
IKE Lifetime: Aus Falls erwünscht, kann dies aktiviert werden
IKE Rekeytime: 1Link= Stunden Die Rekeytime kann beliebig eingestellt werden
Rekeying: unbegrenzt (empfohlen) Auf unbegrenzt (empfohlen) setzen
IKEv2 Phase 2

Über die Schaltfläche Phase 2 wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung Wert Beschreibung Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten.pngIKEv2 Phase 2
Verschlüsselung: aes256 Als Verschlüsselung aes256 auswählen
Authentifizierung sha2_384 Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group: modp2048s256 Als Diffie-Hellman Group modp2048s256 auswählen.
Schlüssel-Lebensdauer: 8 Stunden Kann frei ausgewählt werden
Neustart nach Abbruch: Nein Wenn erwünscht kann dies aktiviert werden
Subnetzkombinationen gruppieren: Ein Sollte schon per Default aktiv sein
DHCP: Aus Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist

Einrichtung der Verbindung auf dem Windows Client

CA vom Server-Zertifikat importieren

Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.

  • Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
  • Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
  • Die CA muss als .crt-Datei abgespeichert werden.
UTM Windows-Client Server-Zertifikat Import-Install.png
Abb.1
Die CA wird als .crt-Datei (Export als PEM) auf dem Windows Client kopiert und installiert.
UTM Windows-Client Server-Zertifikat Install Schritt1.png
Abb.2
  • Als Speicherort  Lokaler Computer auswählen
  • Weiter
UTM Windows-Client Server-Zertifikat Install Schritt2.png
Abb.3
  •  Alle Zertifikate in folgendem Speicher speichern auswählen
  • Als Zertifikatspeicher: Vertrauenswürdige Stammzertifizierungsstellen auswählen
  • Weiter
UTM Windows-Client Server-Zertifikat Install Schritt3.png
Abb.4
  • Mit Fertig stellen wird die CA importiert












Einrichtung der Verbindung

Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.

UTM Windows-Client-IPSec Powershell Befehl1.png
Abb.1
Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:


Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling
Folgende Anpassung müssen dabei getan werden:

  • Add-VpnConnection -Name "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
  • -ServerAddress "utm.spdns.eu": Hostname der UTM
UTM Windows-Client-IPSec Powershell Befehl2.png
Abb.2
Mit dem nächsten Befehl werden die Einstellungen von IKEv2 Phase 1 und 2 entsprechend der oberen Eingaben angepasst:


Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force
Folgende Anpassung müssen dabei getan werden:

  • -ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung













  • Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
    Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
  • notempty
    Neu:
     Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden

Verbindung initiieren

VPN-Client in Windows

Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-EAP-Windows&oldid=91224