@@ Zeile 9: / Zeile 9: @@
 		| Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client
 		| Configuration of an IPSec connection with EAP-MSCHAPv2 to a Windows client }}
 {{var	| Einleitung
 		| Einleitung
@@ Zeile 16: / Zeile 15: @@
 		| Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
 		| This HowTo describes how to create an IPSec Roadwarrior connection using IKEv2 EAP-MSCHAPv2 to a Windows client. }}
 {{var	| Anpassung des Server-Zertifikats
 		| Anpassung des Server-Zertifikats
 		| Customization of the server certificate }}
 {{var	| Anpassung des Server-Zertifikats--Bild
-		| UTM_v12.5.1_Authentifizierung_Zertifikat_Server-Cert_Anpassung.png
+		| UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten.png
-		| UTM_v12.5.1_Authentifizierung_Zertifikat_Server-Cert_Anpassung-en.png }}
+		| UTM v12.6.4 IPSec-EAP-Win Zertifikat bearbeiten-en.png }}
 {{var	| Anpassung des Server-Zertifikats--cap
 		| Anpassung des Server-Zertifikats
 		| Customization of the server certificate }}
+{{var	| Zertifikat bearbeiten
+		| Zertifikat bearbeiten
+		| Edit certificate }}
+{{var	| Zertifikate
+		| Zertifikate
+		| Certificate }}
 {{var	| Anpassung des Server-Zertifikats--Einleitung
-		| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
+		| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.<br> Dazu wird ein ''Subject Alternative Name'' definiert:
-<br>Dazu wird ein ''Subject Alternative Name'' definiert:
 * Wird die Verbindung über eine '''statische IP-Adresse''' hergestellt, wird diese Adresse eingetragen
 * Wird die Verbindung über einen '''Domainnamen''' hergestellt, wird dieser Name eingetragen
 * Es lassen sich auch beide Einträge kombinieren
-		| The server certificate on the UTM must be adjusted so that the Windows client trusts the IPSec connection.
+		| The server certificate on the UTM must be adjusted so that the Windows client trusts the IPSec connection.<br> For this purpose, a ''Subject Alternative Name'' is defined:
-<br>For this purpose, a ''Subject Alternative Name'' is defined:
 * If the connection is established via a '''static IP address''', this address is entered
 * If the connection is established via a '''domain name''', this name is entered
 * Both entries can also be combined }}
 {{var	| 1=Anpassung des Server-Zertifikats--desc
-		| 2=In {{Menu|Authentifizierung|Zertifikate}} wird über die Schaltfläche {{button||w|class=icon}} <span class="Hover">Bearbeiten</span> der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
+		| 2=In {{Menu-UTM|Authentifizierung|Zertifikate}} wird über die Schaltfläche {{button||w|class=icon}} <span class="Hover">Bearbeiten</span> der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
 <br> Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen {{button|Zertifikat hinzufügen|+}}, {{button|ACME-Zertifikat hinzufügen|+}} oder {{button|Zertifikat importieren|u}} eines erstellt.
 <br> Unter {{Kasten|Alias|grau}} wird entweder mit {{ic|IP|dro|bc=white-l}} die IP-Adresse, oder mit {{ic|DNS|dro|bc=white-l}} der Domainname eingetragen und mit der Schaltfläche {{button||+|class=icon}} hinzugefügt.
-		| 3=In {{Menu|Authentication|Certificates}} the {{button||w|class=icon}} <span class="Hover">Edit</span> button opens the edit dialog of the server certificate.
+		| 3=In {{Menu-UTM|Authentication|Certificates}} the {{button||w|class=icon}} <span class="Hover">Edit</span> button opens the edit dialog of the server certificate.
 <br> If there is no server certificate yet, the {{button|Add certificate|+}}, {{button|Add ACME certificate|+}} or {{button|Import certificate|u}} buttons will create one.
 <br> Under {{Kasten|Alias|grey}} either the IP address is entered with {{ic|IP|dro|bc=white-l}}, or the domain name with {{ic|DNS|dro|bc=white-l}} and added with the {{button||+|class=icon}} button. }}
@@ Zeile 47: / Zeile 49: @@
 		| Über die Schaltfläche {{button|Speichern}} werden die Einträge abgespeichert.
 		| The {{button|Save}} button is used to save the entries. }}
 {{var	| IPSec mit EAP-MSCHAPv2
 		| IPSec mit EAP-MSCHAPv2
@@ Zeile 57: / Zeile 58: @@
 		| Damit die DHCP Option benutzt werden kann, darf '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.
 		| For the DHCP option to be used, '''no''' DHCP server must be entered in the global IPSec settings. }}
 {{var	| Anpassung der IPSec-Verbindung
 		| Anpassung der IPSec-Verbindung
 		| Adjustment of the IPSec connection }}
 {{var	| Anpassung der IPSec-Verbindung--desc
-		| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
+		| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.<br> Unter {{Menu-UTM|VPN|IPSec|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
-<br> Unter {{Menu|VPN|IPSec|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
+		| For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values.<br> Under {{Menu-UTM|VPN|IPSec|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }}
-		| For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values.
-<br> Under {{Menu|VPN|IPSec|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }}
 {{var	| IKEv2 Phase 1--desc
 		| Über die Schaltfläche {{button|Phase 1|w}} wird im Fenster auf den Reiter {{Reiter|IKE}} gewechselt und folgende empfohlene Einstellungen getätigt
 		| The {{button|Phase 1|w}} button switches the window to the {{Reiter|IKE}} tab and makes the following recommended settings }}
 {{var	| IKEv2 Phase 1--Bild
-		| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase1.png
+		| UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten.png
-		| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase1-en.png }}
+		| UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten-en.png }}
 {{var	| Verschlüsselung
-		| Verschlüsselung:
+		| Verschlüsselung
-		| Encryption: }}
+		| Encryption }}
 {{var	| Verschlüsselung--desc
 		| Als Verschlüsselung ''aes256'' auswählen
 		| Select ''aes256'' as encryption }}
 {{var	| Authentifizierung
-		| Authentifizierung:
+		| Authentifizierung
-		| Authentication: }}
+		| Authentication }}
 {{var	| Authentifizierung--desc
 		| Als Authentifizierung ''sha2_384'' auswählen
 		| Select ''sha2_384'' for authentication }}
-{{var	| Diffie-Hellman Group
-		| Diffie-Hellman Group:
-		| Diffie-Hellman Group: }}
 {{var	| Diffie-Hellman Group--desc
-		| Als Diffie-Hellman Group ''modp2048s256'' auswählen.<br>{{Alert|g}} Dazu muss {{b|Schwache Algorithmen anzeigen}} aktiv sein.
+		| Als Diffie-Hellman Group ''modp2048s256'' auswählen.
-		| Select ''modp2048s256'' as Diffie-Hellman Group.<br>{{Alert|g}} This requires {{b|Display weak algorithms}} to be active. }}
+		| Select ''modp2048s256'' as Diffie-Hellman Group. }}
+{{var	| Phase 1 bearbeiten
+		| Phase 1 bearbeiten
+		| Edit phase 1 }}
 {{var	| Schwache Algorithmen anzeigen
 		| Schwache Algorithmen anzeigen:
@@ Zeile 115: / Zeile 112: @@
 		| Auf ''unbegrenzt (empfohlen)'' setzen
 		| Set to ''unlimited (recommended)'' }}
 {{var	| IKEv2 Phase 2--desc
 		| Über die Schaltfläche {{button|Phase 2|w}} wird im Fenster auf den Reiter {{Reiter|Allgemein}} gewechselt und folgende empfohlene Einstellungen getätigt
 		| The {{button|Phase 2|w}} button switches the window to the {{Reiter|General}} tab and makes the following recommended settings }}
 {{var	| IKEv2 Phase 2--Bild
-		| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase2.png
+		| UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten.png
-		| UTM_v12.5.1_VPN_IPSec-Windows_RW_IKEv2_Phase2-en.png }}
+		| UTM v12.6.4 IPSec-EAP-Win Phase 2 bearbeiten-en.png }}
+{{var	| Phase 2 bearbeiten
+		| Phase 2 bearbeiten
+		| Edit phase 2 }}
 {{var	| Schlüssel-Lebensdauer
 		| Schlüssel-Lebensdauer:
@@ Zeile 143: / Zeile 142: @@
 		| Erst aktivieren, wenn '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist
 		| Activate only if '''no''' DHCP server is entered in the global IPSec settings }}
 {{var	| Einrichtung der Verbindung auf dem Windows Client
 		| Einrichtung der Verbindung auf dem Windows Client
@@ Zeile 151: / Zeile 149: @@
 		| Import CA from server certificate }}
 {{var	| Server-Zertifikat importieren--desc
-		| Die CA, welche zum oben überarbeitetem Server-Zertifikat gehört, wird auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
+		| Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
-		| The CA belonging to the server certificate revised above is stored on the Windows client. Only then does the client trust the UTM. }}
+		| The public key of the CA, which belongs to the server certificate revised above, is stored as a certificate on the Windows client. Only then does the client trust the UTM. }}
 {{var	| Server-Zertifikat importieren Privater Schlüssel
-		| Der Client benötigt den privaten Schlüssel des CA nicht. Daher ''muss'' dieser aus dem CA entfernt werden:
+		|
-* Das CA muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | '''PEM''' exportiert]] und in einem Editor geöffnet werden.
+* Die CA muss als [[UTM/AUTH/Zertifikate#Zertifikate_/_CAs_exportieren | '''PEM''' exportiert]] und in einem Editor geöffnet werden.
 * Der Abschnitt zwischen {{code|-----BEGIN PRIVATE KEY-----}} und {{code|-----END PRIVATE KEY-----}} wird gelöscht.
-* Das CA als '''.crt'''-Datei abspeichern.
+* Die CA muss als '''.crt'''-Datei abgespeichert werden.
-		| The client does not need the private key of the CA. Therefore it ''must'' be removed from the certificate:
+		|
 * The CA must be [{{#var:host}}UTM/AUTH/Zertifikate#Export_certificates_/_CAs exported as '''PEM'''] and opened in an editor.
 * The section between {{code|-----BEGIN PRIVATE KEY-----}} and {{code|-----END PRIVATE KEY-----}} is deleted.
-* Save the CA as a '''.crt''' file. }}
+* The CA must be saved as a '''.crt''' file. }}
 {{var	| Server-Zertifikat importieren Client
-		| Das CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box|Es ist darauf zu achten, dass das CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}
+		| Die CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br> {{Hinweis-box|Es ist darauf zu achten, dass die CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}}
-		| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }}
+		| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br> {{Hinweis-box|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }}
 {{var	| Server-Zertifikat importieren installieren--Bild
 		| UTM_Windows-Client_Server-Zertifikat_Import-Install.png
 		| UTM_Windows-Client_Server-Zertifikat_Import-Install-en.png }}
 {{var	| Server-Zertifikat importieren installieren--cap
-		| Das CA wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.
+		| Die CA wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.
 		| The CA is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client. }}
 {{var	| Server-Zertifikat importieren Schritt1--Bild
@@ Zeile 175: / Zeile 173: @@
 		| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1-en.png }}
 {{var	| Server-Zertifikat importieren Schritt1--cap
-		| * Als '''Speicherort''' {{spc|fa|o|Lokaler Computer|class=far fa-dot-circle}} auswählen
+		|
+* Als '''Speicherort''' {{spc|fa|o|Lokaler Computer|class=far fa-dot-circle}} auswählen
 * {{button|Weiter}}
-		| * Select {{spc|fa|o|Local computer|class=far fa-dot-circle}} as '''storage location'''
+		|
+* Select {{spc|fa|o|Local computer|class=far fa-dot-circle}} as '''storage location'''
 * {{button|Next}} }}
 {{var	| Server-Zertifikat importieren Schritt2--Bild
@@ Zeile 183: / Zeile 183: @@
 		| UTM_Windows-Client_Server-Zertifikat_Install_Schritt2-en.png }}
 {{var	| Server-Zertifikat importieren Schritt2--cap
-		| * {{spc|fa|o|Alle Zertifikate in folgendem Speicher speichern|class=far fa-dot-circle}} auswählen
+		|
+* {{spc|fa|o|Alle Zertifikate in folgendem Speicher speichern|class=far fa-dot-circle}} auswählen
 * Als '''Zertifikatspeicher:''' ''Vertrauenswürdige Stammzertifizierungsstellen'' auswählen
 * {{button|Weiter}}
-		| * Select {{spc|fa|o|Store all certificates in the following memory|class=far fa-dot-circle}}
+		|
+* Select {{spc|fa|o|Store all certificates in the following memory|class=far fa-dot-circle}}
 * Select '''Certificate store:''' ''Trusted root certification authorities''
 * {{button|Next}}  }}
@@ Zeile 193: / Zeile 195: @@
 		| UTM_Windows-Client_Server-Zertifikat_Install_Schritt3-en.png }}
 {{var	| Server-Zertifikat importieren Schritt3--cap
-		| * Mit {{button|Fertig stellen}} wird das CA importiert
+		| * Mit {{button|Fertig stellen}} wird die CA importiert
 		| * With {{button|Complete}} the CA is imported }}
 {{var	| Einrichtung der Verbindung
 		| Einrichtung der Verbindung
 		| Connection setup }}
 {{var	| Einrichtung der Verbindung--desc
-		| Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
+		| Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.<br> Hier wird die Methode über Powershell beschrieben.
-<br>Hier wird die Methode über Powershell beschrieben.
+		| The IPSec connection can be added to the Windows client in different ways.<br> Here the method via Powershell is described. }}
-		| The IPSec connection can be added to the Windows client in different ways.
-<br>Here the method via Powershell is described. }}
 {{var	| Powershell Befehl 1
-		| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:
+		| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:<br>
-<br>{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential}}
+{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}<br> Folgende Anpassung müssen dabei getan werden:
-<br>Folgende Anpassung müssen dabei getan werden:
 * {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung
 * {{code|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM
-		| First, the IPSec connection is added. The following command is entered for this purpose:
+		| First, the IPSec connection is added. The following command is entered for this purpose:<br>
-<br>{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential}}
+{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}<br> The following adjustment must be done in the process:
-<br>The following adjustment must be done in the process:
 * {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: The name of the created IPSec connection
 * {{code|-ServerAddress "utm.spdns.eu"}}: Hostname of the UTM }}
 {{var	| Powershell Befehl 1--Bild
 		| UTM_Windows-Client-IPSec_Powershell_Befehl1.png
-		|  }}
+		| UTM_Windows-Client-IPSec_Powershell_Befehl1.png }}
 {{var	| Powershell Befehl 1--cap
 		| Den ersten Befehl in der Powershell eingegeben
@@ Zeile 232: / Zeile 229: @@
 {{var	| Powershell Befehl 2--Bild
 		| UTM_Windows-Client-IPSec_Powershell_Befehl2.png
-		|  }}
+		| UTM_Windows-Client-IPSec_Powershell_Befehl2.png }}
 {{var	| Powershell Befehl 2--cap
 		| Den zweiten Befehl in der Powershell eingegeben
 		| Enter the second command in the Powershell }}
 {{var	| Powershell Befehl Option Login
-		| Mit der Option {{code|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. Alternativ kann die Option {{code|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
+		|
-		| With the option {{code|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM. }}
+* Mit der Option {{code|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. <br>Alternativ kann die Option {{code|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
+* {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} Die Option {{code|-SplitTunneling}} sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden
+		|
+* With the option {{code|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM.
+* {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} The {{code|-SplitTunneling}} option ensures that only packets for the destination networks of the remote terminal are routed through the tunnel }}
 {{var	| Verbindung initiieren
 		| Verbindung initiieren
@@ Zeile 252: / Zeile 252: @@
 		| VPN-Client in Windows
 		| VPN-Client in Windows }}
+{{var	|
+		|
+		|  }}
 ----

Aktuelle Version vom 28. Februar 2025, 11:41 Uhr