KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 3: | Zeile 3: | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/VPN/IPSec-EAP-Windows.lang}} | {{:UTM/VPN/IPSec-EAP-Windows.lang}} | ||
{{var | neu--Korrektur Zertifikat CA | |||
| Korrektur für das [[#CA_vom_Server-Zertifikat_importieren|Zertifikat, das auf dem Client hinterlegt wird]] | |||
| Correction for the [[#Setting_up_the_connection_on_the_Windows_client|certificate that is stored on the client]] }} | |||
</div>{{TOC2}}{{Select_lang}} | </div>{{TOC2}}{{Select_lang}} | ||
{{Header|12.5.1| | {{Header|12.5.1|zuletzt= 11.2023| | ||
* {{#var:neu--Korrektur Zertifikat CA}} | |||
| | | | ||
|{{Menu|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }} | |{{Menu|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }} | ||
Version vom 30. November 2023, 12:13 Uhr
Einleitung
Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
Anpassung des Server-Zertifikats
Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:
- Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
- Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
- Es lassen sich auch beide Einträge kombinieren
In wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen , oder eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche werden die Einträge abgespeichert.
IPSec mit EAP-MSCHAPv2
Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.
Anpassung der IPSec-Verbindung
Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
IKEv2 Phase 1
Über die Schaltfläche wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Verschlüsselung: | aes256 | Als Verschlüsselung aes256 auswählen | |
| Authentifizierung | sha2_384 | Als Authentifizierung sha2_384 auswählen | |
| Diffie-Hellman Group: | modp2048s256 | Als Diffie-Hellman Group modp2048s256 auswählen. | |
| Schwache Algorithmen anzeigen: | Ein | Erst bei Aktivierung wird die Diffie-Hellman Group modp2048s256 auswählbar | |
| Strict: | Ein | Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden | |
| IKE Lifetime: | Aus | Falls erwünscht, kann dies aktiviert werden | |
| IKE Rekeytime: | 1 Stunden |
Die Rekeytime kann beliebig eingestellt werden | |
| Rekeying: | unbegrenzt (empfohlen) | Auf unbegrenzt (empfohlen) setzen | |
IKEv2 Phase 2
Über die Schaltfläche wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Verschlüsselung: | aes256 | Als Verschlüsselung aes256 auswählen | |
| Authentifizierung | sha2_384 | Als Authentifizierung sha2_384 auswählen | |
| Diffie-Hellman Group: | modp2048s256 | Als Diffie-Hellman Group modp2048s256 auswählen. | |
| Schwache Algorithmen anzeigen: | Ein | Erst bei Aktivierung wird die Diffie-Hellman Group modp2048s256 auswählbar | |
| Schlüssel-Lebensdauer: | 8 Stunden | Kann frei ausgewählt werden | |
| Neustart nach Abbruch: | Nein | Wenn erwünscht kann dies aktiviert werden | |
| Subnetzkombinationen gruppieren: | Ein | Sollte schon per Default aktiv sein | |
| DHCP: | Aus | Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist | |
Einrichtung der Verbindung auf dem Windows Client
CA vom Server-Zertifikat importieren
Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
- Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
- Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
- Die CA muss als .crt-Datei abgespeichert werden.
- Als Speicherort Lokaler Computer auswählen
- Alle Zertifikate in folgendem Speicher speichern auswählen
- Als Zertifikatspeicher: Vertrauenswürdige Stammzertifizierungsstellen auswählen
- Mit wird die CA importiert
Einrichtung der Verbindung
Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.
Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling
Folgende Anpassung müssen dabei getan werden:
- Add-VpnConnection -Name "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
- -ServerAddress "utm.spdns.eu": Hostname der UTM
Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force
Folgende Anpassung müssen dabei getan werden:
- -ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
- Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben. - notemptyNeu:Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden
