UTM/VPN/IPSec-EAP-Windows: Unterschied zwischen den Versionen

Version vom 14. Mai 2024, 11:15 Uhr

Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.5

Einleitung

Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.

Anpassung des Server-Zertifikats

Zertifikat bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungZertifikate Anpassung des Server-Zertifikats Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:

Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
Es lassen sich auch beide Einträge kombinieren

In Authentifizierung Zertifikate wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen Zertifikat hinzufügen, ACME-Zertifikat hinzufügen oder Zertifikat importieren eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche Speichern werden die Einträge abgespeichert.

IPSec mit EAP-MSCHAPv2

Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.

notempty

Damit die DHCP Option benutzt werden kann, darf kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.

Anpassung der IPSec-Verbindung

Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter VPN IPSec Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.

IKEv2 Phase 1

Über die Schaltfläche Phase 1 wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec IKEv2 Phase 1
Verschlüsselung:	aes256	Als Verschlüsselung aes256 auswählen
Authentifizierung:	sha2_384	Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:	modp2048s256	Als Diffie-Hellman Group modp2048s256 auswählen.
Strict:	Ein	Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
IKE Lifetime:	Aus	Falls erwünscht, kann dies aktiviert werden
IKE Rekeytime:	1 Stunden	Die Rekeytime kann beliebig eingestellt werden
Rekeying:	unbegrenzt (empfohlen)	Auf unbegrenzt (empfohlen) setzen

IKEv2 Phase 2

Über die Schaltfläche Phase 2 wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt

Beschriftung	Wert	Beschreibung	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec IKEv2 Phase 2
Verschlüsselung:	aes256	Als Verschlüsselung aes256 auswählen
Authentifizierung	sha2_384	Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:	modp2048s256	Als Diffie-Hellman Group modp2048s256 auswählen.
Schlüssel-Lebensdauer:	8 Stunden	Kann frei ausgewählt werden
Neustart nach Abbruch:	Nein	Wenn erwünscht kann dies aktiviert werden
Subnetzkombinationen gruppieren:	Ein	Sollte schon per Default aktiv sein
DHCP:	Aus	Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist

Einrichtung der Verbindung auf dem Windows Client

CA vom Server-Zertifikat importieren

Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.

Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
Die CA muss als .crt-Datei abgespeichert werden.

UTM Windows-Client Server-Zertifikat Import-Install.png

Abb.1

Die CA wird als .crt-Datei (Export als PEM) auf dem Windows Client kopiert und installiert.

UTM Windows-Client Server-Zertifikat Install Schritt1.png

Abb.2

Als Speicherort Lokaler Computer auswählen
Weiter

UTM Windows-Client Server-Zertifikat Install Schritt2.png

Abb.3

Alle Zertifikate in folgendem Speicher speichern auswählen
Als Zertifikatspeicher: Vertrauenswürdige Stammzertifizierungsstellen auswählen
Weiter

UTM Windows-Client Server-Zertifikat Install Schritt3.png

Abb.4

Mit Fertig stellen wird die CA importiert

Einrichtung der Verbindung

Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.

UTM Windows-Client-IPSec Powershell Befehl1.png

Abb.1

Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:

Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling
Folgende Anpassung müssen dabei getan werden:

Add-VpnConnection -Name "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
-ServerAddress "utm.spdns.eu": Hostname der UTM

UTM Windows-Client-IPSec Powershell Befehl2.png

Abb.2

Mit dem nächsten Befehl werden die Einstellungen von IKEv2 Phase 1 und 2 entsprechend der oberen Eingaben angepasst:

Set-VpnConnectionIPsecConfiguration -ConnectionName "IPSec RW Windows" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA384 -PfsGroup PFS24 -DHGroup Group24 -PassThru -Force
Folgende Anpassung müssen dabei getan werden:

-ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung

Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten.
Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
notempty
Neu:
Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden

Verbindung initiieren

VPN-Client in Windows

Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.

@@ Zeile 4: / Zeile 4: @@
 {{:UTM/VPN/IPSec-EAP-Windows.lang}}
-{{var	| neu--Korrektur Zertifikat CA
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-		| Korrektur für das [[#CA_vom_Server-Zertifikat_importieren|Zertifikat, das auf dem Client hinterlegt wird]]
+{{Header|12.6.0|
-		| Correction for the [[#Setting_up_the_connection_on_the_Windows_client|certificate that is stored on the client]] }}
+* {{#var:neu--rwi}}
+|[[UTM/VPN/IPSec-EAP-Windows_v12.5|12.5]]
-</div>{{TOC2}}{{Select_lang}}
+|{{Menu-UTM|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }}
-{{Header|12.5.1|zuletzt= 11.2023|new=true|
-* {{#var:neu--Korrektur Zertifikat CA}}
-|
-|{{Menu|VPN|IPSec|{{#var:Verbindungen}}|{{#var:IPSec Verbindung hinzufügen}} }}
 }}
@@ Zeile 26: / Zeile 22: @@
 === {{#var:Anpassung des Server-Zertifikats}} ===
 <div class="einrücken">
-{{pt3|{{#var:Anpassung des Server-Zertifikats--Bild}}|{{#var:Anpassung des Server-Zertifikats--cap}} }}
+{{Bild|{{#var:Anpassung des Server-Zertifikats--Bild}}|{{#var:Anpassung des Server-Zertifikats--cap}}||{{#var:Zertifikat bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Zertifikate}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
 {{#var:Anpassung des Server-Zertifikats--Einleitung}}
 {{#var:Anpassung des Server-Zertifikats--desc}}
@@ Zeile 49: / Zeile 45: @@
 {| class="sptable2 pd5 zh1"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv2 Phase 1--Bild}}|IKEv2 Phase 1}}
+| class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 1--Bild}}|IKEv2 Phase 1||{{#var:Phase 1 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
 | {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
 |-
-| {{b|{{#var:Authentifizierung}} }} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}}
+| {{b|{{#var:Authentifizierung}}:}} || {{ic|sha2_384|dro|bc=white-l|class=available}} || {{#var:Authentifizierung--desc}}
 |-
 | {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
-|-
-| {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
 |-
 | {{b|Strict:}} || {{buttonAn|{{#var:ein}} }} || {{#var:Strict--desc}}
@@ Zeile 75: / Zeile 69: @@
 {| class="sptable2 pd5 zh1"
 ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
-| class="Bild" rowspan="10"| {{Bild|{{#var:IKEv2 Phase 2--Bild}}|IKEv2 Phase 2}}
+| class="Bild" rowspan="9"| {{Bild|{{#var:IKEv2 Phase 2--Bild}}|IKEv2 Phase 2||{{#var:Phase 2 bearbeiten}}|VPN|IPSec|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
 |-
 | {{b|{{#var:Verschlüsselung}} }} || {{ic|aes256|dro|bc=white-l|class=available}} || {{#var:Verschlüsselung--desc}}
@@ Zeile 82: / Zeile 76: @@
 |-
 | {{b|{{#var:Diffie-Hellman Group}} }} || {{ic|modp2048s256|dro|bc=white-l|class=available}} || {{#var:Diffie-Hellman Group--desc}}
-|-
-| {{b|{{#var:Schwache Algorithmen anzeigen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:Schwache Algorithmen anzeigen--desc}}
 |-
 | {{b|{{#var:Schlüssel-Lebensdauer}} }} || {{ic|8 {{#var:Stunden}}|dro|bc=white-l|class=available}} || {{#var:Schlüssel-Lebensdauer--desc}}