Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/IPSec-S2S: Unterschied zwischen den Versionen

Aus Securepoint Wiki
K (Weiterleitung auf UTM/VPN/IPSec-S2S v12.2 entfernt)
Markierung: Weiterleitung entfernt
KKeine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/VPN/IPSec-S2S.lang}}
{{:UTM/VPN/IPSec-S2S.lang}}
{{var | neu--MOBIKE
| Hinweis zur Nutzung von [[#Allgemein|MOBIKE]]
| Note for the use of [[#Allgemein|MOBIKE]] }}
{{var | neu--Einrichtungsassistent
| Änderungen in der Anordnung der Konfigurationsschritte im Assistenten
| Changes in the arrangement of the configuration steps in the assistant }}
{{var | neu--DHCP
| [[#Phase_2_2 | DHCP für IPSec in Phase 2 konfigurierbar]]
| [[#Phase_2_2 | DHCP configurable for IPSec in phase 2]] }}




</div>{{DISPLAYTITLE:IPSec Site-to-Site}}{{TOC2}}{{Select_lang}}
</div>{{DISPLAYTITLE:IPSec Site-to-Site}}{{TOC2|limit=3}}{{Select_lang}}
{{Header|12.2|
{{Header|12.2.4|
* {{#var:neu--DPD}}
* {{#var:neu--Einrichtungsassistent}}
|[[UTM/VPN/IPSec-S2S_v12.2 | 12.2]]  
* {{#var:neu--MOBIKE}}
* {{#var:neu--DHCP}}
|[[UTM/VPN/IPSec-S2S_v12.2.3 | 12.2.3]]
[[UTM/VPN/IPSec-S2S_v12.2 | 12.2]]  
[[UTM/VPN/IPSec-S2S_v11.7 | 11.7]]  
[[UTM/VPN/IPSec-S2S_v11.7 | 11.7]]  
[[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
[[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
|{{Menu|VPN|IPSec|{{#var:Verbindungen}} }}
}}
}}
----
----
=== {{#var:Einleitung}} ===
=== {{#var:Einleitung}} ===
<div class="Einrücken">{{#var:Einleitung--desc}}</div>
<div class="Einrücken">{{#var:Einleitung--desc}}</div>


----
----


=== {{#var:Konfiguration einer IPSec Site-to-Site Verbindung}} ===
=== {{#var:Konfiguration einer IPSec Site-to-Site Verbindung}} ===
<div class="Einrücken">{{#var:Konfiguration einer IPSec Site-to-Site Verbindung--desc}}</div>
<div class="Einrücken">{{#var:Konfiguration einer IPSec Site-to-Site Verbindung--desc}}


==== {{#var:Einrichtungsassistent}} ====
==== {{#var:Einrichtungsassistent}} ====
Zeile 30: Zeile 44:
|-
|-
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
| class="bild width-m" rowspan="3" | {{Bild| {{#var:Schritt 1 - Verbindungstyp--Bild}} | {{#var:Schritt 1 - Verbindungstyp--cap}} }}
| class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 1 - Verbindungstyp--Bild}} | {{#var:Schritt 1 - Verbindungstyp--cap}} }}
|-
|-
| {{ic| Site to Site}} || colspan="2"| {{#var:Site2Site--desc}}
| {{#var:Verbindungstyp}} || {{#var:Site2Site--val}}
*{{ic|Roadwarrior|class=mw6}}
*{{ic|Site to Site|class=mw6}}  
| {{#var:Site2Site--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 39: Zeile 56:
===== {{#var:Schritt 2 - Allgemein}} =====
===== {{#var:Schritt 2 - Allgemein}} =====
|-
|-
| {{b| {{#var:Name}}: }} || {{ic| IPSec S2S}} || {{#var:Name--desc}} || class="bild width-m" rowspan="5" | {{Bild| {{#var:Schritt 2 - Allgemein--Bild}} | {{#var:Schritt 2 - Allgemein--cap}} }}
| {{b| {{#var:Name}}: }} || {{ic| IPSec S2S|class=available}} || {{#var:Name--desc}} || class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 2 - Allgemein--Bild}}|{{#var:Schritt 2 - Allgemein--cap}} }}
|-
|-
| {{b| {{#var:Authentifizierungsmethode}}:}} || {{Button| PSK | blau}} || {{#var:Authentifizierungsmethode--desc}}
| {{b|{{#var:IKE Version}} }} || {{Button|IKE v1}}{{Button|IKE v2}} || {{#var:IKE Version--desc}}<br>{{#var:IKE-Multichannel}}{{info|{{#var:IKE-Multichannel--info}} }}
|-
|-
| <small>{{#var:Bei Authentifizierungsmethode}} {{Button| PSK}}</small><br>{{b| {{#var:Pre-Shared Key}}:}} || {{ic| 12345}} || {{#var:Pre-Shared Key--desc}}
| class="Leerzeile" colspan="3" |<br>
|-
|-
| <small>{{#var:Bei Authentifizierungsmethode}} {{Button| X.509 {{#var:Zertifikat}}}}</small><br>{{b| X.509 Zertifikat: }} || style="min-width: 155px;" | {{Button| {{#var:Zertifikat--val}}|dr}} || {{#var:Zertifikat--desc}}
| class="Leerzeile" colspan="3" |<br>
===== {{#var:Schritt 3 - Lokal}} =====
|-
| {{b|{{#var: Local Gateway ID}} }} || {{ic|{{#var:Local Gateway ID--val}}|dr|class=available}} || {{#var:Local Gateway ID--desc}}
<li class="list--element__alert list--element__hint">{{#var:Gateway-ID--Hinweis}}</li><br>{{Hinweis-neu|!|grün}}{{#var:Automatisch ausgefüllt}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 3 - Lokal--Bild}} | {{#var:Schritt 3 - Lokal--cap}} }}
|-
| rowspan="3"| {{b| {{#var:Authentifizierungsmethode}}:}}
| {{Button|{{#var:Pre-Shared Key}}|dr|class=available}} || {{#var:AM PSK--desc}}
|-
|-
| {{b|{{#var:IKE Version}} }} || {{Button|IKE v1}}{{Button|IKE v2|blau}} || {{#var:IKE Version--desc}}<br>
| {{Button| {{#var:Zertifikat}} |dr|class=available}} || {{#var:AM Zertifikat--desc}}
{{#var:IKE-Multichannel}}{{info|{{#var:IKE-Multichannel--info}} }}<br>
<small>{{#var:Bei Authentifizierungsmethode}} {{Button| RSA }}</small><br>{{#var:RSA--desc}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| {{Button| {{#var:RSA}} |dr|class=available}}<br><small>'''{{#var:Nur bei IKEv1}}'''</small> || {{#var:AM RSA--desc}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| {{b| {{#var:Pre-Shared Key}} }}<br><small>'''{{#var:Pre-Shared Key Hinweis}}'''</small> || {{ic| |class=available}} || {{#var:Pre-Shared Key--desc}}
===== {{#var:Schritt 3 - Lokal}} =====
|-
|-
| {{b|{{#var: Local Gateway ID}} }} || {{ic|LAN1|dr}} || {{#var:Local Gateway ID--desc}}
| {{b| {{#var:X.509 Zertifikat}} }}<br><small>'''{{#var:X.509 Zertifikat Hinweis}}'''</small> || {{Button| {{#var:Zertifikat--val}}|dr|class=available}} || {{#var:Zertifikat--desc}}<br>{{#var:Zertifikat--Hinweis}}
<li class="list--element__alert list--element__hint">{{#var:Gateway-ID--Hinweis}}</li>
| class="bild width-m" rowspan="3" | {{Bild| {{#var:Schritt 3 - Lokal--Bild}} | {{#var:Schritt 3 - Lokal--cap}} }}  
|-
|-
| <small>{{#var:Bei Authentifizierungsmethode}} {{Button|RSA}}</small><br>{{b|{{#var:Privater RSA-Schlüssel}}: }} || {{Button|RSA-Site2Site|dr}} || {{#var:Privater RSA-Schlüssel--desc}}
| {{b|{{#var:Privater RSA-Schlüssel}} }}<br><small>'''{{#var:Privater RSA-Schlüssel Hinweis}}'''</small> || {{Button|RSA-Site2Site|dr|class=available}} || {{#var:Privater RSA-Schlüssel--desc}}
|-
|-
| {{b| {{#var:Netzwerke freigeben}}: }} || {{ic| {{cb|192.168.122.0/24}} |cb}} || {{#var:Netzwerke freigeben--desc}}
| {{b| {{#var:Netzwerke freigeben}} }} || {{ic| {{cb|192.168.122.0/24}} |cb|class=available}} || {{#var:Netzwerke freigeben--desc}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| class="Leerzeile" colspan="3" |<br>
===== {{#var:Schritt 4 - Gegenstelle}} =====
===== {{#var:Schritt 4 - Gegenstelle}} =====
|-
|-
| {{b| {{#var:Remote Gateway}}:}} || {{ic| 192.0.2.192}} || {{#var:Remote Gateway--desc}} || class="bild width-m" rowspan="4" | {{Bild| {{#var:Schritt 4 - Gegenstelle--Bild}} | {{#var:Schritt 4 - Gegenstelle--cap}} }}
| {{b| {{#var:Remote Gateway}} }} || {{ic| 192.0.2.192 |class=available}} || {{#var:Remote Gateway--desc}} || class="Bild" rowspan="4" | {{Bild| {{#var:Schritt 4 - Gegenstelle--Bild}} | {{#var:Schritt 4 - Gegenstelle--cap}} }}
|-
|-
| {{b| {{#var:Remote Gateway ID}}:}} || {{ic| 192.0.2.192}} || {{#var:Remote Gateway ID--desc}}
| {{b| {{#var:Remote Gateway ID}} }} || {{ic| 192.0.2.192 |class=available}} || {{#var:Remote Gateway ID--desc}}
|-
|-
| <small>{{#var:Bei Authentifizierungsmethode}} {{Button|RSA}}</small><br>{{b|{{#var:Öffentlicher RSA-Schlüssel}}: }} || {{Button|RSA-Site2Site|dro}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
| {{b|{{#var:Öffentlicher RSA-Schlüssel}} }}<br><small>'''{{#var:Privater RSA-Schlüssel Hinweis}}'''</small> || {{Button|RSA-Site2Site|dro|class=available}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
|-
|-
| {{b| {{#var:Netzwerke freigeben}}:}} || {{ic| {{cb|192.168.192.0/24}}|cb}} || {{#var:Netzwerke freigeben--desc}}
| {{b| {{#var:Netzwerke freigeben}}}} || {{ic| {{cb|192.168.192.0/24}}|cb|class=available}} || {{#var:Netzwerke freigeben--desc}}
|-
|-
| class="Leerzeile" colspan="3" | {{#var:Beenden}}
| class="Leerzeile" colspan="3" | {{#var:Beenden}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <li class="list--element__alert list--element__hint">{{#var:Phase2 bearbeiten--desc}}</li>
| colspan="3" | <li class="list--element__alert list--element__hint">{{#var:Phase2 bearbeiten--desc}}</li>
{{:UTM/VPN/IPSec-Phase1-2}}
|}
 
=== {{#var:Weitere Einstellungen}} ===
<div class="Einrücken">{{#var:Weitere Einstellungen--desc}}
<br clear=all>
==== IKEv1 ====
{{Einblenden | {{#var: Einstellungen IKEv1 }} | {{#var: Einstellungen IKEv1 ausblenden}} | dezent| true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2|IPSec=IKEv1 S2S}}
</div></span></div><!--
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
| {{b|{{#var: Subnetzkombinationen gruppieren}} }} <br> {{ButtonAn|{{#var:ein}} }}  
| {{b|{{#var: Subnetzkombinationen gruppieren}} }} <br> {{ButtonAn|{{#var:ein}} }}  
Zeile 176: Zeile 205:
|-
|-
| class="Leerzeile" colspan="3" |
| class="Leerzeile" colspan="3" |
-->
<br clear=all>
==== IKEv2 ====
{{Einblenden | {{#var: Einstellungen IKEv2 }} | {{#var: Einstellungen IKEv2 ausblenden}} | dezent| true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2|IPSec=IKEv2 S2S}}
</div></span></div></div>
<br clear=all>
</div>
----
----
=== {{#var:Regelwerk}} ===
=== {{#var:Regelwerk}} ===
 
<div class="einrücken">
{{#var:Regelwerk--desc}}
{{#var:Regelwerk--desc}}
{| class="sptable2 pd5 zh1 einrücken"
|-
|-
| class="Leerzeile einrücken" colspan="3" | <p><small>{{#var:Implizite Regeln--desc}} </small></p>
| class="Leerzeile einrücken" colspan="3" | <p><small>{{#var:Implizite Regeln--desc}} </small></p>
Zeile 213: Zeile 253:
| '''{{#var:Erste Regel}}'''
| '''{{#var:Erste Regel}}'''
|-
|-
| {{Kasten| {{#var:Quelle}} }} || {{ic| internal-network }} || {{#var:Quelle--desc}}
| {{b| {{#var:Quelle}}:}} || {{ic| internal-network|class=available}} || {{#var:Quelle--desc}}
|-
|-
| {{Kasten| {{#var:Ziel}} }} || {{ic| {{#var:IPSc-Netzwerk}} }} || {{#var:Ziel}}
| {{b| {{#var:Ziel}}:}} || {{ic| {{#var:IPSc-Netzwerk}}|class=available}} || {{#var:Ziel}}
|-
|-
| {{Kasten| {{#var:Dienst}} }} || {{ic| {{#var:Dienst--val}} }} || {{#var:Dienst--desc}}
| {{b| {{#var:Dienst}}:}} || {{ic| {{#var:Dienst--val}}|class=available}} || {{#var:Dienst--desc}}
|-
|-
| {{Kasten| NAT }}<br>{{Kasten|{{#var:Typ}} }} || {{Button|Hidenat Exclude|dr}} ||
| {{b| NAT }}<br>{{b|{{#var:Typ}}:}} || {{Button|Hidenat Exclude|dr|class=available}} ||
|-
|-
| {{Kasten| {{#var:Netzwerkobjekt}} }} || {{Button|external-interface|dr}} ||
| {{b| {{#var:Netzwerkobjekt}}:}} || {{Button|external-interface|dr|class=available}} ||
|- class="Leerzeile"
|- class="Leerzeile"
| <br>'''{{#var:Zweite Regel}}'''
| <br>'''{{#var:Zweite Regel}}'''
|-
|-
| {{Kasten| {{#var:Quelle}} }} || {{ic| {{#var:IPSc-Netzwerk}} }} || {{#var:Quelle--desc}}
| {{b| {{#var:Quelle}}:}} || {{ic| {{#var:IPSc-Netzwerk}}|class=available}} || {{#var:Quelle--desc}}
|-
|-
| {{Kasten| {{#var:Ziel}} }} || {{ic| internal-network }} || {{#var:Ziel}}
| {{b| {{#var:Ziel}}:}} || {{ic| internal-network|class=available}} || {{#var:Ziel}}
|-
|-
| {{Kasten| {{#var:Dienst}} }} || {{ic| {{#var:Dienst--val}} }} || {{#var:Dienst--desc}}
| {{b| {{#var:Dienst}}:}} || {{ic| {{#var:Dienst--val}}|class=available}} || {{#var:Dienst--desc}}
|-
|-
| {{Kasten| NAT }} ||  || {{#var:Kein NAT}}
| {{b| NAT: }} ||  || {{#var:Kein NAT}}
 
 
|}
|}
</div>


 
----


=== {{#var:Konfiguration des zweiten Gateways}} ===
=== {{#var:Konfiguration des zweiten Gateways}} ===
 
<div class="einrücken">
 
{{Hinweis| ! {{#var:Gleiche IKE-Verision--Hinweis}} }}
{{Hinweis| ! {{#var:Gleiche IKE-Verision--Hinweis}} }}


==== {{#var:Verwendung einer Securepoint UTM}} ====
==== {{#var:Verwendung einer Securepoint UTM}} ====
 
<div class="einrücken">
{{#var:Gegenstelle Hinweise}}
{{#var:Gegenstelle Hinweise}}
 
</div>
===== {{#var:Gegenstelle Schritt2}} =====
===== {{#var:Gegenstelle Schritt2}} =====
<div class="einrücken">
{{#var:Gegenstelle Schritt2--desc}}
{{#var:Gegenstelle Schritt2--desc}}
 
</div>
===== {{#var:Gegenstelle Schritt3}} =====
===== {{#var:Gegenstelle Schritt3}} =====
<div class="einrücken">
{{#var:Gegenstelle Schritt3--desc}}
{{#var:Gegenstelle Schritt3--desc}}
 
</div>
===== {{#var:Gegenstelle Schritt4}} =====
===== {{#var:Gegenstelle Schritt4}} =====
<div class="einrücken">
{{#var:Gegenstelle Schritt4--desc}}
{{#var:Gegenstelle Schritt4--desc}}
 
</div>
===== {{#var:Gegenstelle Netzwerkobjekt}} =====
===== {{#var:Gegenstelle Netzwerkobjekt}} =====
<div class="einrücken">
{{#var:Gegenstelle Netzwerkobjekt--desc}}
{{#var:Gegenstelle Netzwerkobjekt--desc}}
</div>
</div>


----


=== {{#var:Hinweise}} ===
=== {{#var:Hinweise}} ===
<div class="einrücken">
{{pt3| {{#var:Der transparente HTTP-Proxy--Bild}} | {{#var:Der transparente HTTP-Proxy--cap}} }}
{{pt3| {{#var:Der transparente HTTP-Proxy--Bild}} | {{#var:Der transparente HTTP-Proxy--cap}} }}
==== {{#var:Der transparente HTTP-Proxy}} ====
==== {{#var:Der transparente HTTP-Proxy}} ====
<div class="einrücken">
{{#var:Der transparente HTTP-Proxy--desc}}
{{#var:Der transparente HTTP-Proxy--desc}}
</div></div>
<br clear=all>


<br clear=all>
----


=== {{#var:Troubeshooting}} ===
=== {{#var:Troubeshooting}} ===
<div class="einrücken">
{{#var:Troubeshooting--desc}}
{{#var:Troubeshooting--desc}}
</div>

Version vom 24. November 2022, 13:54 Uhr


































































































De.png
En.png
Fr.png








IPSec Verbindungen Site-to-Site
Letzte Anpassung zur Version: 12.2.4
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.3 12.2 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →IPSecReiter Verbindungen

Einleitung

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.

Konfiguration einer IPSec Site-to-Site Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü VPN IPSec  Schaltfläche + IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent


Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung UTM v12.8.0 IPSec S2S Schritt1.png
Auswahl des Verbindungs-Typs: Es stehen folgende Verbindungen zur Verfügung.
  • Roadwarrior
  • Site to Site
  • Roadwarrior
  • Site to Site
 Für die Konfiguration einer
Site to Site
 Verbindung wird eben diese ausgewählt.

Schritt 2 - Allgemein
|| IPSec S2S || Name für die Verbindung || class="Bild" rowspan="3" | UTM v12.8.0 IPSec S2S Schritt2.png
IKE v1IKE v2 Auswahl der IKE Version.
Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Diese Option kann auch nachträglich bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag Subnetzkombinationen gruppieren konfiguriert werden.


Schritt 3 - Lokal
    Beliebige Zeichenfolge.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden.
  • Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (Aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt
  • Wird bei Authentifizierungsmethode Zertifikat nach Zertifikatsauswahl automatisch ausgefüllt.

  •      		UTM v12.6 IPSec S2S Schritt3.png
    Authentifizierungsmethode:
    Zertifikat Ein Zertifikat wird verwendet

    Nur bei IKEv1.    		 Ein RSA wird verwendet

    Bei Authentifizierungsmethode Pre-Shared Key.    		     Ein beliebiger PSK

    Bei Authentifizierungsmethode Zertifikat.    		 Auswahl eines Zertifikates
    Dieses Zertifikat muss zuvor unter Authentifizierung Zertifikate erstellt werden.
    Privater RSA-Schlüssel:
    Bei Authentifizierungsmethode RSA.    		 RSA-Site2Site Privater RSA-Schlüssel zur Identifizierung
    Netzwerke freigeben »192.168.122.0/24

    Schritt 4 - Gegenstelle
    192.0.2.192 Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle UTM v12.6 IPSec S2S Schritt4.png
    192.0.2.192 ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge)
    Öffentlicher RSA-Schlüssel:
    Bei Authentifizierungsmethode RSA.    		 RSA-Site2Site RSA-Schlüssel, der öffentliche Teil mit dem sich die Gegenstelle authentifizieren muss.
    Netzwerke freigeben »192.168.192.0/24
    Beenden des Einrichtungsassistenten mit Fertig
  • Bei S2S-Verbindungen sollte geprüft werden, ob sich mehrere Subnetze per MULTI_TRAFFIC_SELECTOR zusammen fassen lassen. Damit wird die Anzahl der SAs signifikant reduziert und die Stabilität der Verbindung erhöht.
    Dazu wird in Phase 2 die Option Subnetzkombinationen gruppieren aktiviert.

    • Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:


    IKEv1

    Step-by-step.png

























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):




























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase1.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1     		UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
    • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
     Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
     Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.


    IKEv2

    Step-by-step.png

























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):




























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase1.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1     		UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
    • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
     Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
     Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.


    Regelwerk

    Um den Zugriff, auf das interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln Abschnitt VPN zu konfigurieren.

    Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.

    UTM v12.6 Implizite-Regeln IPSec.png
    Implizite Regeln
    Grundsätzlich gilt:
    Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt!

    Netzwerkobjekt anlegen

    Es muss ein Netzwerkobjekt für das entfernte Netz erstellt werden.
    Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

  • Existieren mehrere Subnetze auf der Gegenstelle, muss für jedes Subnetz ein Netzwerkobjekt angelegt werden.
    Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen.
    • || IPSec-S2S || || class="bild width-m" rowspan="5" | UTM v12.6 Netzwerkobjekt IPSec.png
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.192.0/24 Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im Installationsassistenten in Schritt 4 - Gegenstelle in der Zeile Netzwerke freigeben eingetragen wurde.
    In diesem Beispiel also das Netzwerk 192.168.192.0/24.
    || vpn-ipsec || zu wählende Zone
    Gruppe:     Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört.


  • [[Datei: ]]
    Erste Regel
    Quelle: internal-network Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
    Ziel:     Ziel
    Dienst:     Dienst oder Dienstgruppe, die benötigt wird
    NAT
    Typ:    		 Hidenat Exclude
    || external-interface ||

    Zweite Regel
    Quelle:     Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
    Ziel: internal-network Ziel
    Dienst:     Dienst oder Dienstgruppe, die benötigt wird
    NAT: Kein NAT

    Konfiguration des zweiten Gateways

    Verwendung einer Securepoint UTM

    Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden

    • Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
    • Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
    • Paketfilterregeln werden erstellt.
    Gegenstelle Schritt 2
    • Es muss die gleiche Authentifizierungsmethode gewählt werden
    • Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
    • Es muss die gleiche IKE-Version verwendet werden
    Gegenstelle Schritt 3
    • Als Local Gateway ID muss nun die Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
    • Unter Netzwerke freigeben muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden
    Gegenstelle Schritt 4
    • Als Remote Gateway muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden.
      (Diese Adresse wurde im Assistenten der ersten UTM nicht benötigt)
    • Als Remote Gateway ID muss die Local Gateway ID aus Schritt 3 der ersten UTM verwendet werden
    • Unter Netzwerke freigeben muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden
    Netzwerkobjekt der Gegenstelle anlegen
    • Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar.
      Entsprechend muss unter Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden.
      Im Beispiel 192.168.218.0/24

    Hinweise

    Transparente Regel

    Der transparente HTTP-Proxy

    Wenn aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert.
    Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.
    Damit das nicht passiert, muss im Menü Anwendungen HTTP-Proxy  Bereich Transparenter Modus Schaltfläche Transparente Regel hinzufügen eine Regel Exclude mit der Quelle internal-network zum Ziel name-vpn-netzwerk-objekt und dem Protokoll HTTP erstellt werden.


    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-S2S&oldid=83680