KKeine Bearbeitungszusammenfassung |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 9: | Zeile 9: | ||
| Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client | | Konfiguration einer IPSec-Verbindung mit EAP-MSCHAPv2 zu einem Windows Client | ||
| Configuration of an IPSec connection with EAP-MSCHAPv2 to a Windows client }} | | Configuration of an IPSec connection with EAP-MSCHAPv2 to a Windows client }} | ||
{{var | Einleitung | {{var | Einleitung | ||
| Einleitung | | Einleitung | ||
| Zeile 16: | Zeile 15: | ||
| Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird. | | Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird. | ||
| This HowTo describes how to create an IPSec Roadwarrior connection using IKEv2 EAP-MSCHAPv2 to a Windows client. }} | | This HowTo describes how to create an IPSec Roadwarrior connection using IKEv2 EAP-MSCHAPv2 to a Windows client. }} | ||
{{var | Anpassung des Server-Zertifikats | {{var | Anpassung des Server-Zertifikats | ||
| Anpassung des Server-Zertifikats | | Anpassung des Server-Zertifikats | ||
| Zeile 28: | Zeile 26: | ||
{{var | Zertifikat bearbeiten | {{var | Zertifikat bearbeiten | ||
| Zertifikat bearbeiten | | Zertifikat bearbeiten | ||
| | | Edit certificate }} | ||
{{var | Zertifikate | {{var | Zertifikate | ||
| Zertifikate | | Zertifikate | ||
| | | Certificate }} | ||
{{var | Anpassung des Server-Zertifikats--Einleitung | {{var | Anpassung des Server-Zertifikats--Einleitung | ||
| Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut. | | Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.<br> Dazu wird ein ''Subject Alternative Name'' definiert: | ||
<br>Dazu wird ein ''Subject Alternative Name'' definiert: | |||
* Wird die Verbindung über eine '''statische IP-Adresse''' hergestellt, wird diese Adresse eingetragen | * Wird die Verbindung über eine '''statische IP-Adresse''' hergestellt, wird diese Adresse eingetragen | ||
* Wird die Verbindung über einen '''Domainnamen''' hergestellt, wird dieser Name eingetragen | * Wird die Verbindung über einen '''Domainnamen''' hergestellt, wird dieser Name eingetragen | ||
* Es lassen sich auch beide Einträge kombinieren | * Es lassen sich auch beide Einträge kombinieren | ||
| The server certificate on the UTM must be adjusted so that the Windows client trusts the IPSec connection. | | The server certificate on the UTM must be adjusted so that the Windows client trusts the IPSec connection.<br> For this purpose, a ''Subject Alternative Name'' is defined: | ||
<br>For this purpose, a ''Subject Alternative Name'' is defined: | |||
* If the connection is established via a '''static IP address''', this address is entered | * If the connection is established via a '''static IP address''', this address is entered | ||
* If the connection is established via a '''domain name''', this name is entered | * If the connection is established via a '''domain name''', this name is entered | ||
| Zeile 53: | Zeile 49: | ||
| Über die Schaltfläche {{button|Speichern}} werden die Einträge abgespeichert. | | Über die Schaltfläche {{button|Speichern}} werden die Einträge abgespeichert. | ||
| The {{button|Save}} button is used to save the entries. }} | | The {{button|Save}} button is used to save the entries. }} | ||
{{var | IPSec mit EAP-MSCHAPv2 | {{var | IPSec mit EAP-MSCHAPv2 | ||
| IPSec mit EAP-MSCHAPv2 | | IPSec mit EAP-MSCHAPv2 | ||
| Zeile 63: | Zeile 58: | ||
| Damit die DHCP Option benutzt werden kann, darf '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein. | | Damit die DHCP Option benutzt werden kann, darf '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein. | ||
| For the DHCP option to be used, '''no''' DHCP server must be entered in the global IPSec settings. }} | | For the DHCP option to be used, '''no''' DHCP server must be entered in the global IPSec settings. }} | ||
{{var | Anpassung der IPSec-Verbindung | {{var | Anpassung der IPSec-Verbindung | ||
| Anpassung der IPSec-Verbindung | | Anpassung der IPSec-Verbindung | ||
| Adjustment of the IPSec connection }} | | Adjustment of the IPSec connection }} | ||
{{var | Anpassung der IPSec-Verbindung--desc | {{var | Anpassung der IPSec-Verbindung--desc | ||
| Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt. | | Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.<br> Unter {{Menu-UTM|VPN|IPSec|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt. | ||
<br> Unter {{Menu-UTM|VPN|IPSec|Verbindungen}} wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt. | | For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values.<br> Under {{Menu-UTM|VPN|IPSec|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }} | ||
| For the IPSec connection used, IKEv2 phases 1 and 2 must be adjusted, as Windows does not support the default values. | |||
<br> Under {{Menu-UTM|VPN|IPSec|Connections}}, the buttons for the corresponding IKEv2 phases are clicked for the IPSec roadwarrior connection. }} | |||
{{var | IKEv2 Phase 1--desc | {{var | IKEv2 Phase 1--desc | ||
| Über die Schaltfläche {{button|Phase 1|w}} wird im Fenster auf den Reiter {{Reiter|IKE}} gewechselt und folgende empfohlene Einstellungen getätigt | | Über die Schaltfläche {{button|Phase 1|w}} wird im Fenster auf den Reiter {{Reiter|IKE}} gewechselt und folgende empfohlene Einstellungen getätigt | ||
| Zeile 80: | Zeile 71: | ||
| UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten-en.png }} | | UTM v12.6.4 IPSec-EAP-Win Phase 1 bearbeiten-en.png }} | ||
{{var | Verschlüsselung | {{var | Verschlüsselung | ||
| Verschlüsselung | | Verschlüsselung | ||
| Encryption | | Encryption }} | ||
{{var | Verschlüsselung--desc | {{var | Verschlüsselung--desc | ||
| Als Verschlüsselung ''aes256'' auswählen | | Als Verschlüsselung ''aes256'' auswählen | ||
| Zeile 91: | Zeile 82: | ||
| Als Authentifizierung ''sha2_384'' auswählen | | Als Authentifizierung ''sha2_384'' auswählen | ||
| Select ''sha2_384'' for authentication }} | | Select ''sha2_384'' for authentication }} | ||
{{var | Diffie-Hellman Group--desc | {{var | Diffie-Hellman Group--desc | ||
| Als Diffie-Hellman Group ''modp2048s256'' auswählen. | | Als Diffie-Hellman Group ''modp2048s256'' auswählen. | ||
| Zeile 99: | Zeile 87: | ||
{{var | Phase 1 bearbeiten | {{var | Phase 1 bearbeiten | ||
| Phase 1 bearbeiten | | Phase 1 bearbeiten | ||
| | | Edit phase 1 }} | ||
{{var | Schwache Algorithmen anzeigen | {{var | Schwache Algorithmen anzeigen | ||
| Schwache Algorithmen anzeigen: | | Schwache Algorithmen anzeigen: | ||
| Zeile 124: | Zeile 112: | ||
| Auf ''unbegrenzt (empfohlen)'' setzen | | Auf ''unbegrenzt (empfohlen)'' setzen | ||
| Set to ''unlimited (recommended)'' }} | | Set to ''unlimited (recommended)'' }} | ||
{{var | IKEv2 Phase 2--desc | {{var | IKEv2 Phase 2--desc | ||
| Über die Schaltfläche {{button|Phase 2|w}} wird im Fenster auf den Reiter {{Reiter|Allgemein}} gewechselt und folgende empfohlene Einstellungen getätigt | | Über die Schaltfläche {{button|Phase 2|w}} wird im Fenster auf den Reiter {{Reiter|Allgemein}} gewechselt und folgende empfohlene Einstellungen getätigt | ||
| Zeile 133: | Zeile 120: | ||
{{var | Phase 2 bearbeiten | {{var | Phase 2 bearbeiten | ||
| Phase 2 bearbeiten | | Phase 2 bearbeiten | ||
| | | Edit phase 2 }} | ||
{{var | Schlüssel-Lebensdauer | {{var | Schlüssel-Lebensdauer | ||
| Schlüssel-Lebensdauer: | | Schlüssel-Lebensdauer: | ||
| Zeile 155: | Zeile 142: | ||
| Erst aktivieren, wenn '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist | | Erst aktivieren, wenn '''kein''' DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist | ||
| Activate only if '''no''' DHCP server is entered in the global IPSec settings }} | | Activate only if '''no''' DHCP server is entered in the global IPSec settings }} | ||
{{var | Einrichtung der Verbindung auf dem Windows Client | {{var | Einrichtung der Verbindung auf dem Windows Client | ||
| Einrichtung der Verbindung auf dem Windows Client | | Einrichtung der Verbindung auf dem Windows Client | ||
| Zeile 175: | Zeile 161: | ||
* The CA must be saved as a '''.crt''' file. }} | * The CA must be saved as a '''.crt''' file. }} | ||
{{var | Server-Zertifikat importieren Client | {{var | Server-Zertifikat importieren Client | ||
| Die CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br>{{Hinweis-box|Es ist darauf zu achten, dass die CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}} | | Die CA des Server-Zertifikat wird als '''.crt'''-Datei (Export als '''PEM''') auf dem Windows Client kopiert und installiert.<br> {{Hinweis-box|Es ist darauf zu achten, dass die CA in ''Trust Root Certification Authorities'' auf dem Client abgespeichert wird.}} | ||
| The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br>{{Hinweis-box|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }} | | The CA of the server certificate is copied and installed as a '''.crt''' file (export as '''PEM''') on the Windows client.<br> {{Hinweis-box|Care should be taken to store the CA in ''Trust Root Certification Authorities'' on the client.}} }} | ||
{{var | Server-Zertifikat importieren installieren--Bild | {{var | Server-Zertifikat importieren installieren--Bild | ||
| UTM_Windows-Client_Server-Zertifikat_Import-Install.png | | UTM_Windows-Client_Server-Zertifikat_Import-Install.png | ||
| Zeile 187: | Zeile 173: | ||
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt1-en.png }} | | UTM_Windows-Client_Server-Zertifikat_Install_Schritt1-en.png }} | ||
{{var | Server-Zertifikat importieren Schritt1--cap | {{var | Server-Zertifikat importieren Schritt1--cap | ||
| * Als '''Speicherort''' {{spc|fa|o|Lokaler Computer|class=far fa-dot-circle}} auswählen | | | ||
* Als '''Speicherort''' {{spc|fa|o|Lokaler Computer|class=far fa-dot-circle}} auswählen | |||
* {{button|Weiter}} | * {{button|Weiter}} | ||
| * Select {{spc|fa|o|Local computer|class=far fa-dot-circle}} as '''storage location''' | | | ||
* Select {{spc|fa|o|Local computer|class=far fa-dot-circle}} as '''storage location''' | |||
* {{button|Next}} }} | * {{button|Next}} }} | ||
{{var | Server-Zertifikat importieren Schritt2--Bild | {{var | Server-Zertifikat importieren Schritt2--Bild | ||
| Zeile 195: | Zeile 183: | ||
| UTM_Windows-Client_Server-Zertifikat_Install_Schritt2-en.png }} | | UTM_Windows-Client_Server-Zertifikat_Install_Schritt2-en.png }} | ||
{{var | Server-Zertifikat importieren Schritt2--cap | {{var | Server-Zertifikat importieren Schritt2--cap | ||
| * {{spc|fa|o|Alle Zertifikate in folgendem Speicher speichern|class=far fa-dot-circle}} auswählen | | | ||
* {{spc|fa|o|Alle Zertifikate in folgendem Speicher speichern|class=far fa-dot-circle}} auswählen | |||
* Als '''Zertifikatspeicher:''' ''Vertrauenswürdige Stammzertifizierungsstellen'' auswählen | * Als '''Zertifikatspeicher:''' ''Vertrauenswürdige Stammzertifizierungsstellen'' auswählen | ||
* {{button|Weiter}} | * {{button|Weiter}} | ||
| * Select {{spc|fa|o|Store all certificates in the following memory|class=far fa-dot-circle}} | | | ||
* Select {{spc|fa|o|Store all certificates in the following memory|class=far fa-dot-circle}} | |||
* Select '''Certificate store:''' ''Trusted root certification authorities'' | * Select '''Certificate store:''' ''Trusted root certification authorities'' | ||
* {{button|Next}} }} | * {{button|Next}} }} | ||
| Zeile 207: | Zeile 197: | ||
| * Mit {{button|Fertig stellen}} wird die CA importiert | | * Mit {{button|Fertig stellen}} wird die CA importiert | ||
| * With {{button|Complete}} the CA is imported }} | | * With {{button|Complete}} the CA is imported }} | ||
{{var | Einrichtung der Verbindung | {{var | Einrichtung der Verbindung | ||
| Einrichtung der Verbindung | | Einrichtung der Verbindung | ||
| Connection setup }} | | Connection setup }} | ||
{{var | Einrichtung der Verbindung--desc | {{var | Einrichtung der Verbindung--desc | ||
| Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden. | | Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.<br> Hier wird die Methode über Powershell beschrieben. | ||
<br>Hier wird die Methode über Powershell beschrieben. | | The IPSec connection can be added to the Windows client in different ways.<br> Here the method via Powershell is described. }} | ||
| The IPSec connection can be added to the Windows client in different ways. | |||
<br>Here the method via Powershell is described. }} | |||
{{var | Powershell Befehl 1 | {{var | Powershell Befehl 1 | ||
| Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben: | | Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:<br> | ||
<br>{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}} | {{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}<br> Folgende Anpassung müssen dabei getan werden: | ||
<br>Folgende Anpassung müssen dabei getan werden: | |||
* {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung | * {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: Der Name der erstellten IPSec-Verbindung | ||
* {{code|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM | * {{code|-ServerAddress "utm.spdns.eu"}}: Hostname der UTM | ||
| First, the IPSec connection is added. The following command is entered for this purpose: | | First, the IPSec connection is added. The following command is entered for this purpose:<br> | ||
<br>{{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}} | {{code|Add-VpnConnection -Name "IPSec RW Windows" -ServerAddress "utm.spdns.eu" -AuthenticationMethod MSChapv2 -PassThru -RememberCredential -SplitTunneling}}<br> The following adjustment must be done in the process: | ||
<br>The following adjustment must be done in the process: | |||
* {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: The name of the created IPSec connection | * {{code|Add-VpnConnection -Name "IPSec RW Windows"}}: The name of the created IPSec connection | ||
* {{code|-ServerAddress "utm.spdns.eu"}}: Hostname of the UTM }} | * {{code|-ServerAddress "utm.spdns.eu"}}: Hostname of the UTM }} | ||
{{var | Powershell Befehl 1--Bild | {{var | Powershell Befehl 1--Bild | ||
| UTM_Windows-Client-IPSec_Powershell_Befehl1.png | | UTM_Windows-Client-IPSec_Powershell_Befehl1.png | ||
| | | UTM_Windows-Client-IPSec_Powershell_Befehl1.png }} | ||
{{var | Powershell Befehl 1--cap | {{var | Powershell Befehl 1--cap | ||
| Den ersten Befehl in der Powershell eingegeben | | Den ersten Befehl in der Powershell eingegeben | ||
| Zeile 244: | Zeile 229: | ||
{{var | Powershell Befehl 2--Bild | {{var | Powershell Befehl 2--Bild | ||
| UTM_Windows-Client-IPSec_Powershell_Befehl2.png | | UTM_Windows-Client-IPSec_Powershell_Befehl2.png | ||
| | | UTM_Windows-Client-IPSec_Powershell_Befehl2.png }} | ||
{{var | Powershell Befehl 2--cap | {{var | Powershell Befehl 2--cap | ||
| Den zweiten Befehl in der Powershell eingegeben | | Den zweiten Befehl in der Powershell eingegeben | ||
| Enter the second command in the Powershell }} | | Enter the second command in the Powershell }} | ||
{{var | Powershell Befehl Option Login | {{var | Powershell Befehl Option Login | ||
| * Mit der Option {{code|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. <br>Alternativ kann die Option {{code|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben. | | | ||
* Mit der Option {{code|-RememberCredential}} (im ersten Befehl) merkt sich der Windows Client die Logindaten. <br>Alternativ kann die Option {{code|-UseWinlogonCredential}} eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben. | |||
* {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} Die Option {{code|-SplitTunneling}} sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden | * {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} Die Option {{code|-SplitTunneling}} sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden | ||
| * With the option {{code|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM. | | | ||
* With the option {{code|-RememberCredential}} (in the first command) the Windows client remembers the login data. Alternatively, the {{code|-UseWinlogonCredential}} option can be entered. Then the Windows login data of the current user is passed to the UTM. | |||
* {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} The {{code|-SplitTunneling}} option ensures that only packets for the destination networks of the remote terminal are routed through the tunnel }} | * {{Hinweis-box|{{#var:neu}}|gr|12.7|status=neu}} The {{code|-SplitTunneling}} option ensures that only packets for the destination networks of the remote terminal are routed through the tunnel }} | ||
{{var | Verbindung initiieren | {{var | Verbindung initiieren | ||
| Zeile 265: | Zeile 252: | ||
| VPN-Client in Windows | | VPN-Client in Windows | ||
| VPN-Client in Windows }} | | VPN-Client in Windows }} | ||
{{var | | |||
| | |||
| }} | |||
---- | ---- | ||
UTM/VPN/IPSec-EAP-Windows.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki