Die Firma NCP bietet einen IPSec Client an, der mit der VPN Technologie der Securepoint Appliances kompatibel ist.
Der VPN Client wird auf der Website von NCP als 30 Tage Testversion zum Herunterladen angeboten. Die Applikation trägt den Namen Secure Entry Client und ist auf den Systemen MS Windows ab XP 32 und 64 Bit, Mac OS X sowie MS Windows Mobile 5 und 6 einsetzbar.
Voraussetzungen
Um eine Roadwarrior IPSec VPN Verbindung zu einer Securepoint Appliance aufzubauen, konfigurieren Sie zuerst eine IPSec Verbindung auf der Appliance. Lesen Sie dazu bitte diese Anleitung. Sie können zur Authentifizierung Zertifikate oder einen Preshared Key nutzen. In der folgenden Anleitung werden Zertifikate eingesetzt.
Vorbereitung
- Nach der Konfiguration der Appliance exportieren Sie bitte die Zertifikate im PKCS#12 Format (siehe hier).
- Laden Sie den Secure Entry Client von der NCP Website.
- Installieren Sie den VPN Client auf den Vorgesehenen Rechner.
Konfiguration des IPSec VPN Client unter MS Windows
VPN Verbindungskonfigurationen werden im NCP Client Profile genannt. Bevor Sie ein solches Profil erstellen, sollten Sie die Zertifikate importieren. Kopieren Sie die Zertifikate dazu auf den Rechner.
Zertifikate importieren
- Klicken Sie in der Menüleiste auf den Punkt Konfiguration und wählen Sie aus dem Dropdownmenü den Punkt Zertifikate.
- Es öffnet sich der Dialog Zertifikate.
- In der Liste befindet sich schon eine Voreinstellung. Um die Zertifikate der Appliance einzutragen, klicken Sie auf hinzufügen.
- Es öffnet sich eine neue Ansicht mit der Registerkarte Benutzer-Zertifikat.
- Wählen Sie hier aus dem Dropdownmenü als Zertifikat aus PKCS#12-Datei aus.
- Es erscheinen weitere Einstellungsparameter.
- Geben Sie bei PKCS#12-Dateiname den Pfad zu dem Roadwarrior Zertifikat an.
- Bestätigen Sie dann mit OK.
Profil anlegen
Für die Konfiguration zur Verbindung mit der Securepoint Firewall muss ein neues Profil erstellt werden.
- Klicken Sie in der Menüleiste auf Konfiguration und wählen aus dem Dropdownmenü den Punkt Profile.
- Es öffnet sich der Dialog Profile. Hier wird eine Liste aller verfügbaren Profile angezeigt.
- Klicken Sie auf den Button Hinzufügen/Import, um eine neue Verbindung zu definieren.
- Es öffnet sich der Assistent für ein neues Profil.
- Wählen Sie hier Verbindung zum Firmennetz über IPSec und klicken Sie auf Weiter.
- Für das neue Profil muss ein Name angegeben werden.
- Tragen Sie einen Namen ein und bestätigen Sie mit Weiter.
- Die Verbindungsart muss ausgewählt werden.
- Wählen Sie automatische Medienerkennung aus und klicken Sie auf Weiter.
- Nun müssen die Parameter für das entfernte Gateway, also die Securepoint Firewall, angegeben werden.
- Geben Sie unter Gateway(Tunnel-Endpunkt) die externe IP-Adresse der Firewall ein und klicken Sie auf Weiter.
Es folgt die Konfiguration des IPSec.
- Wählen Sie als Austausch-Modus Main Mode und als PFS-Gruppe DH-Gruppe 2 (1024 Bit).
- Klicken Sie auf Weiter.
- Da zur Authentifizierung Zertifikate benutzt werden, lassen Sie die Felder für den Preshared Key im nächsten Dialog frei.
- Wählen Sie lediglich ASN1 Distinguished Name für den Typ der lokalen Identität (IKE) aus.
- Klicken Sie dann auf Weiter.
Als nächstes wird die IP-Adressvergabe im Tunnel abgefragt.
- Da die Roadwarrior in der Securepoint Firewall Konfiguration als Objekte mit fester IP-Adresse eingetragen sind, wählen Sie hier IP-Adresse manuell vergeben aus und geben die entsprechende IP an.
- Lassen Sie die Felder für die IP-Adressen des DNS- und WINS-Server auf den voreingestellten Werten.
- Klicken Sie auf Weiter.
- Für die Firewall Einstellungen aktivieren Sie Stateful Inspection durch den Eintrag bei bestehender Verbindung.
- Lassen Sie NetBIOS über IP aktiviert.
- Klicken Sie auf Fertigstellen.
Der Assistent ist abgeschlossen und das Profil wird im Dialog Profil-Einstellungen angezeigt.
- Markieren Sie das eben angelegte Profil und klicken Sie auf Bearbeiten, um das entfernte Netzwerk zu definieren.
- Der Dialog Profil-Einstellungen Name_der_Verbindung öffnet sich.
- Wählen Sie im linken Bereich Split Tunneling aus und klicken dann auf den Button Hinzufügen.
- Es öffnet sich der Dialog IP-Netze.
- Geben Sie das interne Netz der Securepoint Firewall mit der entsprechenden Subnetz-Maske an.
- Klicken Sie dann auf OK.
- Das Netzwerk wird im vorherigen Dialog angezeigt. Klicken Sie auch hier auf OK.
- Schließen Sie den Dialog Profile mit OK.
Verbindung herstellen
Stellen Sie nun die Verbindung zur Securepoint Appliance her.
- Im Hauptfenster des NCP-VPN-Client wählen Sie unter Profil das eben angelegte Profil und klicken dann auf den Button Verbindung.
- Sie können auch das Taskleisten Icon benutzen.
Klicken Sie mit der rechten Maustaste auf das „Ampel“ Icon und wählen Sie Verbinden.
- Es erscheint der Dialog PIN Eingabe zur Abfrage des Kennworts des Zertifikats.
- Geben Sie das Kennwort ein und klicken Sie auf OK.
- Der VPN Client stellt die Verbindung her.