Dieses HowTo beschreibt, wie eine IPSec Roadwarrior-Verbindung mit IKEv2 EAP-MSCHAPv2 zu einem Windows Client erstellt wird.
Anpassung des Server-Zertifikats
Anpassung des Server-Zertifikats
Das Server-Zertifikat auf der UTM muss angepasst werden, damit der Windows Client der IPSec-Verbindung vertraut.
Dazu wird ein Subject Alternative Name definiert:
Wird die Verbindung über eine statische IP-Adresse hergestellt, wird diese Adresse eingetragen
Wird die Verbindung über einen Domainnamen hergestellt, wird dieser Name eingetragen
Es lassen sich auch beide Einträge kombinieren
In Authentifizierung Zertifikate wird über die Schaltfläche Bearbeiten der Bearbeitungs-Dialog des Server-Zertifikats geöffnet.
Falls noch kein Server-Zertifikat vorhanden ist, wird über die Schaltflächen Zertifikat hinzufügen, ACME-Zertifikat hinzufügen oder Zertifikat importieren eines erstellt.
Unter Alias wird entweder mit IP die IP-Adresse, oder mit DNS der Domainname eingetragen und mit der Schaltfläche hinzugefügt.
Über die Schaltfläche Speichern werden die Einträge abgespeichert.
IPSec mit EAP-MSCHAPv2
Es wird eine IPSec Roadwarrior-Verbindung mit EAP-MSCHAPv2 zum Windows Client benötigt. Der entsprechenden Wiki-Artikel IPSec mit EAP-MSCHAPv2 enthält die Anleitung dazu.
notempty
Damit die DHCP Option benutzt werden kann, darf kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen sein.
Anpassung der IPSec-Verbindung
Bei der verwendeten IPSec-Verbindung müssen die IKEv2 Phasen 1 und 2 angepasst werden, da Windows die Default-Werte nicht unterstützt.
Unter VPN IPSec Bereich Verbindungen wird bei der IPSec-Roadwarrior-Verbindung auf die Schaltflächen der entsprechenden IKEv2 Phasen geklickt.
IKEv2 Phase 1
Über die Schaltfläche Phase 1 wird im Fenster auf den Reiter IKE gewechselt und folgende empfohlene Einstellungen getätigt
Beschriftung
Wert
Beschreibung
IKEv2 Phase 1
Verschlüsselung:
aes256
Als Verschlüsselung aes256 auswählen
Authentifizierung
sha2_384
Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:
modp2048s256
Als Diffie-Hellman Group modp2048s256 auswählen.
Schwache Algorithmen anzeigen:
Ein
Erst bei Aktivierung wird die Diffie-Hellman Groupmodp2048s256 auswählbar
Strict:
Ein
Aktivieren, da die Phasen 1 und 2 auf Windows fest definiert werden
IKE Lifetime:
Aus
Falls erwünscht, kann dies aktiviert werden
IKE Rekeytime:
1 Stunden
Die Rekeytime kann beliebig eingestellt werden
Rekeying:
unbegrenzt (empfohlen)
Auf unbegrenzt (empfohlen) setzen
IKEv2 Phase 2
Über die Schaltfläche Phase 2 wird im Fenster auf den Reiter Allgemein gewechselt und folgende empfohlene Einstellungen getätigt
Beschriftung
Wert
Beschreibung
IKEv2 Phase 2
Verschlüsselung:
aes256
Als Verschlüsselung aes256 auswählen
Authentifizierung
sha2_384
Als Authentifizierung sha2_384 auswählen
Diffie-Hellman Group:
modp2048s256
Als Diffie-Hellman Group modp2048s256 auswählen.
Schwache Algorithmen anzeigen:
Ein
Erst bei Aktivierung wird die Diffie-Hellman Groupmodp2048s256 auswählbar
Schlüssel-Lebensdauer:
8 Stunden
Kann frei ausgewählt werden
Neustart nach Abbruch:
Nein
Wenn erwünscht kann dies aktiviert werden
Subnetzkombinationen gruppieren:
Ein
Sollte schon per Default aktiv sein
DHCP:
Aus
Erst aktivieren, wenn kein DHCP-Server in den globalen IPSec-Einstellungen eingetragen ist
Einrichtung der Verbindung auf dem Windows Client
CA vom Server-Zertifikat importieren
Der öffentliche Schlüssel der CA, die zum oben überarbeitetem Server-Zertifikat gehört, wird als Zertifikat auf dem Windows Client hinterlegt. Erst dann vertraut der Client der UTM.
Die CA muss als PEM exportiert und in einem Editor geöffnet werden.
Der Abschnitt zwischen -----BEGIN PRIVATE KEY----- und -----END PRIVATE KEY----- wird gelöscht.
Die CA muss als .crt-Datei abgespeichert werden.
Abb.1
Die CA wird als .crt-Datei (Export als PEM) auf dem Windows Client kopiert und installiert.
Abb.2
Als Speicherort Lokaler Computer auswählen
Weiter
Abb.3
Alle Zertifikate in folgendem Speicher speichern auswählen
Als Zertifikatspeicher:Vertrauenswürdige Stammzertifizierungsstellen auswählen
Weiter
Abb.4
Mit Fertig stellen wird die CA importiert
Einrichtung der Verbindung
Die IPSec-Verbindung kann auf unterschiedliche Weise dem Windows Client hinzugefügt werden.
Hier wird die Methode über Powershell beschrieben.
Abb.1
Zuerst wird die IPSec-Verbindung hinzugefügt. Dazu wird folgender Befehl eingegeben:
-ConnectionName "IPSec RW Windows": Der Name der erstellten IPSec-Verbindung
Mit der Option -RememberCredential (im ersten Befehl) merkt sich der Windows Client die Logindaten. Alternativ kann die Option -UseWinlogonCredential eingetragen werden. Dann werden die Windows Logindaten des aktuellen Benutzers an die UTM übergeben.
notempty
Neu:
Die Option -SplitTunneling sorgt dafür, daß nur Pakete für die Zielnetze der Gegenstelle durch den Tunnel geleitet werden
Verbindung initiieren
VPN-Client in Windows
Nachdem die IPSec-Verbindung auf dem Windows Client eingerichtet wurde, kann man über einen VPN-Client, zum Beispiel den Windows internen VPN-Client, die IPSec-Verbindung zur UTM initiieren.