IPSec Site-to-Site

Weiterleitung nach:

UTM/VPN/IPSec-S2S v12.6.2

Preview1400

IPSec Verbindungen Site-to-Site

Letzte Anpassung zur Version: 14.0.0

Neu:

Beschreibung der freizugebenden Netzwerke in Schritt 3 korrigiert
Option Subnetzkombinationen gruppieren im Einrichtungsassistenten

Vorhergehende Änderungen anzeigen (v12.7.1)

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.6 12.5 12.4 12.2.5 12.2.3 12.2 11.7 11.6.12

Einleitung

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.

Vorbereitung

Sollte vor der Securepoint Appliance ein Router (z.B: Fritz!Box oder Speedport) stehen, muss dort gewährleistet sein, dass ESP und UDP 500/ 4500 aktiv ist. Siehe Beispiel-Konfiguration mit einer Fritz!Box.

Konfiguration einer IPSec Site-to-Site Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü VPN IPSec Schaltfläche + IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Schritt 1 - Verbindungstyp
Beschriftung	Wert	Beschreibung	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Einrichtungsschritt 1
Auswahl des Verbindungs-Typs:	Es stehen folgende Verbindungen zur Verfügung. Roadwarrior Site to Site	Für die Konfiguration einer Site to Site Verbindung wird eben diese ausgewählt.

Schritt 2 - Allgemein
Name:	IPSec S2S	Name für die Verbindung	Einrichtungsschritt 2
IKE Version:	IKE v1 (veraltet)IKE v2 Default	Auswahl der IKE Version. notempty IKE v1 gilt als veraltet und sollte nicht mehr genutzt werden
Subnetzkombinationen gruppieren: notempty Neu im Einrichtungsassistenten Nur bei IKE v2	Ein	Bei Verwendung von IKE v2 ist es mithilfe dieser Konfiguration möglich, mehrere Subnetze unter einer SA zusammenzufassen. ‍ Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Diese Option kann auch nachträglich bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag Subnetzkombinationen gruppieren konfiguriert werden. Sollte die Gegenstelle ein Problem mit der Gruppierung der Subnetzkombinationen haben, sollte diese Option deaktiviert werden.

Schritt 3 - Lokal
Local Gateway ID:	Beliebiges Interface	Beliebige Zeichenfolge. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden. Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (Aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt Wird bei Authentifizierungsmethode Zertifikat nach Zertifikatsauswahl automatisch ausgefüllt.	Einrichtungsschritt 3
Authentifizierungsmethode:	Pre-Shared Key	Ein Pre-Shared Key wird verwendet
Authentifizierungsmethode:	Zertifikat	Ein Zertifikat wird verwendet
Pre-Shared Key Bei Authentifizierungsmethode Pre-Shared Key.		Ein beliebiger PSK
		Erstellt einen sehr starken Schlüssel
		Kopiert den PSK in die Zwischenablage
X.509 Zertifikat: ‍ Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar Bei Authentifizierungsmethode Zertifikat.	Server-Zertifikat	Auswahl eines Zertifikates Dieses Zertifikat muss zuvor unter Authentifizierung Zertifikate erstellt werden.
Netzwerke freigeben:	»192.168.122.0/24	Lokale Netzwerke der UTM ‍ Angabe korrigiert , auf die Zugriff gewährt werden soll.

Schritt 4 - Gegenstelle
Remote Gateway:	192.0.2.192	Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle	Einrichtungsschritt 4
Remote Gateway ID:	192.0.2.192	ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge)
Netzwerke freigeben:	»192.168.192.0/24	Das lokale Netzwerk der Gegenstelle, auf das zugegriffen werden soll
Beenden des Einrichtungsassistenten mit Fertig
Bei S2S-Verbindungen sollte geprüft werden, ob sich mehrere Subnetze per MULTI_TRAFFIC_SELECTOR zusammen fassen lassen. Damit wird die Anzahl der SAs signifikant reduziert und die Stabilität der Verbindung erhöht. Dazu wird in Phase 2 die Option Subnetzkombinationen gruppieren aktiviert.

Weitere Einstellungen

Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:

IKEv1

notempty

IKE v1 gilt als veraltet und sollte nicht mehr genutzt werden

Weitere Einstellungen für IKEv1 einblenden

Beschriftung	Wert	Beschreibung
Phase 1
VPN IPSec Bereich Verbindungen Schaltfläche Phase 1 Allgemein Allgemein
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein
Beliebige Remote-Adressen erlauben:	Ein Default	Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:	Outgoing	Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
	Incoming Default wenn Remote Host beliebig	Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
Ignore	Deaktiviert den Tunnel
Verkehr generieren: Bei Startverhalten Route	Ein	Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
Dead Peer Detection:	Ein	Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout:	30 Sekunden	Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall:	10 Sekunden	Intervall der Überprüfung
Compression:	Aus	Kompression wird nicht von allen Gegenstellen unterstützt
MOBIKE aktivieren:	Ja	Dient zur Deaktivierung der MOBIKE Option Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.

Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE
Beschriftung	Default UTM	Default NCP Client	Phase 1 IKEv1	Phase 1 IKEv2
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	Hash: SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521

Abschnitt IKE Weitere Einstellungen:
Strict:	Aus	Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Strict:	Ein	Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:	Aus 3 Stunden	Gültigkeitsdauer der SAs in Phase 1 Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
IKE Lifetime:	1 Stunde	Gültigkeitsdauer der SAs in Phase 1
IKE Rekeytime:	2 Stunden	Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
IKE Rekeytime:	notempty Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt. ‍ Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen. Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen. Beispiel: Aktive Version: ike_lifetime = 2 ike_rekeytime = 0 Nach Update: ike_lifetime = 0 ike_rekeytime = 2 ---- Aktive Version: ike_lifetime = 2 ike_rekeytime = 1 Nach Update: (ohne Änderung) ike_lifetime =2 ike_rekeytime = 1
Rekeying:	unbegrenzt (empfohlen)	Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch) ‍ Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

Phase 2
VPN IPSec Bereich Verbindungen Schaltfläche Phase 2 Allgemein Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung	Default UTM	Default NCP Client	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / S2S	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521
Schlüssel-Lebensdauer:	8 Stunden	Schlüssel Lebensdauer in Phase 2
Austausch-Modus:	Main Mode (nicht konfigurierbar)	Aggressive Mode (IKEv1) Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
Neustart nach Abbruch:	Nein	Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren:	Ja Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.	Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.

Subnetze Abschnitt Subnetze
	Szenario: Alle Subnetze haben untereinander Zugriff Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns` `IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns` IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24 IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.193.0/24	Alle Subnetze haben untereinander Zugriff

	Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! notempty Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! notempty Portfilterregeln ermöglichen es, den Zugriff zu steuern. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24`	Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

Troubleshooting

Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

IKEv2

Weitere Einstellungen für IKEv2 einblenden

Beschriftung	Wert	Beschreibung
Phase 1
VPN IPSec Bereich Verbindungen Schaltfläche Phase 1 Allgemein Allgemein
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein
Beliebige Remote-Adressen erlauben:	Ein Default	Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:	Outgoing	Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
	Incoming Default wenn Remote Host beliebig	Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
Ignore	Deaktiviert den Tunnel
Verkehr generieren: Bei Startverhalten Route	Ein	Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
Dead Peer Detection:	Ein	Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout:	30 Sekunden	Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall:	10 Sekunden	Intervall der Überprüfung
Compression:	Aus	Kompression wird nicht von allen Gegenstellen unterstützt
MOBIKE aktivieren:	Ja	Dient zur Deaktivierung der MOBIKE Option Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.

Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE
Beschriftung	Default UTM	Default NCP Client	Phase 1 IKEv1	Phase 1 IKEv2
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	Hash: SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521

Abschnitt IKE Weitere Einstellungen:
Strict:	Aus	Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Strict:	Ein	Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:	Aus 3 Stunden	Gültigkeitsdauer der SAs in Phase 1 Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
IKE Lifetime:	1 Stunde	Gültigkeitsdauer der SAs in Phase 1
IKE Rekeytime:	2 Stunden	Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
IKE Rekeytime:	notempty Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt. ‍ Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen. Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen. Beispiel: Aktive Version: ike_lifetime = 2 ike_rekeytime = 0 Nach Update: ike_lifetime = 0 ike_rekeytime = 2 ---- Aktive Version: ike_lifetime = 2 ike_rekeytime = 1 Nach Update: (ohne Änderung) ike_lifetime =2 ike_rekeytime = 1
Rekeying:	unbegrenzt (empfohlen)	Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch) ‍ Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

Phase 2
VPN IPSec Bereich Verbindungen Schaltfläche Phase 2 Allgemein Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung	Default UTM	Default NCP Client	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / S2S	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521
Schlüssel-Lebensdauer:	8 Stunden	Schlüssel Lebensdauer in Phase 2
Austausch-Modus:	Main Mode (nicht konfigurierbar)	Aggressive Mode (IKEv1) Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
Neustart nach Abbruch:	Nein	Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren:	Ja Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.	Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.

Subnetze Abschnitt Subnetze
	Szenario: Alle Subnetze haben untereinander Zugriff Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns` `IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns` IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24 IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.193.0/24	Alle Subnetze haben untereinander Zugriff

	Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! notempty Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! notempty Portfilterregeln ermöglichen es, den Zugriff zu steuern. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24`	Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

Troubleshooting

Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

Regelwerk

Um den Zugriff, auf das interne Netz zu gewähren muss die Verbindung erlaubt werden.

Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln Abschnitt VPN zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.			Screenshot zeigen Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Implizite Regeln
notempty Grundsätzlich gilt: Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt!
Netzwerkobjekt anlegen Es muss ein Netzwerkobjekt für das entfernte Netz erstellt werden. Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen Existieren mehrere Subnetze auf der Gegenstelle, muss für jedes Subnetz ein Netzwerkobjekt angelegt werden. Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen.
Name:	IPSec-S2S	Name für das IPSec-S2S-Netzwerkobjekt	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Typ:	VPN-Netzwerk	zu wählender Typ
Adresse:	192.168.192.0/24	Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im Installationsassistenten in Schritt 4 - Gegenstelle in der Zeile Netzwerke freigeben eingetragen wurde. In diesem Beispiel also das Netzwerk 192.168.192.0/24.
Zone:	vpn-ipsec	zu wählende Zone
Gruppe:		Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört.

Paketfilter Regeln


Erste Regel
Quelle:	internal-network	Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll	Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Paketfilter-Regel
Ziel:	IPSec-Netzwerk	Host, Netzwerk oder Netzwerkgruppe, auf die der Zugriff gewährt werden soll. Hier z.B. eine Gruppe von rdp-Servern.
Dienst:	benötigter Dienst	Dienst oder Dienstgruppe, die benötigt wird
NAT:	Hidenat Exclude
Netzwerkobjekte:	external-interface

Zweite Regel
Quelle:	IPSec-Netzwerk	Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
Ziel:	internal-network	Ziel
Dienst:	benötigter Dienst	Dienst oder Dienstgruppe, die benötigt wird
NAT:		Kein NAT

Konfiguration des zweiten Gateways

notempty

Es ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.

Verwendung einer Securepoint UTM

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden

Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
Paketfilterregeln werden erstellt.

Gegenstelle Schritt 2

Es muss die gleiche Authentifizierungsmethode gewählt werden
Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
Es muss die gleiche IKE-Version verwendet werden

Gegenstelle Schritt 3

Als Local Gateway ID muss nun die Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
Unter Netzwerke freigeben muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden

Gegenstelle Schritt 4

Als Remote Gateway muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden.
(Diese Adresse wurde im Assistenten der ersten UTM nicht benötigt)
Als Remote Gateway ID muss die Local Gateway ID aus Schritt 3 der ersten UTM verwendet werden
Unter Netzwerke freigeben muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden

Netzwerkobjekt der Gegenstelle anlegen

Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar.
Entsprechend muss unter Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden.
Im Beispiel 192.168.218.0/24

Hinweise

Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy Transparente Regel

Der transparente HTTP-Proxy

Wenn aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert.
Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.
Damit das nicht passiert, muss im Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus Schaltfläche Transparente Regel hinzufügen eine Regel Exclude mit der Quelle internal-network zum Ziel name-vpn-netzwerk-objekt und dem Protokoll HTTP erstellt werden.

Troubleshooting

Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

Connection Rate Limit

Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

notempty

Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

Die Funktion soll helfen Angriffe abzuwehren.
SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.

Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
Dabei gelten folgende Bedingungen:

Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
Danach werden die Verbindungen limitiert:
- Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
- Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
- 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
Andere Ports können weiterhin erreicht werden.
Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
Bei Updates muss die Funktion manuell aktiviert werden

extc-Variable	Default	Beschreibung
CONNECTION_RATE_LIMIT_TCP	0	Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port 0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
CONNECTION_RATE_LIMIT_TCP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden. Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
CONNECTION_RATE_LIMIT_UDP	20 / 0 ‍ Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.	Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
CONNECTION_RATE_LIMIT_UDP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!). Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

Konfiguration mit CLI-Befehlen

Konfiguration mit CLI-Befehlen zeigen

CLI-Befehl	Funktion
extc value get application securepoint_firewall Alternativ als root-User: spcli extc value get application securepoint_firewall \| grep RATE	Listet alle Variablen der Anwendung securepoint_firewall auf. Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen. application \|variable \|value --------------------+-------------------------------+----- securepoint_firewall \|… \|… \|CONNECTION_RATE_LIMIT_TCP \|0 \|CONNECTION_RATE_LIMIT_TCP_PORTS\| \|CONNECTION_RATE_LIMIT_UDP \|20 \|CONNECTION_RATE_LIMIT_UDP_PORTS\|
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule	Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule	Deaktiviert die Überwachung von TCP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule	Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule	Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule	Deaktiviert die Überwachung von UDP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule	Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195. (Beispielhaft für 2 angelegte SSL-VPN Tunnel.) Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule notempty Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.	Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.

Adress-Pool: Adress-Pool:
Beschriftung	Wert	Beschreibung
Lokales Netzwerk:	192.168.250.0/24	Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
Adress-Pool: Nicht bei IPSec DHCP	192.168.22.35/24	Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.

Adress-Pool: Adress-Pool:
Beschriftung	Wert	Beschreibung
Lokales Netzwerk:	192.168.250.0/24	Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
Adress-Pool: Nicht bei IPSec DHCP	192.168.22.35/24	Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.

Einleitung

Vorbereitung

Konfiguration einer IPSec Site-to-Site Verbindung

Einrichtungsassistent

Schritt 1 - Verbindungstyp

Schritt 2 - Allgemein

Schritt 3 - Lokal

Schritt 4 - Gegenstelle

Weitere Einstellungen

IKEv1

Phase 1

Allgemein

IKE

Phase 2

Allgemein

Adress-Pool:

Subnetze

Troubleshooting

IKEv2

Phase 1

Allgemein

IKE

Phase 2

Allgemein

Adress-Pool:

Subnetze

Troubleshooting

Regelwerk

Netzwerkobjekt anlegen

Paketfilter Regeln

Konfiguration des zweiten Gateways

Verwendung einer Securepoint UTM

Gegenstelle Schritt 2

Gegenstelle Schritt 3

Gegenstelle Schritt 4

Netzwerkobjekt der Gegenstelle anlegen

Hinweise

Der transparente HTTP-Proxy

Troubleshooting

Connection Rate Limit

Konfiguration mit CLI-Befehlen