TODO: Screenshots
Einleitung
Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierung über XAuth - also mit einem Usernamen und einem Passwort. Im Falle von iOS ist diese Authentifizierungsmethode sogar zwingend notwendig, um natives IPsec benutzen zu können. Deshalb soll hier dargelegt werden, wie in der Securepoint UTM V11 eine solche Verbindung eingerichtet wird.
Regelwerk
Zunächst kümmern wir uns um das Regelwerk. Dazu brauchen wir ein Netzwerk-Objekt, das den Client im Regelwerk repräsentiert. Dieser soll hier beispielhaft IPs aus dem Subnetz 192.168.255.0/24 bekommen. Hierzu gehen wir folgendermaßen vor:
- Öffnen Sie Firewall -> Portfilter
- Gehen Sie auf den Karteireiter "Network Objects"
- Legen Sie durch Klick auf den Button "+ Add Object" ein neues Objekt an:
- Name: ipsec-clients
- Type: VPN Network
- Zone: vpn-ipsec
- IP: 192.168.255.0/24
Jetzt können wir Firewall-Regeln erzeugen, und zwar auf dem Reiter "PORTFILTER". Wie bei VPN allgemein üblich, brauchen wir mindestens 2 Regeln:
Zunächst erlauben wir dem Client, aus dem Internet heraus die IPSec-Verbindung aufzubauen:
- Internet -> External Interface -> ipsec -> ACCEPT
Diese Regel ist nicht nötig, wenn die entsprechenden Dienste bei Firewall -> Implied Rules bereits freigegeben sind.
Ist die Verbindung aufgebaut, müssen wir den Zugriff des Roadwarriors ins interne Netz gestatten:
- ipsec-clients -> Internal Network -> any -> ACCEPT
User
- Öffnen Sie die Userverwaltung unter authenthication -> user.
- Zunächst muss eine Gruppe angelegt werden, der die Berechtigung zum Aufbau einer ipsec-Verbindung zugeteilt wird. Wechseln Sie dazu auf den Reiter "Groups".
- Fügen Sie durch einen Klick auf "+Add Group" eine neue Gruppe hinzu. Nennen Sie diese "ipsec-roadwarrior" und fügen Sie die Berechtigung IPSEC-XAUTH hinzu.
- Wechseln Sie nun auf den Karteireiter "User". Legen Sie einen User an und fügen die Gruppe ipsec-roadwarrior hinzu.
Verbindung anlegen
- Öffnen Sie die Übersicht der IPSec-Verbindungen unter VPN -> IPSec
- Fügen Sie durch Klick auf die Schaltfläche "+Roadwarrior" eine neue Verbindung zu
- Schritt 1: Wählen Sie einen Namen für die Verbindung und wählen Sie als Connection Type "IKEv1-Xauth" aus
- Schritt 2: Wählen Sie als Verschlüsselung 3des/md5/modp1024 aus
- Schritt 3: Geben Sie für die Authentifizierung einen Preshared Key an
- Schritt 4: Die Gateway-IDs können im Normalfall so gelassen werden.
- Schritt 5: Die Konfiguration der Subnetze hängt vom verwendeten Client ab. Es kann bzw. muss lokal entweder das entsprechende interne Netz oder mit 0.0.0.0/0 der gesamte ipv4-Adressraum konfiguriert werden. Für das entfernte Subnetz muss entweder ein entsprechendes Subnetz oder eine einzelne IP vergeben werden. Folgende Konfigurationen sind möglich:
Apple iOS:
- Lokales Subnetz: 0.0.0.0/0
- Entferntes Subnetz: 192.168.255.0/24
Android:
- Lokales Subnetz: 172.31.0.0/24
- Entferntes Subnetz: 192.168.255.0/24
- Android-Clients funktionieren auch mit der Einstellung für iOS.
Windoes IPSec-Client (z.B. Greenbow):
Lokales Subnetz: 172.31.0.0/24 Entferntes Subnetz: 192.168.255.1/32