IPSec - End to Site / Roadwarrior

Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior

Letzte Anpassung zur Version: 12.6.2

Neu:

Aktualisierung zum Redesign des Webinterfaces
Neue Funktion zum Absichern der genutzten Ports: Connection Rate Limit

Zuletzt aktualisiert:

Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 12.4 12.2.5 12.2.3 11.8 11.7 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter oder eine Außendienstmitarbeiterin mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Konfiguration einer nativen IPSec Verbindung

Neue Verbindungen werden im Menü VPN IPSec Bereich Verbindungen Schaltfläche + IPSec Verbindung hinzufügen hinzugefügt.

Einrichtungsassistent

Verbindungstyp Schritt 1 - Verbindungstyp
Beschriftung	Wert	Beschreibung	IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec Einrichtungsschritt 1
Auswahl des Verbindungs-Typs	Es stehen folgende Verbindungen zur Verfügung: Roadwarrior Site to Site	Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein Schritt 2 - Allgemein
Name:	IPSec Roadwarrior	Eindeutigen Namen wählen	Einrichtungsschritt 2
Verbindungstyp:	IKEv1 - Native	Mögliche Verbindungstypen: IKEv1 - XAuth IKEv1 - Native IKEv2 - Native IKEv1 - L2TP Der Verbindungstyp IKEv1 - L2TP ist nur auswählbar, wenn L2TP auf Autostart steht, oder explizit im Admininterface aktiviert wird. L2TP aktivieren unter: Extras Erweiterte Einstellungen Bereich Ausgeblendete Funktionen L2TP aktivieren: Ja Ausgeblendete Menüschaltflächen aktivieren: Strg + Alt + A Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
notempty Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:

Lokal – IKEv1 Schritt 3 - Lokal - IKEv1
Local Gateway ID:		Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt.	Einrichtungsschritt 3 - IKEv1
Authentifizierungsmethode:	Pre-Shared Key	Ein Pre-Shared Key wird verwendet
	Zertifikat	Ein vorhandenes Zertifikat wird verwendet
	RSA	Ein vorhandener privater RSA-Schlüssel wird verwendet
X.509 Zertifikat: ‍ Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar Nur bei Authentifizierungsmethode Zertifikat und EAP-TLS	Server-Zertifikat	Auswahl eines Zertifikates
Privater RSA-Schlüssel:	IPSec Key	Auswahl eines RSA-Schlüssels
Netzwerke freigeben: Nur bei IKEv1 - Native	»192.168.250.0/24	Netzwerke für die IPSec-Verbindung freigeben

Lokal – IKEv2 Schritt 3 - Lokal - IKEv2
Local Gateway ID:		Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt.	Einrichtungsschritt 3 - IKEv2
Authentifizierungsmethode	Pre-Shared Key	Ein Pre-Shared Key wird verwendet
	Zertifikat	Ein vorhandenes Zertifikat wird verwendet
	RSA	Ein vorhandener privater RSA-Schlüssel wird verwendet
	EAP-TLS Nur bei IKEv2	EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
X.509 Zertifikat: Nur bei Authentifizierungsmethode Zertifikat und EAP-TLS	Server-Zertifikat	Auswahl eines Zertifikates
Privater RSA-Schlüssel:	IPSec Key	Auswahl eines RSA-Schlüssels
Netzwerke freigeben:	192.168.250.0/24	Netzwerke für die IPSec-Verbindung freigeben

Gegenstelle – IKEv1 Schritt 4 - Gegenstelle - IKEv1
Öffentlicher RSA-Schlüssel: Nur bei Authentifizierungsmethode RSA	IPSec Key	Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle	Einrichtungsschritt 4 - IKEv1
Remote Gateway ID: Nur bei IKEv1 - Native	192.0.2.192 oder Mein_Roadwarrior	Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. ‍ Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
IP-Adresse / Pool: Nur bei IKEv1 - XAuth	»192.168.22.35/24	IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
Öffne Benutzerdialog nach Beendigung: Nur bei IKEv1 - L2TP und IKEv1 - XAuth	Ja	Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM. Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte.
IP-Adresse(n): Nur bei IKEv1 - Native	192.168.222.35	Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird. Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.

Gegenstelle – IKEv2 Schritt 4 - Gegenstelle - IKEv2
Öffentlicher RSA-Schlüssel: Nur bei Authentifizierungsmethode RSA	IPSec Key	Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle	Einrichtungsschritt 4 - IKEv2
IP-Adresse / Pool:	192.168.22.35/24	IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
Authentifizierungsmethode Nur bei Authentifizierungsmethode Zertifikat oder EAP-TLS	Zertifikat	Ein vorhandenes Zertifikat wird verwendet
	EAP-MSCHAPV2	EAP-MSCHAPV2 wird verwendet
	EAP-TLS	EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
X.509 Zertifikat: Nur bei Authentifizierungsmethode Zertifikat oder EAP-TLS	IPSec Cert	Das Zertifikat für die Gegenstelle. Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
Benutzergruppe: Nur bei EAP-MSCHAPv2	IPSec Benutzergruppe	Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden.

Regelwerk

Um den Zugriff auf das interne Netz zu gewähren, muss die Verbindung erlaubt werden.

Implizite Regeln notempty Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln im Abschnitt VPN und IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.			Screenshots zeigen Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Implizite Regeln, Abschnitt VPN Implizite Regeln, Abschnitt IPSec Traffic

Netzwerkobjekt anlegen
Im Menü unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekte
Name:	ngrp-IPSec-Roadwarrior	Eindeutigen Namen wählen
Typ:	VPN-Netzwerk	Zu wählender Typ
Adresse:	192.168.222.0/24	Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde. In diesem Beispiel also das Netzwerk 192.168.222.0/24.
Zone:	vpn-ipsec	Zu wählende Zone
Gruppen:		Optional

Paketfilter Regeln

Portfilter Regel anlegen unter Firewall Paketfilter Schaltfläche + Regel hinzufügen.
Die erste Regel ermöglicht, dass der IPSec-Tunnel überhaupt aufgebaut wird.
Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
4	internet	external-interface	ipsec		Accept	Ein
5	IPSec Roadwarrior	dmz1-network			Accept	Ein

Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.
Notwendige Änderungen, bei Verwendung eines NCP- oder Greenbow-Clients:

UTM
- Diffie-Hellman Group (Phase 1)
- DH-Gruppe (PFS) (Phase 2)
  oder
NCP- oder Greenbow-Client:
- IKE-DH-Gruppe

Bei Verwendung von IKEv1 außerdem:

NCP- oder Greenbow-Client:
- Austausch-Modus: Main Mode (IKEv1)
- Config_mode aktivieren

Weitere Einstellungen

Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:

IKEv1

Weitere Einstellungen für IKEv1 einblenden

Beschriftung	Wert	Beschreibung
Phase 1
VPN IPSec Bereich Verbindungen Schaltfläche Phase 1 Allgemein Allgemein
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein
Beliebige Remote-Adressen erlauben:	Ein Default	Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:	Outgoing	Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
	Incoming Default wenn Remote Host beliebig	Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
Ignore	Deaktiviert den Tunnel
Verkehr generieren: Bei Startverhalten Route	Ein	Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
Dead Peer Detection:	Ein	Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout:	30 Sekunden	Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall:	10 Sekunden	Intervall der Überprüfung
Compression:	Aus	Kompression wird nicht von allen Gegenstellen unterstützt
MOBIKE aktivieren:	Ja	Dient zur Deaktivierung der MOBIKE Option Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.

Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE
Beschriftung	Default UTM	Default NCP Client	Phase 1 IKEv1	Phase 1 IKEv2
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	Hash: SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521

Abschnitt IKE Weitere Einstellungen:
Strict:	Aus	Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Strict:	Ein	Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:	Aus 3 Stunden	Gültigkeitsdauer der SAs in Phase 1 Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
IKE Lifetime:	1 Stunde	Gültigkeitsdauer der SAs in Phase 1
IKE Rekeytime:	2 Stunden	Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
IKE Rekeytime:	notempty Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt. ‍ Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen. Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen. Beispiel: Aktive Version: ike_lifetime = 2 ike_rekeytime = 0 Nach Update: ike_lifetime = 0 ike_rekeytime = 2 ---- Aktive Version: ike_lifetime = 2 ike_rekeytime = 1 Nach Update: (ohne Änderung) ike_lifetime =2 ike_rekeytime = 1
Rekeying:	unbegrenzt (empfohlen)	Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch) ‍ Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

Phase 2
VPN IPSec Bereich Verbindungen Schaltfläche Phase 2 Allgemein Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung	Default UTM	Default NCP Client	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / S2S	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521
Schlüssel-Lebensdauer:	8 Stunden	Schlüssel Lebensdauer in Phase 2
Austausch-Modus:	Main Mode (nicht konfigurierbar)	Aggressive Mode (IKEv1) Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
Neustart nach Abbruch:	Nein	Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren:	Ja Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.	Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.

Subnetze Abschnitt Subnetze
	Szenario: Alle Subnetze haben untereinander Zugriff Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns` `IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns` IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24 IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.193.0/24	Alle Subnetze haben untereinander Zugriff

	Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! notempty Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! notempty Portfilterregeln ermöglichen es, den Zugriff zu steuern. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24`	Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

Troubleshooting

Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

IKEv2

Weitere Einstellungen für IKEv2 einblenden

Beschriftung	Wert	Beschreibung
Phase 1
VPN IPSec Bereich Verbindungen Schaltfläche Phase 1 Allgemein Allgemein
Beschriftung	Wert	Beschreibung	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein	Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 1 Allgemein
Beliebige Remote-Adressen erlauben:	Ein Default	Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
Startverhalten:	Outgoing	Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden. Eingehende Anfragen werden entgegen genommen.
	Incoming Default wenn Remote Host beliebig	Die UTM nimmt eingehende Tunnelanfragen entgegen. Ausgehend wird keine Verbindung erstellt.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
	Route Default wenn Remote Host benannt	Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
Ignore	Deaktiviert den Tunnel
Verkehr generieren: Bei Startverhalten Route	Ein	Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
Dead Peer Detection:	Ein	Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht. Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut. (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.) Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
DPD Timeout:	30 Sekunden	Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird Unter IKEv2 steht dieser Parameter nicht zur Verfügung. Hier werden die gleichen Werte verwendet, wie für normale Pakete.
DPD Intervall:	10 Sekunden	Intervall der Überprüfung
Compression:	Aus	Kompression wird nicht von allen Gegenstellen unterstützt
MOBIKE aktivieren:	Ja	Dient zur Deaktivierung der MOBIKE Option Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.

Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen: IKE
Beschriftung	Default UTM	Default NCP Client	Phase 1 IKEv1	Phase 1 IKEv2
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	Hash: SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521

Abschnitt IKE Weitere Einstellungen:
Strict:	Aus	Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
Strict:	Ein	Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
IKE Lifetime:	Aus 3 Stunden	Gültigkeitsdauer der SAs in Phase 1 Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
IKE Lifetime:	1 Stunde	Gültigkeitsdauer der SAs in Phase 1
IKE Rekeytime:	2 Stunden	Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
IKE Rekeytime:	notempty Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt. ‍ Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen. Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen. Beispiel: Aktive Version: ike_lifetime = 2 ike_rekeytime = 0 Nach Update: ike_lifetime = 0 ike_rekeytime = 2 ---- Aktive Version: ike_lifetime = 2 ike_rekeytime = 1 Nach Update: (ohne Änderung) ike_lifetime =2 ike_rekeytime = 1
Rekeying:	unbegrenzt (empfohlen)	Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch) ‍ Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen

Phase 2
VPN IPSec Bereich Verbindungen Schaltfläche Phase 2 Allgemein Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:
Beschriftung	Default UTM	Default NCP Client	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv1 / S2S	Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec Phase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
Verschlüsselung:	»aes128	AES 128 Bit
Authentifizierung:	»sha2_256	SHA2 256 Bit
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Diffie-Hellman Gruppe:	»ecp521	IKE DH-Gruppe: DH2 (modp1024)
Aktuelle Kombinationen:	aes128-sha2_256-ecp521
Schlüssel-Lebensdauer:	8 Stunden	Schlüssel Lebensdauer in Phase 2
Austausch-Modus:	Main Mode (nicht konfigurierbar)	Aggressive Mode (IKEv1) Muss im NCP-Client auf Main Mode geändert werden! Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
Neustart nach Abbruch:	Nein	Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt. Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
Subnetzkombinationen gruppieren:	Ja Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.	Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
DHCP:	Aus	Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz. Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.

Adress-Pool: Adress-Pool:
Beschriftung	Wert	Beschreibung
Lokales Netzwerk:	192.168.250.0/24	Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
Adress-Pool: Nicht bei IPSec DHCP	192.168.22.35/24	Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.

Subnetze Abschnitt Subnetze
	Szenario: Alle Subnetze haben untereinander Zugriff Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns` `IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns` IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24 IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.193.0/24	Alle Subnetze haben untereinander Zugriff

	Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt! notempty Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden! notempty Portfilterregeln ermöglichen es, den Zugriff zu steuern. Beispiel mit root-Login Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen. Beispiel mit jeweils zwei Subnetzen. Subnetzkombinationen gruppieren Aktiviert Ein `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 192.168.219.0/24 remote: 192.168.192.0/24 192.168.193.0/24` Subnetzkombinationen gruppieren Deaktiviert Aus `root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s` `local: %any remote: 192.0.2.192 local pre-shared key authentication: id: 192.168.175.218 remote pre-shared key authentication: id: 192.0.2.192 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.192.0/24 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.218.0/24 remote: 192.168.193.0/24 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart local: 192.168.219.0/24 remote: 192.168.192.0/24`	Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

Troubleshooting

Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

Connection Rate Limit

Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

notempty

Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

Die Funktion soll helfen Angriffe abzuwehren.
SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.

Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
Dabei gelten folgende Bedingungen:

Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
Danach werden die Verbindungen limitiert:
- Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
- Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
- 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
Andere Ports können weiterhin erreicht werden.
Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
Bei Updates muss die Funktion manuell aktiviert werden

extc-Variable	Default	Beschreibung
CONNECTION_RATE_LIMIT_TCP	0	Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port 0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
CONNECTION_RATE_LIMIT_TCP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden. Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
CONNECTION_RATE_LIMIT_UDP	20 / 0 ‍ Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.	Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
CONNECTION_RATE_LIMIT_UDP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!). Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

Konfiguration mit CLI-Befehlen

Konfiguration mit CLI-Befehlen zeigen

CLI-Befehl	Funktion
extc value get application securepoint_firewall Alternativ als root-User: spcli extc value get application securepoint_firewall \| grep RATE	Listet alle Variablen der Anwendung securepoint_firewall auf. Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen. application \|variable \|value --------------------+-------------------------------+----- securepoint_firewall \|… \|… \|CONNECTION_RATE_LIMIT_TCP \|0 \|CONNECTION_RATE_LIMIT_TCP_PORTS\| \|CONNECTION_RATE_LIMIT_UDP \|20 \|CONNECTION_RATE_LIMIT_UDP_PORTS\|
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule	Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule	Deaktiviert die Überwachung von TCP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule	Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule	Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule	Deaktiviert die Überwachung von UDP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule	Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195. (Beispielhaft für 2 angelegte SSL-VPN Tunnel.) Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule notempty Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.	Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.

Einleitung

Konfiguration einer nativen IPSec Verbindung

Einrichtungsassistent

Verbindungstyp

Allgemein

Lokal – IKEv1

Lokal – IKEv2

Gegenstelle – IKEv1

Gegenstelle – IKEv2

Regelwerk

Implizite Regeln

Netzwerkobjekt anlegen

Paketfilter Regeln

Weitere Einstellungen

IKEv1

Phase 1

Allgemein

IKE

Phase 2

Allgemein

Adress-Pool:

Subnetze

Troubleshooting

IKEv2

Phase 1

Allgemein

IKE

Phase 2

Allgemein

Adress-Pool:

Subnetze

Troubleshooting

Connection Rate Limit

Konfiguration mit CLI-Befehlen