Spielwiese/alt/IPSec-S2S-Test: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
Zeile 33: Zeile 33:
 
* Privater RSA-Schlüssel: In unserem Beispiel: <code>RSA-S2S-IPSEC-Loc_1</code>
 
* Privater RSA-Schlüssel: In unserem Beispiel: <code>RSA-S2S-IPSEC-Loc_1</code>
 
* Netzwerke freigeben:  Netz-IDs der lokalen Netzwerke, die per IPSec verbunden werden sollen. <br>In unserem Beispiel kann die Vorgabe übernommen werden: <code>192.168.180.0/24</code> (/24 entspricht der Subnetzmaske 255.255.255.0)
 
* Netzwerke freigeben:  Netz-IDs der lokalen Netzwerke, die per IPSec verbunden werden sollen. <br>In unserem Beispiel kann die Vorgabe übernommen werden: <code>192.168.180.0/24</code> (/24 entspricht der Subnetzmaske 255.255.255.0)
[[Datei:weiter.png|x20px]] <pre style="color: red">(Warum kann hier nicht das Local Gateway angegeben werden??? 11.8.0pre50 und 11.7.14)
+
[[Datei:weiter.png|x20px]] <pre style="color: red">(Warum kann hier nicht das Local Gateway angegeben werden??? 11.8.0pre50 und 11.7.14)</pre style="color: red">
 
<div style="clear: both;"></div>
 
<div style="clear: both;"></div>
  

Version vom 21. Dezember 2018, 17:41 Uhr

Vorbereitung

  • Es wird in jedem genutztem Netz ein RSA-Schlüssel für die Verbindung erzeugt:
    S2S-IPSEC-RSA-Schlüssel-hinzufügen1.png
    • Authentifizierung → RSA-Schlüssel → RSA-Schlüssel-hinzufügen.png
    • Name: In unserem Beispiel: RSA-S2S-IPSec-Loc_1 für die Zentrale, die die Verbindung entgegennehmen soll,
      bzw. RSA-S2S-IPSEC-Loc_2 für die Filiale, die die Verbindung aufbauen soll.
    • Schlüssellänge: 2048 Bit (Empfehlung des BSI zur Verwendung bis 2022)
    • Speichern.png
  • Öffentlichen Teil des RSA-Schlüssels als PEM exportieren
    S2SS2S-IPSEC-RSA-Schlüssel-exportieren.png
  • Öffentlichen RSA-Schlüssel der jeweils gegenüberliegenden Site importieren.
    RSA-Schlüssel RSA-Schlüssel importieren

Hinzufügen einer IPSEC-Verbindung

Auswahl-IPSEC-s2s-hinzufügen.png
  • Menü VPN→ IPSec →Schaltfläche [ + IPSEC-Verbindung hinzufügen]

Schritt 1: Verbindungstyp

Angeboten wird

Roadwarrier
Site to Site
  • Auswahl Site to Site

Schritt 2 Allgemein

IPSEC-Schritt2.png
  • Name: In unserem Beispiel: S2S-IPSec
  • Authentifizierungsmethode: [RSA]
  • IKE-Version: V1
    (V1 wird von mehr Hardware unterstützt, V2 ist bei mobilen Client-Staionen zu bevorzugen, da hier ein besserer Verbindungswiederaufbau erfolgt)

Weiter.png

Schritt 3: Lokal

IPSEC-Schritt3.png
  • Angaben zur Lokalen Konfiguration:
  • Local Gateway: ID. Eine beliebige, aber eindeutige ID. In unserem Beispiel: MeineLokaleID_z_B_Butterbrot
  • Privater RSA-Schlüssel: In unserem Beispiel: RSA-S2S-IPSEC-Loc_1
  • Netzwerke freigeben: Netz-IDs der lokalen Netzwerke, die per IPSec verbunden werden sollen.
    In unserem Beispiel kann die Vorgabe übernommen werden: 192.168.180.0/24 (/24 entspricht der Subnetzmaske 255.255.255.0)

Weiter.png

(Warum kann hier nicht das Local Gateway angegeben werden??? 11.8.0pre50 und 11.7.14)

Schritt 4: Gegenstelle

IPSEC-Schritt4.png
  • Remote Gateway: Die öffentliche IP-Adresse des Gateways, unter dem die Gegenstelle aus dem verbindenden Netz (meist das Internet) erreichbar ist. In unserem Beispiel: 192.168.175.190
  • Remote Gateway ID: Eine beliebige, aber eindeutige ID, z.B.: die IP-Adresse des Remote Gateways. In unserem Beispiel: 192.168.175.190
  • Öffentlicher RSA-Schlüssel: In unserem Beispiel: RSA-S2S-IPSEC-Loc_2_pem
  • Netzwerke freigeben: Netzwerke der Gegenstelle, die mit dem IPSec verbunden werden sollen. In unserem Beispiel: 192.168.190.0/24
  • Schaltfläche [Fertig]