Spielwiese/alt/IPSec-S2S-Test: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche
K (Lauritzl verschob die Seite Spielwiese/IPSec-Test nach Spielwiese/alt/IPSec-S2S-Test, ohne dabei eine Weiterleitung anzulegen)
 
(132 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
==Vorbereitung==
+
'''IPSec Site-to-Site Verbindungen herstellen'''<br>
* Es wird in jedem genutztem Netz ein RSA-Schlüssel für die Verbindung erzeugt: [[Datei:S2S-IPSEC-RSA-Schlüssel-hinzufügen1.png|thumb]]
+
Letzte Anpassung zur Verson '''11.8.pre50'''<br>
** Authentifizierung → RSA-Schlüssel  →  [[Datei:RSA-Schlüssel-hinzufügen.png|x20px]]<br />
+
Leichtere IPSEC-Konfiguration<br>
** Name: In unserem Beispiel: <code>RSA-S2S-IPSec-Loc_1</code> für die Zentrale, die die Verbindung entgegennehmen soll,<br />bzw. <code>RSA-S2S-IPSEC-Loc_2</code> für die Filiale, die die Verbindung aufbauen soll.<br />
+
Vorherige Version: [[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]] [[UTM/VPN/IPSec-S2S | 11.7]]
** Schlüssellänge: 2048 Bit [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile#subsection.5.4.1 (Empfehlung des BSI zur Verwendung bis 2022)]<br />
 
** [[Datei:speichern.png|x20px]] <br />
 
<div style="clear: both;"></div>
 
  
* Öffentlichen Teil des RSA-Schlüssels als PEM exportieren[[Datei:S2SS2S-IPSEC-RSA-Schlüssel-exportieren.png |thumb|hochkant=1.5|right]]
+
===Einleitung===
<div style="clear: both;"></div>
+
Eine Site-to-Site-Verbindung kann mit IPSEC hergestellt werden.<br>
 +
Es ist möglich Pre-Shared-Keys (PSK), Zertifikate oder RSA-Schlüssel zur Authentifizierung zu verwenden.<br>
 +
Im Beispiel werden [[UTM/VPN/Übersicht#Site_to_Site_VPN_Verbindungen | RSA-Schlüssel]] verwendet, die zuvor erstellt werden.
 +
{{DISPLAYTITLE:IPSec-Test}}
 +
===Vorbereitung===
 +
[[Datei:S2S-IPSEC-RSA-Schlüssel-hinzufügen1.png|thumb|right|hochkant=1.5]]
 +
Es wird in jedem genutzten Netz ein RSA-Schlüssel für die Verbindung erzeugt:
 +
* Authentifizierung → RSA-Schlüssel  →  {{Button | + RSA-Schlüssel-hinzufügen}}
 +
* '''Name:''' In unserem Beispiel: <code>RSA-S2S-IPSec-Loc_1</code> für die Zentrale, die die Verbindung entgegennehmen soll,<br />bzw. <code>RSA-S2S-IPSEC-Loc_2</code> für die Filiale, die die Verbindung aufbauen soll.<br />
 +
* '''Schlüssellänge:''' {{Button |2048 ⌄}} Bit [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile#subsection.5.4.1 (Empfehlung des BSI zur Verwendung bis 2022)]<br />
 +
* {{Button |speichern}}<br />
 +
<br clear=all>
  
* Öffentlichen RSA-Schlüssel der jeweils gegenüberliegenden Site importieren.[[Datei:S2SS2S-IPSEC-RSA-Schlüssel-importieren.png |thumb|right|hochkant=1.5| RSA-Schlüssel RSA-Schlüssel importieren]]<div style="clear: both;"></div>
+
[[Datei:S2SS2S-IPSEC-RSA-Schlüssel-exportieren.png |thumb|right|hochkant=1.5]]Der öffentliche Teil des RSA-Schlüssels wird als {{ButtonD |PEM}}  bzw. {{Button |💾 PEM}} exportiert.
 +
<br clear=all>
  
== Hinzufügen einer IPSEC-Verbindung==  
+
[[Datei:S2SS2S-IPSEC-RSA-Schlüssel-importieren.png |thumb|right|hochkant=1.5| RSA-Schlüssel RSA-Schlüssel importieren]]Der öffentliche RSA-Schlüssel der jeweils gegenüberliegenden Site wird importiert. <br>{{ButtonU |RSA-Schlüssel importieren }}
[[Datei:IPSEC-s2s-hinzufügen.png|thumb]]
+
<br clear=all>
* Menü VPN→ IPSec → [+ IPSec- Verbindung hinzufügen]<br>Schritt 1: Verbindungstyp<br>Roadwarrier<br>'''Site to Site'''<br>
+
 
 +
===Einrichten einer Site-to-Site-Verbindung mit IPSEC===
 +
[[Datei:Auswahl-IPSEC-s2s-hinzufügen.png|thumb|right|hochkant=1.5]]
 +
==== Hinzufügen einer IPSEC-Verbindung====
 +
* Menü{{Menu |→VPN→ IPSec}} {{Button |+ IPSEC-Verbindung hinzufügen}}<br>
 +
=====Schritt 1: Verbindungstyp=====
 +
Angeboten wird<br>
 +
:Roadwarrier<br>'''Site to Site'''<br>
 
* Auswahl '''Site to Site'''
 
* Auswahl '''Site to Site'''
<div style="clear: both;"></div>
+
<br clear=all>
* Schritt 2 Allgemein
+
 
** Name: In unserem Beispiel: S2S-IPSec
+
[[Datei:IPSEC-Schritt2.png|right|top|450px]]
** Authentifizierungsmethode: [RSA]
+
===== Schritt 2 Allgemein=====
** IKE-Version: V1
+
* '''Name:''' In unserem Beispiel: <code>S2S-IPSec</code>
(V1 wird von mehr Hardware unterstützt, V2 ist bei mobilen Client-Staionen zu bevorzugen, da hier ein besserer Verbindungswiederaufbau erfolgt)
+
* '''Authentifizierungsmethode:''' {{Button |RSA}}
[[Datei:weiter.png|thumb]
+
* '''IKE-Version:''' {{Button |IKE v1}}
 +
* {{Button |weiter}}
 +
<br clear=all>
 +
 
 +
[[Datei:IPSEC-Schritt3.png|thumb|hochkant=1.5]]
 +
 
 +
===== Schritt 3: Lokal=====
 +
:Angaben zur Lokalen Konfiguration:
 +
* <span style="color: red">(Warum kann hier nicht das Local Gateway angegeben werden??? 11.8.0pre50 und 11.7.14)</span>
 +
* '''Local Gateway:''' ID. Eine beliebige, aber eindeutige ID. In unserem Beispiel: <code>MeineLokaleID_z_B_Butterbrot</code>
 +
* '''Privater RSA-Schlüssel:''' In unserem Beispiel: <code>RSA-S2S-IPSEC-Loc_1</code>
 +
* '''Netzwerke freigeben:'''  Netz-IDs der lokalen Netzwerke, die per IPSec verbunden werden sollen. <br>In unserem Beispiel kann die Vorgabe übernommen werden: <code>192.168.180.0/24</code> (/24 entspricht der Subnetzmaske 255.255.255.0)
 +
* {{Button |weiter}}
 +
<br clear=all>
 +
 
 +
[[Datei:IPSEC-Schritt4.png|thumb|hochkant=1.5]]
 +
 
 +
===== Schritt 4: Gegenstelle=====
 +
* '''Remote Gateway:''' Die öffentliche IP-Adresse des Gateways, unter dem die Gegenstelle aus dem verbindenden Netz (meist das Internet) erreichbar ist. In unserem Beispiel: <code>192.168.175.190</code><br>
 +
* '''Remote Gateway ID:''' Eine beliebige, aber eindeutige ID, z.B.: die IP-Adresse des Remote Gateways. In unserem Beispiel: <code>192.168.175.190</code>
 +
* '''Öffentlicher RSA-Schlüssel:''' In unserem Beispiel: <code>RSA-S2S-IPSEC-Loc_2_pem</code>
 +
* '''Netzwerke freigeben:''' Netzwerke der Gegenstelle, die mit dem IPSec verbunden werden sollen. In unserem Beispiel: <code>192.168.190.0/24</code>
 +
* {{Button |Fertig}}
 +
<br clear=all>
 +
 
 +
[[Datei:IPSEC-Phase1a.png|thumb|hochkant=1.5]]
 +
===== Phase 1 bearbeiten:=====
 +
* '''Local Gateway''' sollte angegeben werden: Die Schnittstelle, an der das Lokale Netz angeschlossen ist. In unserem Beispiel: <code><s>[192.168.175.180]</s> oder [eth1]</code>
 +
* '''Startverhalten:''' Nur eine Seite sollte die Verbindung initiieren können. In unserem Beispiel wird angenommen, daß es sich hier um die Zentrale handelt. Also: <code>Incoming</code>
 +
:{{Button |speichern}}
 +
:{{Button |neustarten}}
 +
<br clear=all>
 +
 
 +
====Verbindung auf der Gegenseite konfigurieren:====
 +
     
 +
=====Schritt 1: Verbindungstyp=====
 +
* IPSEC-Verbindung hinzufügen:<br>Menü VPN → IPSec → {{Button |+ IPSec- Verbindung hinzufügen}}
 +
* Auswahl: [Site to Site]
 +
===== Schritt 2: Allgemein=====
 +
* '''Name:''' In unserem Beispiel: <code>S2S-IPSec</code>
 +
* '''Authentifizierungsmethode:''' {{Button RSA}}
 +
[[Datei:IPSEC-Schritt3b.png|thumb|hochkant=1.5]]
 +
<br>
 +
 
 +
=====Schritt 3: Lokal======
 +
:Angaben zur Lokalen Konfiguration:
 +
* '''Local Gateway ID:''' Exakt die ID, die in dem vorhergehenden Schritt 4 als Remote Gateway ID der Gegenstelle ausgewählt wurde! In unserem Beispiel: <code>192.168.175.190</code>
 +
* '''Netzwerke freigeben:''' In unserem Beispiel kann das vorgegebene Netz übernommen werden: <code>192.168.190.0/24</code>
 +
<br clear=all><br>
 +
[[Datei:IPSEC-Schritt4b.png|thumb|hochkant=1.5]]
 +
=====Schritt 4: Gegenstelle=====
 +
* '''Remote Gateway:''' Die öffentliche IP-Adresse des Gateways, unter dem die Gegenstelle aus dem verbindenden Netz (meist das Internet) erreichbar ist. In unserem Beispiel: <code>192.168.175.180</code>
 +
* '''Remote Gateway ID:''' Exakt die ID, die in dem Vorhergehenden Schritt 3 als Local Gateway ID ausgewählt wurde! In unserem Beispiel: <code>MeineLokaleID_z_B_Butterbrot</code>
 +
* '''Öffentlicher RSA-Schlüssel:''' In unserem Beispiel: <code>RSA-S2S-IPSEC-Loc_1_pem</code>
 +
* '''Netzwerke freigeben:''' Das Netzwerk, das im ersten Schritt 3 als lokales Netz angegeben wurde. In unserem Beispiel: <code>192.168.180.0/24</code>
 +
* {{Button |Fertig}}
 +
<br clear=all><br>
 +
[[Datei:IPSEC-Phase1b.png|thumb|hochkant=1.5]]
 +
=====Phase 1 bearbeiten:=====
 +
* '''Local Gateway''' sollte angegeben werden: Die Schnittstelle, an der das Lokale Netz angeschlossen ist. In unserem Beispiel: <code>[eth1]</code>
 +
* '''Startverhalten:''' Nur eine Seite sollte die Verbindung initiieren können. In unserem Beispiel wird angenommen, daß es sich hier um die Filiale handelt. Also: <code>Outgoing</code>
 +
* {{Button |Speichern}}
 +
<br clear=all>
 +
 
 +
===Starten der IPSEC-Verbindung===
 +
Zum starten der IPSEC-Verbindung auf der initiierenden Site (im Beispiel mit der IP 192.168.175.180)
 +
* {{Button |Laden}}
 +
* {{Button |starten}}
 +
 
 +
===Ergebnis===
 +
Die Statusanzeige sollte jetzt grün anzeigen.
 +
Die Verbindung ist hergestellt.

Aktuelle Version vom 4. September 2019, 14:40 Uhr

IPSec Site-to-Site Verbindungen herstellen
Letzte Anpassung zur Verson 11.8.pre50
Leichtere IPSEC-Konfiguration
Vorherige Version: 11.6.12 | 11.7

Einleitung

Eine Site-to-Site-Verbindung kann mit IPSEC hergestellt werden.
Es ist möglich Pre-Shared-Keys (PSK), Zertifikate oder RSA-Schlüssel zur Authentifizierung zu verwenden.
Im Beispiel werden RSA-Schlüssel verwendet, die zuvor erstellt werden.

Vorbereitung

S2S-IPSEC-RSA-Schlüssel-hinzufügen1.png

Es wird in jedem genutzten Netz ein RSA-Schlüssel für die Verbindung erzeugt:

  • Authentifizierung → RSA-Schlüssel → + RSA-Schlüssel-hinzufügen
  • Name: In unserem Beispiel: RSA-S2S-IPSec-Loc_1 für die Zentrale, die die Verbindung entgegennehmen soll,
    bzw. RSA-S2S-IPSEC-Loc_2 für die Filiale, die die Verbindung aufbauen soll.
  • Schlüssellänge: 2048 ⌄ Bit (Empfehlung des BSI zur Verwendung bis 2022)
  • speichern


S2SS2S-IPSEC-RSA-Schlüssel-exportieren.png

Der öffentliche Teil des RSA-Schlüssels wird als  PEM  bzw.

💾 PEM exportiert.


RSA-Schlüssel RSA-Schlüssel importieren

Der öffentliche RSA-Schlüssel der jeweils gegenüberliegenden Site wird importiert.
 RSA-Schlüssel importieren  


Einrichten einer Site-to-Site-Verbindung mit IPSEC

Auswahl-IPSEC-s2s-hinzufügen.png

Hinzufügen einer IPSEC-Verbindung

  • Menü→ →VPN→ IPSec  + IPSEC-Verbindung hinzufügen
Schritt 1: Verbindungstyp

Angeboten wird

Roadwarrier
Site to Site
  • Auswahl Site to Site


IPSEC-Schritt2.png
Schritt 2 Allgemein
  • Name: In unserem Beispiel: S2S-IPSec
  • Authentifizierungsmethode: RSA
  • IKE-Version: IKE v1
  • weiter


IPSEC-Schritt3.png
Schritt 3: Lokal
Angaben zur Lokalen Konfiguration:
  • (Warum kann hier nicht das Local Gateway angegeben werden??? 11.8.0pre50 und 11.7.14)
  • Local Gateway: ID. Eine beliebige, aber eindeutige ID. In unserem Beispiel: MeineLokaleID_z_B_Butterbrot
  • Privater RSA-Schlüssel: In unserem Beispiel: RSA-S2S-IPSEC-Loc_1
  • Netzwerke freigeben: Netz-IDs der lokalen Netzwerke, die per IPSec verbunden werden sollen.
    In unserem Beispiel kann die Vorgabe übernommen werden: 192.168.180.0/24 (/24 entspricht der Subnetzmaske 255.255.255.0)
  • weiter


IPSEC-Schritt4.png
Schritt 4: Gegenstelle
  • Remote Gateway: Die öffentliche IP-Adresse des Gateways, unter dem die Gegenstelle aus dem verbindenden Netz (meist das Internet) erreichbar ist. In unserem Beispiel: 192.168.175.190
  • Remote Gateway ID: Eine beliebige, aber eindeutige ID, z.B.: die IP-Adresse des Remote Gateways. In unserem Beispiel: 192.168.175.190
  • Öffentlicher RSA-Schlüssel: In unserem Beispiel: RSA-S2S-IPSEC-Loc_2_pem
  • Netzwerke freigeben: Netzwerke der Gegenstelle, die mit dem IPSec verbunden werden sollen. In unserem Beispiel: 192.168.190.0/24
  • Fertig


IPSEC-Phase1a.png
Phase 1 bearbeiten:
  • Local Gateway sollte angegeben werden: Die Schnittstelle, an der das Lokale Netz angeschlossen ist. In unserem Beispiel: [192.168.175.180] oder [eth1]
  • Startverhalten: Nur eine Seite sollte die Verbindung initiieren können. In unserem Beispiel wird angenommen, daß es sich hier um die Zentrale handelt. Also: Incoming
speichern
neustarten


Verbindung auf der Gegenseite konfigurieren:

Schritt 1: Verbindungstyp
  • IPSEC-Verbindung hinzufügen:
    Menü VPN → IPSec → + IPSec- Verbindung hinzufügen
  • Auswahl: [Site to Site]
Schritt 2: Allgemein
IPSEC-Schritt3b.png


Schritt 3: Lokal=
Angaben zur Lokalen Konfiguration:
  • Local Gateway ID: Exakt die ID, die in dem vorhergehenden Schritt 4 als Remote Gateway ID der Gegenstelle ausgewählt wurde! In unserem Beispiel: 192.168.175.190
  • Netzwerke freigeben: In unserem Beispiel kann das vorgegebene Netz übernommen werden: 192.168.190.0/24



IPSEC-Schritt4b.png
Schritt 4: Gegenstelle
  • Remote Gateway: Die öffentliche IP-Adresse des Gateways, unter dem die Gegenstelle aus dem verbindenden Netz (meist das Internet) erreichbar ist. In unserem Beispiel: 192.168.175.180
  • Remote Gateway ID: Exakt die ID, die in dem Vorhergehenden Schritt 3 als Local Gateway ID ausgewählt wurde! In unserem Beispiel: MeineLokaleID_z_B_Butterbrot
  • Öffentlicher RSA-Schlüssel: In unserem Beispiel: RSA-S2S-IPSEC-Loc_1_pem
  • Netzwerke freigeben: Das Netzwerk, das im ersten Schritt 3 als lokales Netz angegeben wurde. In unserem Beispiel: 192.168.180.0/24
  • Fertig



IPSEC-Phase1b.png
Phase 1 bearbeiten:
  • Local Gateway sollte angegeben werden: Die Schnittstelle, an der das Lokale Netz angeschlossen ist. In unserem Beispiel: [eth1]
  • Startverhalten: Nur eine Seite sollte die Verbindung initiieren können. In unserem Beispiel wird angenommen, daß es sich hier um die Filiale handelt. Also: Outgoing
  • Speichern


Starten der IPSEC-Verbindung

Zum starten der IPSEC-Verbindung auf der initiierenden Site (im Beispiel mit der IP 192.168.175.180)

  • Laden
  • starten

Ergebnis

Die Statusanzeige sollte jetzt grün anzeigen. Die Verbindung ist hergestellt.