Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 12: | Zeile 12: | ||
| Verbindungen | | Verbindungen | ||
| Connections }} | | Connections }} | ||
{{var | Einleitung | {{var | Einleitung | ||
| Einleitung | | Einleitung | ||
| Introduction }} | | Introduction }} | ||
{{var | Einleitung--desc | {{var | Einleitung--desc | ||
| Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden. <br>In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.<br>Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm. | | Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.<br> In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.<br> Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm. | ||
| A roadwarrior connection connects individual hosts to the local network. This allows, for example, a field service employee to connect to the network of the headquarters. <br>This step-by-step guide shows how to configure an end-to-site connection. The selected connection type is native IPSec with IKEv1.<br>For native IPSec connections with IKEv1 the client needs a separate program. }} | | A roadwarrior connection connects individual hosts to the local network. This allows, for example, a field service employee to connect to the network of the headquarters.<br> This step-by-step guide shows how to configure an end-to-site connection. The selected connection type is native IPSec with IKEv1.<br>For native IPSec connections with IKEv1 the client needs a separate program. }} | ||
{{var | Konfiguration | {{var | Konfiguration | ||
| Konfiguration einer nativen IPSec Verbindung | | Konfiguration einer nativen IPSec Verbindung | ||
Zeile 33: | Zeile 27: | ||
| Einrichtungsassistent | | Einrichtungsassistent | ||
| Wizard }} | | Wizard }} | ||
{{var | Verbindungstyp | |||
| Verbindungstyp | |||
| Connection Type }} | |||
{{var | Schritt | {{var | Schritt | ||
| Schritt | | Schritt | ||
| Step }} | | Step }} | ||
{{var | | {{var | Schritt1--Bild | ||
| | | UTMv11.8.8_IPSEC_Assitent1.png | ||
| | | UTMv11.8.8_IPSEC_Assitent1-en.png }} | ||
{{var | Einrichtungsschritt | |||
| Einrichtungsschritt | |||
| Wizard step }} | |||
{{var | Schritt1--Auswahl | {{var | Schritt1--Auswahl | ||
| Auswahl des Verbindungs-Typs | | Auswahl des Verbindungs-Typs | ||
Zeile 48: | Zeile 48: | ||
| Für die Konfiguration einer E2S / End-to-Site-Verbindung wird '''Roadwarrior''' ausgewählt. | | Für die Konfiguration einer E2S / End-to-Site-Verbindung wird '''Roadwarrior''' ausgewählt. | ||
| For the configuration of an E2S / End-to-Site-connection ''' roadwarrior''' is to be selected. }} | | For the configuration of an E2S / End-to-Site-connection ''' roadwarrior''' is to be selected. }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
Zeile 63: | Zeile 57: | ||
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2.png | | UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2.png | ||
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2-en.png }} | | UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2-en.png }} | ||
{{var | Schritt2--mögliche-verbindungstypen | {{var | Schritt2--mögliche-verbindungstypen | ||
| Mögliche Verbindungstypen: | | Mögliche Verbindungstypen: | ||
Zeile 75: | Zeile 66: | ||
| Authentifizierungsmethode: | | Authentifizierungsmethode: | ||
| Authentication method: }} | | Authentication method: }} | ||
{{var | Pre-Shared Key--desc | {{var | Pre-Shared Key--desc | ||
| Ein Pre-Shared Key wird verwendet | | Ein Pre-Shared Key wird verwendet | ||
Zeile 87: | Zeile 75: | ||
| Ein vorhandenes Zertifikat wird verwendet | | Ein vorhandenes Zertifikat wird verwendet | ||
| An existing certificate is being used }} | | An existing certificate is being used }} | ||
{{var | RSA--desc | {{var | RSA--desc | ||
| Ein vorhandener privater RSA-Schlüssel wird verwendet | | Ein vorhandener privater RSA-Schlüssel wird verwendet | ||
| An existing private RSA key is in use }} | | An existing private RSA key is in use }} | ||
{{var | EAP-TLS--desc | {{var | EAP-TLS--desc | ||
| EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt. | | EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt. | ||
Zeile 107: | Zeile 89: | ||
{{var | Schritt2--authentifizierungsmethode--desc | {{var | Schritt2--authentifizierungsmethode--desc | ||
| Alternativ: | | Alternativ: | ||
* {{Button| X.509 Zertifikat}} | * {{Button|X.509 Zertifikat}} | ||
* {{Button| RSA}} (Nicht bei IKEv2 !) | * {{Button|RSA}} (Nicht bei IKEv2 !) | ||
| Alternatively: | | Alternatively: | ||
* {{Button| X.509 Certificate}} | * {{Button|X.509 Certificate}} | ||
* {{Button| RSA}} (Not with IKEv2 !) | * {{Button|RSA}} (Not with IKEv2 !) }} | ||
{{var | Schritt2--psk--desc | {{var | Schritt2--psk--desc | ||
| Ein beliebiger PSK | | Ein beliebiger PSK | ||
Zeile 124: | Zeile 103: | ||
| Kopiert den PSK in die Zwischenablage | | Kopiert den PSK in die Zwischenablage | ||
| Copies the PSK to the clipboard }} | | Copies the PSK to the clipboard }} | ||
{{var | Schritt2--x509--val | {{var | Schritt2--x509--val | ||
| Server-Zertifikat | | Server-Zertifikat | ||
Zeile 139: | Zeile 115: | ||
| Privater RSA-Schlüssel: | | Privater RSA-Schlüssel: | ||
| Private RSA key: }} | | Private RSA key: }} | ||
{{var | Schritt2--RSA--desc | {{var | Schritt2--RSA--desc | ||
| Auswahl eines RSA-Schlüssels | | Auswahl eines RSA-Schlüssels | ||
Zeile 148: | Zeile 121: | ||
| Netzwerke freigeben: | | Netzwerke freigeben: | ||
| Share networks: }} | | Share networks: }} | ||
{{var | Schritt2--Netzwerke--desc | {{var | Schritt2--Netzwerke--desc | ||
| Netzwerke für die IPSec-Verbindung freigeben | | Netzwerke für die IPSec-Verbindung freigeben | ||
Zeile 166: | Zeile 136: | ||
| UTMv12.2.4_IPSEC_Assitent3.png | | UTMv12.2.4_IPSEC_Assitent3.png | ||
| UTMv12.2.4_IPSEC_Assitent3-en.png }} | | UTMv12.2.4_IPSEC_Assitent3-en.png }} | ||
{{var | GatewayID Hinweis | {{var | GatewayID Hinweis | ||
| Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt | | Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt | ||
Zeile 188: | Zeile 152: | ||
| Yes }} | | Yes }} | ||
{{var | Benutzerdialog--desc | {{var | Benutzerdialog--desc | ||
| Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.<br>Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte. | | Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.<br> Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte. | ||
| Opens the user dialog of the UTM after the wizard is done.<br>For the establishment of this connection the input of user data is necessary. The user needs the necessary rights. }} | | Opens the user dialog of the UTM after the wizard is done.<br> For the establishment of this connection the input of user data is necessary. The user needs the necessary rights. }} | ||
{{var | Öffentlicher RSA-Schlüssel | {{var | Öffentlicher RSA-Schlüssel | ||
| Öffentlicher RSA-Schlüssel: | | Öffentlicher RSA-Schlüssel: | ||
Zeile 202: | Zeile 166: | ||
| IP-Adresse / Pool: | | IP-Adresse / Pool: | ||
| IP address / pool: }} | | IP address / pool: }} | ||
{{var | IP-Adresse Pool--desc | {{var | IP-Adresse Pool--desc | ||
| IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen | | IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen | ||
Zeile 229: | Zeile 190: | ||
| Nur bei ''IKEv1 - Native'' | | Nur bei ''IKEv1 - Native'' | ||
| Only for ''IKEv1 - Native'' }} | | Only for ''IKEv1 - Native'' }} | ||
{{var | EAP-MSCHAPV2--desc | {{var | EAP-MSCHAPV2--desc | ||
| EAP-MSCHAPV2 wird verwendet | | EAP-MSCHAPV2 wird verwendet | ||
| EAP-MSCHAPV2 is in use }} | | EAP-MSCHAPV2 is in use }} | ||
{{var | Zertifikat Gegenstelle | {{var | Zertifikat Gegenstelle | ||
| Das Zertifikat für die Gegenstelle | | Das Zertifikat für die Gegenstelle | ||
Zeile 251: | Zeile 206: | ||
| The authentication method selected here EAP-TLS }} | | The authentication method selected here EAP-TLS }} | ||
{{var | Benutzergruppe | {{var | Benutzergruppe | ||
| Benutzergruppe | | Benutzergruppe | ||
| User groups | | User groups }} | ||
{{var | Benutzergruppe--desc | {{var | Benutzergruppe--desc | ||
| Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden. | | Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden. | ||
Zeile 271: | Zeile 223: | ||
| Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird. | | Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird. | ||
| Additional IP address for the roadwarrior with which the IPSec connection is established. }} | | Additional IP address for the roadwarrior with which the IPSec connection is established. }} | ||
{{var | | {{var | 1=Schritt4--IPadresse--phase2 | ||
| 2=Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.222.0/24}} eingetragen. | |||
| | | 3=For this example, after the wizard has finished, the ip-address just dedicated is edited {{Button||w}} and for the {{b|Remote network}} the value {{ic|192.168.222.0/24}} is entered. }} | ||
| For this example, after the wizard has finished, the ip-address just dedicated is edited {{Button||w}} and for the {{b|Remote network}} the value {{ic|192.168.222.0/24}} is entered. }} | |||
{{var | wizard-beenden | {{var | wizard-beenden | ||
| Beenden des Einrichtungsassistenten mit {{Button| Fertig }} | | Beenden des Einrichtungsassistenten mit {{Button|Fertig}} | ||
| Exit the setup wizard with {{Button|Finish}} }} | | Exit the setup wizard with {{Button|Finish}} }} | ||
{{var | Regelwerk | {{var | Regelwerk | ||
Zeile 289: | Zeile 240: | ||
{{var | Implizite Regeln--hinweis | {{var | Implizite Regeln--hinweis | ||
| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei. | | Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei. | ||
| It is possible | | It is possible but '''not recommended''' to do this with implied rules in {{Menu|Firewall|Implied Rules}} section {{ic|VPN}} and section {{ic|IPSec Traffic}}. However, these implied rules enable the ports used for IPSec connections on '''all''' interfaces. }} | ||
{{var | Screenshots | {{var | Screenshots | ||
| Screenshots zeigen | | Screenshots zeigen | ||
Zeile 308: | Zeile 259: | ||
| Implizite Regeln, Abschnitt IPSec Traffic | | Implizite Regeln, Abschnitt IPSec Traffic | ||
| Implied rules, section IPSec Traffic }} | | Implied rules, section IPSec Traffic }} | ||
{{var | Netzwerkobjekt | {{var | Netzwerkobjekt anlegen | ||
| Netzwerkobjekt anlegen | | Netzwerkobjekt anlegen | ||
| Creating a network object }} | | Creating a network object }} | ||
Zeile 323: | Zeile 274: | ||
| UTM v11.8.8 Netzwerkobjekt IPSec-native.png | | UTM v11.8.8 Netzwerkobjekt IPSec-native.png | ||
| UTM v11.8.8 Netzwerkobjekt IPSec-native-en.png }} | | UTM v11.8.8 Netzwerkobjekt IPSec-native-en.png }} | ||
{{var | | {{var | Typ | ||
| Typ | |||
| Type }} | |||
| Typ | |||
| Type | |||
{{var | Netzwerkobjekte----typ--val | {{var | Netzwerkobjekte----typ--val | ||
| VPN-Netzwerk | | VPN-Netzwerk | ||
Zeile 341: | Zeile 289: | ||
| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. | | Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. | ||
| roadwarrior IP address or the roadwarrior pool entered in the ''Installation Wizard'' in step 4 (or subsequently adjusted in phase 2).<br> In this example the network 192.168.222.0/24. }} | | roadwarrior IP address or the roadwarrior pool entered in the ''Installation Wizard'' in step 4 (or subsequently adjusted in phase 2).<br> In this example the network 192.168.222.0/24. }} | ||
{{var | Netzwerkobjekte--zone--desc | {{var | Netzwerkobjekte--zone--desc | ||
| zu wählende Zone | | zu wählende Zone | ||
| zone to be selected }} | | zone to be selected }} | ||
{{var | | {{var | Gruppe | ||
| Gruppe | | Gruppe | ||
| Group | | Group }} | ||
{{var | Netzwerkobjekte--gruppe--desc | {{var | Netzwerkobjekte--gruppe--desc | ||
| Optional: Gruppe | | Optional: Gruppe | ||
| Optional: Group }} | | Optional: Group }} | ||
{{var | | {{var | Portfilter Regeln | ||
| Portfilter Regeln | | Portfilter Regeln | ||
| Port filter rules }} | | Port filter rules }} | ||
Zeile 363: | Zeile 308: | ||
| Port filter rule }} | | Port filter rule }} | ||
{{var | regel1--desc | {{var | regel1--desc | ||
| Portfilter Regel anlegen unter {{Menu|Firewall|Portfilter|Portfilter| | | Portfilter Regel anlegen unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}}<br> Die erste Regel ermöglicht, dass der IPSec-Tunnel überhaupt aufgebaut wird. | ||
| Add portfilter rule at {{Menu|Firewall|Portfilter|Portfilter|Add Rule|+}}<br>The first rule allows the IPSec tunnel to be built at all. }} | | Add portfilter rule at {{Menu|Firewall|Portfilter|Portfilter|Add Rule|+}}<br> The first rule allows the IPSec tunnel to be built at all. }} | ||
{{var | Quelle | {{var | Quelle | ||
| Quelle | | Quelle | ||
Zeile 383: | Zeile 328: | ||
| Vordefinierte Dienstgruppe für IPSec | | Vordefinierte Dienstgruppe für IPSec | ||
| Predefined service group for IPSec }} | | Predefined service group for IPSec }} | ||
{{var | regel1--dienst--info | {{var | 1=regel1--dienst--info | ||
| Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp | | 2=Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp | ||
| Service / Protocol, Port isakmp / udp 500 nat-traversal / udp 4500 Protocol esp | | 3=Service / Protocol, Port isakmp / udp 500 nat-traversal / udp 4500 Protocol esp }} | ||
{{var | regel3--desc | {{var | regel3--desc | ||
| Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. | | Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. | ||
| A second rule allows the roadwarrior to access the desired network, host or network group. }} | | A second rule allows the roadwarrior to access the desired network, host or network group. }} | ||
{{var | regel3--quelle--desc | {{var | regel3--quelle--desc | ||
| Roadwarrior -Host oder -Netzwerk | | Roadwarrior-Host oder -Netzwerk | ||
| Roadwarrior host or network }} | | Roadwarrior host or network }} | ||
{{var | regel3--ziel--desc | {{var | regel3--ziel--desc | ||
Zeile 414: | Zeile 347: | ||
| Now a connection with a roadwarrior can be established. }} | | Now a connection with a roadwarrior can be established. }} | ||
{{var | verbindung--parameter--desc | {{var | verbindung--parameter--desc | ||
| Hierzu muss ggf. ein Client verwendet werden. {{ | | Hierzu muss ggf. ein Client verwendet werden. {{Alert|g}} Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind. | ||
| A client may have to be used for this. {{ | | A client may have to be used for this. {{Alert|g}} It must be ensured that the parameters on both sides are identical in all phases of the connection. }} | ||
{{var | verbindung--parameter--val | {{var | verbindung--parameter--val | ||
| Notwendige Änderungen, bei Verwendung eines NCP-Clients: | | Notwendige Änderungen, bei Verwendung eines NCP- oder Greenbow-Clients: | ||
* '''UTM''' | * '''UTM''' | ||
** Diffie-Hellman Group ''(Phase 1)'' | ** Diffie-Hellman Group ''(Phase 1)'' | ||
** DH-Gruppe (PFS) ''(Phase 2)''<br>'''oder''' | ** DH-Gruppe (PFS) ''(Phase 2)''<br>'''oder''' | ||
* '''NCP-Client:''' | * '''NCP- oder Greenbow-Client:''' | ||
** IKE-DH-Gruppe | ** IKE-DH-Gruppe | ||
Bei Verwendung von '''IKEv1''' außerdem: | Bei Verwendung von '''IKEv1''' außerdem: | ||
* '''NCP-Client:''' | * '''NCP- oder Greenbow-Client:''' | ||
** Austausch-Modus: ''Main Mode (IKEv1)'' | ** Austausch-Modus: ''Main Mode (IKEv1)'' | ||
** ''Config_mode'' aktivieren | |||
| Necessary changes, when using an NCP client: | | Necessary changes, when using an NCP client: | ||
* '''UTM''' | * '''UTM''' | ||
** Diffie-Hellman Group ''(Phase 1)'' | ** Diffie-Hellman Group ''(Phase 1)'' | ||
** DH-Group (PFS) ''(Phase 2)''<br>'''or''' | ** DH-Group (PFS) ''(Phase 2)''<br>'''or''' | ||
* '''NCP-Client:''' | * '''NCP- or Greenbow-Client:''' | ||
** IKE-DH-Group | ** IKE-DH-Group | ||
Additionally when using '''IKEv1''': | Additionally when using '''IKEv1''': | ||
* '''NCP-Client:''' | * '''NCP- or Greenbow-Client:''' | ||
** Exchange mode: ''Main Mode (IKEv1)'' | ** Exchange mode: ''Main Mode (IKEv1)'' | ||
** Activate ''Config_mode'' }} | |||
{{var | Weitere Einstellungen | {{var | Weitere Einstellungen | ||
| Weitere Einstellungen | | Weitere Einstellungen | ||
Zeile 468: | Zeile 376: | ||
| Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren: | | Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren: | ||
| In addition to the settings that have already been set in the wizard, further parameters can be configured: }} | | In addition to the settings that have already been set in the wizard, further parameters can be configured: }} | ||
{{var | Unterschied IKEv1 und IKEv2 | {{var | Unterschied IKEv1 und IKEv2 | ||
| Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4: | | Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4: | ||
| In setup step 2, two fundamentally different connection types are available for selection. Depending on whether a connection type of IKEv1, or IKEv2 is selected, the upcoming setup steps 3 and 4 differ: }} | | In setup step 2, two fundamentally different connection types are available for selection. Depending on whether a connection type of IKEv1, or IKEv2 is selected, the upcoming setup steps 3 and 4 differ: }} | ||
{{var | Schritt3-IKEv1--Bild | {{var | Schritt3-IKEv1--Bild | ||
| UTMv12.2.4_IPSEC_IKEv1_Assitent3.png | | UTMv12.2.4_IPSEC_IKEv1_Assitent3.png | ||
Zeile 523: | Zeile 404: | ||
| }} | | }} | ||
{{var | 1=IKEv1 - L2TP--Info2 | {{var | 1=IKEv1 - L2TP--Info2 | ||
| 2=Ausgeblendete | | 2=Ausgeblendete Menüschaltflächen aktivieren: <i class=key>Strg</i> + <i class=key>Alt</i> + <i class=key>A</i> | ||
| 3= }} | | 3= }} | ||
UTM/VPN/IPSec-S2E.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki