Aller à :navigation, rechercher
Wiki

UTM/VPN/IPSec-S2E v.12.2.5

De Securepoint Wiki





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht



















































































































De.png
En.png
Fr.png






12.2.5
  • (v12.2.4)
  • (v12.2.4)
  • (v12.2.4)

12.2.3 11.8 11.7 11.6.12

→ VPN →IPSec


Einleitung

Einrichtungsassistent

Schritt 1 -
[[Datei: ]]
1
  • Roadwarrior
  • Site to Site

2 -
Name: IPSec Roadwarrior [[Datei:]]
2
IKEv1 - Native
IKEv1 - L2TP
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native

– IKEv1
3 - - IKEv1
Local Gateway ID:    
[[Datei:]]
3 - IKEv1
   

'

'		    

– IKEv2
3 - - IKEv2
Local Gateway ID:    
[[Datei:]]
3 - IKEv2
'
v12.2.4
   
v12.2.5

'
   

– IKEv1
4 - - IKEv1

'		 [[Datei: ]]
4 - IKEv1

'		    

'
Remote Gateway ID:
'		 192.0.2.192

   
  

'		 192.168.222.35


    • – IKEv2
    4 - - IKEv2

    '    		 [[Datei: ]]
    4 - IKEv2
       

    '

    '

    12.2.4

    '

    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN
    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic
    Netzwerkobjekt anlegen

    → Firewall →PortfilterNetzwerkobjekte Objekt hinzufügen

    UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekt
    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe
    Portfilter Regeln
    		 UTM v11.8.8 Portfilter IPSec.png
    Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird.
    World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec
    Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
      

    Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Vpn-network.svg IPSec Roadwarrior Roadwarrior -Host oder -Netzwerk
    Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe



    IKEv1

    Step-by-step.png



























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS): {{var | keine | keine | none

























    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSec Phase 1

    [[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]

    Default
    Outgoing
    Incoming
    Route
    Ignore
  • 30Link=
  • 10Link=

    12.2.4
    Default
    Default-Werte UTM Default-Werte NCP-Client [[Datei: ]]
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    •  :
    Strict:
    1 Stunde
      

    Phase 2
    → VPN →IPSec Phase 2

    :

    Default-Werte UTM Default-Werte NCP-Client [[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
    aes128 AES 128 Bit
    sha2_256 SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)

  • Schlüssel-Lebensdauer: 8
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)

  • :

  • 12.2.4

  • [[Datei: ]]
       

    		   

    '



  • root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24



    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		[[Datei: ]]
    '


    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24



    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		[[Datei: ]]



    IKEv2

    Step-by-step.png



























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS): {{var | keine | keine | none

























    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSec Phase 1

    [[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]

    Default
    Outgoing
    Incoming
    Route
    Ignore
  • 30Link=
  • 10Link=

    12.2.4
    Default
    Default-Werte UTM Default-Werte NCP-Client [[Datei: ]]
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    •  :
    Strict:
    1 Stunde
      

    Phase 2
    → VPN →IPSec Phase 2

    :

    Default-Werte UTM Default-Werte NCP-Client [[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
         		[[Datei: ]]
    aes128 AES 128 Bit
    sha2_256 SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)

  • Schlüssel-Lebensdauer: 8
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)

  • :

  • 12.2.4

  • [[Datei: ]]
       

    		   

    '



  • root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24



    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		[[Datei: ]]
    '


    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24



    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		[[Datei: ]]


    Récupérée de « https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-S2E_v.12.2.5&oldid=85736 »