Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/IPSec-S2E v12.4: Unterschied zwischen den Versionen

Aus Securepoint Wiki
K (Weiterleitung auf UTM/VPN/IPSec-S2E v11.8 entfernt)
Markierung: Weiterleitung entfernt
KKeine Bearbeitungszusammenfassung
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/VPN/IPSec-S2E}}
{{Set_lang}}
{{Set_lang}}


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/VPN/IPSec-S2E.lang}}


</div>{{Select_lang}}{{TOC2}}
{{var | display
{{Header|12.2.3|
| IPSec - End to Site / Roadwarrior
* {{#var:neu--DPD}}
| IPSec - End to Site / Roadwarrior }}
|[[UTM/VPN/IPSec-S2E_v11.8 | 11.8]]
{{var | head
| Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
| Configuration of an End-to-Site-connection with IPSec for Roadwarrior }}
{{var | Verbindungen
| Verbindungen
| Connections }}
{{var | Einleitung
| Einleitung
| Introduction }}
{{var | Einleitung--desc
| Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.<br> In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.<br> Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.
| A Roadwarrior connection connects individual hosts to the local network. This allows, for example, a field service employee to connect to the network of the headquarters.<br> This step-by-step guide shows how to configure an end-to-site connection. The selected connection type is native IPSec with IKEv1.<br>For native IPSec connections with IKEv1 the client needs a separate program. }}
{{var | Konfiguration
| Konfiguration einer nativen IPSec Verbindung
| Configuration of a native IPSec connection }}
{{var | Konfiguration--desc
| Neue Verbindungen werden im Menü {{Menu|VPN|IPSec|Verbindungen| IPSec Verbindung hinzufügen|+|mit=true}} hinzugefügt.
| New connections can be added in the menu {{Menu|VPN|IPSec|Connections| Add IPSec Connection|+|mit=true}} }}
{{var | Einrichtungsassistent
| Einrichtungsassistent
| Wizard }}
{{var | Verbindungstyp
| Verbindungstyp
| Connection Type }}
{{var | Schritt
| Schritt
| Step }}
{{var | Schritt1--Bild
| UTMv11.8.8_IPSEC_Assitent1.png
| UTMv11.8.8_IPSEC_Assitent1-en.png }}
{{var | Einrichtungsschritt
| Einrichtungsschritt
| Wizard step }}
{{var | Schritt1--Auswahl
| Auswahl des Verbindungs-Typs
| Selection of the connection type }}
{{var | Schritt1--val
| Es stehen folgende Verbindungen zur Verfügung:
| The following connections are available: }}
{{var | Schritt1--desc
| Für die Konfiguration einer E2S / End-to-Site-Verbindung wird '''Roadwarrior''' ausgewählt.
| For the configuration of an E2S / End-to-Site-connection ''' Roadwarrior''' is to be selected. }}
{{var | Allgemein
| Allgemein
| General }}
{{var | Schritt2--Name--desc
| Name für die Verbindung
| Name for the connection }}
{{var | Schritt2--Bild
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2.png
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent2-en.png }}
{{var | Schritt2--mögliche-verbindungstypen
| Mögliche Verbindungstypen:
| Possible connection types: }}
{{var | Schritt2--Verbindungstyp--Hinweis
| Bitte beachten, welcher Typ vom Betriebssystem [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | unterstützt wird. ]]
| Please note which type is [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | supported ]] by the operating system  }}
{{var | Schritt2--authentifizierungsmethode
| Authentifizierungsmethode:
| Authentication method: }}
{{var | Pre-Shared Key--desc
| Ein Pre-Shared Key wird verwendet
| A pre-shared key is in use }}
{{var | Zertifikat
| Zertifikat
| Certificate }}
{{var | Zertifikat--desc
| Ein vorhandenes Zertifikat wird verwendet
| An existing certificate is being used }}
{{var | RSA--desc
| Ein vorhandener privater RSA-Schlüssel wird verwendet
| An existing private RSA key is in use }}
{{var | EAP-TLS--desc
| EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
| EAP-TLS is used. Required for MSCHAPv2. }}
{{var | Neu ab
| Neu ab
| New as of }}
{{var | Nur mit IKEv2--Hinweis
| Nur bei IKEv2
| Only with IKEv2 }}
{{var | Schritt2--authentifizierungsmethode--desc
| Alternativ:
* {{Button|X.509 Zertifikat}}
* {{Button|RSA}} (Nicht bei IKEv2 !)
| Alternatively:
* {{Button|X.509 Certificate}}
* {{Button|RSA}} (Not with IKEv2 !) }}
{{var | Schritt2--psk--desc
| Ein beliebiger PSK
| An arbitrary PSK }}
{{var | Schlüssel erstellen--desc
| Erstellt einen sehr starken Schlüssel
| Creates a very strong key }}
{{var | Schlüssel kopieren--desc
| Kopiert den PSK in die Zwischenablage
| Copies the PSK to the clipboard }}
{{var | Schritt2--x509--val
| Server-Zertifikat
| Server Certificate }}
{{var | Schritt2--x509--desc
| Auswahl eines Zertifikates
| Selection of a certificate }}
{{var | 1=x509 Hinweis
| 2=Nur bei Authentifizierungsmethode<ul class=normal><li>''Zertifikat'' und</li><li>''EAP-TLS''</li></ul>
| 3=Only for authentication method<ul class=normal><li>''Certificate'' and</li><li>''EAP-TLS''</li></ul> }}
{{var | Schritt2--RSA--cap
| Privater RSA-Schlüssel:
| Private RSA key: }}
{{var | Schritt2--RSA--desc
| Auswahl eines RSA-Schlüssels
| Selecting an RSA key }}
{{var | Schritt2--Netzwerke
| Netzwerke freigeben:
| Share networks: }}
{{var | Schritt2--Netzwerke--desc
| Netzwerke für die IPSec-Verbindung freigeben
| Enable networks for the IPSec connection }}
{{var | Netzwerke Hinweis
| Nur bei ''IKEv1 - Native''
| Only for ''IKEv1 - Native'' }}
{{var | Lokal
| Lokal
| Local }}
{{var | Schritt3--gatewayID--desc
| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
| The gateway ID is included in the authentication. This can be an IP address, a host name or an interface. }}
{{var | Schritt3--Bild
| UTMv12.2.4_IPSEC_Assitent3.png
| UTMv12.2.4_IPSEC_Assitent3-en.png }}
{{var | GatewayID Hinweis
| Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt
| Automatically filled in when an X.509 certificate is selected  }}
{{var | Gegenstelle
| Gegenstelle
| Remote terminal }}
{{var | Benutzerdialog
| Öffne Benutzerdialog nach Beendigung:
| Open user dialog after completion: }}
{{var | 1=IKEv1 - L2TP XAuth
| 2=Nur bei <ul class=normal><li>IKEv1 - L2TP und</li><li>IKEv1 - XAuth</li></ul>
| 3=Only with <ul class=normal><li>IKEv1 - L2TP and</li><li>IKEv1 - XAuth</li></ul> }}
{{var | Ja
| Ja
| Yes }}
{{var | Benutzerdialog--desc
| Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.<br> Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte.
| Opens the user dialog of the UTM after the wizard is done.<br> For the establishment of this connection the input of user data is necessary. The user needs the necessary rights. }}
{{var | Öffentlicher RSA-Schlüssel
| Öffentlicher RSA-Schlüssel:
| Public RSA key: }}
{{var | Öffentlicher RSA-Schlüssel--desc
| Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle
| The required public RSA key of the remote terminal }}
{{var | Öffentlicher RSA-Schlüssel Hinweis
| Nur bei Authentifizierungsmethode ''RSA''
| Only for authentication method ''RSA'' }}
{{var | IP-Adresse Pool
| IP-Adresse / Pool:
| IP address / pool: }}
{{var | IP-Adresse Pool--desc
| IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
| IP address, or pool for establishing the IPSec connections }}
{{var | IP-Adresse Pool Hinweis
| Nur bei ''IKEv1 - XAuth''
| Only for ''IKEv1 - XAuth'' }}
{{var | 1=IKEv2 ohne PSK
| 2=Nur bei Authentifizierungsmethode<ul><li>''Zertifikat'' oder</li><li>''EAP-TLS''</li></ul>
| 3=Only for authentication method<ul><li>''Certificate'' or</li><li>''EAP-TLS''</li></ul> }}
{{var | oder
| oder
| or }}
{{var | Schritt4--gatewayID--val
| Mein_Roadwarrior
| My_Roadwarrior }}
{{var | Schritt4--gatewayID--desc
| Wird mehr als '''eine''' IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
| If more than '''one''' IPSec connection is established, a unique ID should be entered here. The password of incoming connections is validated against the ID of the IPSec connection. }}
{{var | Schritt4--gatewayID--info
| Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
| If no IP address is specified as ID, further settings must be made for site-to-site connections. }}
{{var | Remote Gateway ID Hinweis
| Nur bei ''IKEv1 - Native''
| Only for ''IKEv1 - Native'' }}
{{var | EAP-MSCHAPV2--desc
| EAP-MSCHAPV2 wird verwendet
| EAP-MSCHAPV2 is in use }}
{{var | Zertifikat Gegenstelle
| Das Zertifikat für die Gegenstelle
| The certificate for the remote terminal }}
{{var | Zertifikat Hinweis
| Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
| Two different certificates must be selected for the local and remote side. }}
{{var | Zertifikat Hinweis 2
| Bei der hier gewählten Authentifizierungsmethode Zertifikat
| The authentication method selected here Certificate }}
{{var | Zertifikat Hinweis EAP-TLS
| Bei der hier gewählten Authentifizierungsmethode EAP-TLS
| The authentication method selected here EAP-TLS }}
{{var | Benutzergruppe
| Benutzergruppe
| User groups }}
{{var | Benutzergruppe--desc
| Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden.
| Selection of the authorized user group. This must be created beforehand. }}
{{var | Benutzergruppe--Hinweis
| Nur bei ''EAP-MSCHAPv2''
| Only for ''EAP-MSCHAPv2'' }}
{{var | Schritt4--gatewayID--bild
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent4.png
| UTMv12.2.4_IPSEC_S2E_ikev2_Assitent4-en.png }}
{{var | Schritt4--IPadresse--cap
| IP-Adresse(n):
| IP Address(es): }}
{{var | Schritt4--IPadresse--desc
| Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.
| Additional IP address for the Roadwarrior with which the IPSec connection is established. }}
{{var | 1=Schritt4--IPadresse--phase2
| 2=Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.222.0/24}} eingetragen.
| 3=For this example, after the wizard has finished, the ip-address just dedicated is edited {{Button||w}} and for the {{b|Remote network}} the value {{ic|192.168.222.0/24}} is entered. }}
{{var | wizard-beenden
| Beenden des Einrichtungsassistenten mit {{Button|Fertig}}
| Exit the setup wizard with {{Button|Finish}} }}
{{var | Regelwerk
| Regelwerk
| Set of rules }}
{{var | Regelwerk--desc
| Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.
| To grant access to the internal network, the connection must be allowed. }}
{{var | Implizite Regeln
| Implizite Regeln
| Implied rules }}
{{var | Implizite Regeln--hinweis
| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei.
| It is possible but '''not recommended''' to do this with implied rules in {{Menu|Firewall|Implied Rules}} section {{ic|VPN}} and section {{ic|IPSec Traffic}}. However, these implied rules enable the ports used for IPSec connections on '''all''' interfaces. }}
{{var | Screenshots
| Screenshots zeigen
| Show screenshots }}
{{var | ausblenden
| ausblenden
| hide }}
{{var | Implizite Regeln--bild1
| UTM_v11.8.8_Implizite-Regeln_IPSec.png
| UTM_v11.8.8_Implizite-Regeln_IPSec-en.png }}
{{var | Implizite Regeln--bild1--cap
| Implizite Regeln, Abschnitt VPN
| Implied rules, VPN section }}
{{var | Implizite Regeln--bild2
| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png
| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic-en.png }}
{{var | Implizite Regeln--bild2--cap
| Implizite Regeln, Abschnitt IPSec Traffic
| Implied rules, section IPSec Traffic }}
{{var | Netzwerkobjekt anlegen
| Netzwerkobjekt anlegen
| Creating a network object }}
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Network objects }}
{{var | Netzwerkobjekte--hinzufügen
| Objekt hinzufügen
| Add object }}
{{var | Netzwerkobjekte--name--desc
| Name für das IPSec-Netzwerkobjekt
| Name for the IPSec network object }}
{{var | Netzwerkobjekte--bild
| UTM v11.8.8 Netzwerkobjekt IPSec-native.png
| UTM v11.8.8 Netzwerkobjekt IPSec-native-en.png }}
{{var | Typ
| Typ
| Type }}
{{var | Netzwerkobjekte----typ--val
| VPN-Netzwerk
| VPN network }}
{{var | Netzwerkobjekte--typ--desc
| zu wählender Typ
| type to be selected }}
{{var | Netzwerkobjekte--adresse
| Adresse:
| Address: }}
{{var | Netzwerkobjekte--adresse--desc
| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24.
| Roadwarrior IP address or the Roadwarrior pool entered in the ''Installation Wizard'' in step 4 (or subsequently adjusted in phase 2).<br> In this example the network 192.168.222.0/24. }}
{{var | Netzwerkobjekte--zone--desc
| zu wählende Zone
| Zone to be selected }}
{{var | Gruppe
| Gruppe
| Group }}
{{var | Netzwerkobjekte--gruppe--desc
| Optional: Gruppe
| Optional: Group }}
{{var | Portfilter Regeln
| Portfilter Regeln
| Portfilter rules }}
{{var | regeln--bild
| UTM_v11.8.8_Portfilter-Regel_IPSec-ikev1.png
| UTM_v11.8.8_Portfilter-Regel_IPSec-ikev1-en.png }}
{{var | regeln--bild--cap
| Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
| Portfilter rule }}
{{var | regel1--desc
| Portfilter Regel anlegen unter {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}}<br> Die erste Regel ermöglicht, dass der IPSec-Tunnel überhaupt aufgebaut wird.
| Add portfilter rule at {{Menu|Firewall|Portfilter|Portfilter|Add Rule|+}}<br> The first rule allows the IPSec tunnel to be built at all. }}
{{var | Quelle
| Quelle
| Source }}
{{var | regel1--quelle--desc
| Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
| Source from which access to the internal network is to be made. }}
{{var | Ziel
| Ziel
| Destination }}
{{var | regel1--ziel--desc
| Schnittstelle, auf der die Verbindung ankommt.
| Interface on which the connection is received. }}
{{var | Dienst
| Dienst
| Service }}
{{var | regel1--dienst--desc
| Vordefinierte Dienstgruppe für IPSec
| Predefined service group for IPSec }}
{{var | 1=regel1--dienst--info
| 2=Dienst / Protokoll, Port &#10;isakmp / udp 500 &#10;nat-traversal / udp 4500 &#10;&#10;Protokoll esp
| 3=Service / Protocol, Port &#10;isakmp / udp 500 &#10;nat-traversal / udp 4500 &#10;&#10;Protocol esp }}
{{var | regel3--desc
| Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
| A second rule allows the Roadwarrior to access the desired network, host or network group. }}
{{var | regel3--quelle--desc
| Roadwarrior-Host oder -Netzwerk
| Roadwarrior host or network }}
{{var | regel3--ziel--desc
| Netzwerk, auf das zugegriffen werden soll.
| Network to be accessed. }}
{{var | regel3--dienst--desc
| Gewünschter Dienst oder Dienstgruppe
| Desired service or service group }}
{{var | verbindung-herstellen
| Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
| Now a connection with a Roadwarrior can be established. }}
{{var | verbindung--parameter--desc
| Hierzu muss ggf. ein Client verwendet werden. {{Alert|g}} Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.
| A client may have to be used for this. {{Alert|g}} It must be ensured that the parameters on both sides are identical in all phases of the connection. }}
{{var | verbindung--parameter--val
| Notwendige Änderungen, bei Verwendung eines NCP- oder Greenbow-Clients:
* '''UTM'''
** Diffie-Hellman Group ''(Phase 1)''
** DH-Gruppe (PFS) ''(Phase 2)''<br>'''oder'''
* '''NCP- oder Greenbow-Client:'''
** IKE-DH-Gruppe
Bei Verwendung von '''IKEv1''' außerdem:
* '''NCP- oder Greenbow-Client:'''
** Austausch-Modus: ''Main Mode (IKEv1)''
** ''Config_mode'' aktivieren
| Necessary changes, when using an NCP client:
* '''UTM'''
** Diffie-Hellman Group ''(Phase 1)''
** DH-Group (PFS) ''(Phase 2)''<br>'''or'''
* '''NCP- or Greenbow-Client:'''
** IKE-DH-Group
Additionally when using '''IKEv1''':
* '''NCP- or Greenbow-Client:'''
** Exchange mode: ''Main Mode (IKEv1)''
** Activate ''Config_mode'' }}
{{var | Weitere Einstellungen
| Weitere Einstellungen
| Additional settings }}
{{var | Weitere Einstellungen--desc
| Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:
| In addition to the settings that have already been set in the wizard, further parameters can be configured: }}
{{var | Unterschied IKEv1 und IKEv2
| Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:
| In setup step 2, two fundamentally different connection types are available for selection. Depending on whether a connection type of IKEv1, or IKEv2 is selected, the upcoming setup steps 3 and 4 differ: }}
{{var | Schritt3-IKEv1--Bild
| UTMv12.2.4_IPSEC_IKEv1_Assitent3.png
| UTMv12.2.4_IPSEC_IKEv1_Assitent3-en.png }}
{{var | Schritt4-IKEv1--gatewayID--bild
| UTMv12.2.4_IPSEC_S2E_ikev1_Assitent4.png
| UTMv12.2.4_IPSEC_S2E_ikev1_Assitent4-en.png }}
{{var | Einstellungen IKEv1
| Weitere Einstellungen für IKEv1 einblenden
| Show more settings for IKEv1 }}
{{var | Einstellungen IKEv1 ausblenden
| Weitere Einstellungen für IKEv1 ausblenden
| Hide more settings for IKEv1 }}
{{var | Einstellungen IKEv2
| Weitere Einstellungen für IKEv2 einblenden
| Show more settings for IKEv2 }}
{{var | Einstellungen IKEv2 ausblenden
| Weitere Einstellungen für IKEv2 ausblenden
| Hide more settings for IKEv2 }}
{{var | IKEv1 - L2TP nicht angezeigt
| Der Verbindungstyp IKEv1 - L2TP ist nur auswählbar, wenn L2TP auf Autostart steht, oder explizit im Admininterface aktiviert wird.
| The connection type IKEv1 - L2TP can only be selected if L2TP is set to Autostart or explicitly enabled in the admin interface. }}
{{var | IKEv1 - L2TP--Info
| L2TP aktivieren unter: {{Menu|Extras|Erweiterte Einstellungen|Ausgeblendete Funktionen}} {{b|L2TP aktivieren:}} {{ButtonAn|Ja}}
| Enable L2TP under: {{Menu|Extras|Advanced settings|Hidden functions}} {{b|Enable L2TP:}} {{ButtonAn|Ja}} }}
{{var | 1=IKEv1 - L2TP--Info2
| 2=Ausgeblendete Menüschaltflächen aktivieren: <i class=key>Strg</i> + <i class=key>Alt</i> + <i class=key>A</i>
| 3=Activate hidden menu buttons: <i class=key>Ctrl</i> + <i class=key>Alt</i> + <i class=key>A</i> }}
 
{{var | neu--MOBIKE
| Hinweis zur Nutzung von [[#Phase_1_2|MOBIKE]]
| Note for the use of [[#Phase_1_2|MOBIKE]] }}
{{var | neu--Einrichtungsassistent
| Änderungen in der Anordnung der Konfigurationsschritte im Assistenten
| Changes in the arrangement of the configuration steps in the assistant }}
{{var | neu--DHCP
| [[#Phase_2_2 | DHCP für IPSec in Phase 2 konfigurierbar]]
| [[#Phase_2_2 | DHCP configurable for IPSec in phase 2]] }}
{{var | neu--copy-psk
| [[#copy-psk | PSK in Zwischenablage kopieren]]
| [[#copy-psk | Copy psk to clippboard]] }}
{{var | neu--IKEv1 L2TP
| [[#L2TP ausgeblendet | Ausblendung von IKEv1 L2TP.]] Einblendung erst bei spezieller Aktivierung
| [[#L2TP ausgeblendet | Hide IKEv1 L2TP.]] Display only with special activation }}
{{var | neu--IKEv2 Phase 1
| [[#Phase_1_2 | IKEv2 Phase 1 aktualisiert]]
| [[#Phase_1_2 | IKEv2 Phase 1 updated]] }}
{{var | neu--config_mode
| Hinweis auf [[#Config_mode | Config_mode]] bei NCP- oder Greenbow-Clients
| Note on [[#Config_mode | Config_mode]] for NCP or Greenbow clients }}
 
 
</div>{{Select_lang}}{{TOC2|limit=3}}
{{Header|12.4|
* {{#var:neu--IKEv1 L2TP}}
* {{#var:neu--IKEv2 Phase 1}}
* {{#var:neu--copy-psk}}
* {{#var:neu--config_mode}}
* {{#var:neu--Einrichtungsassistent}} <small>(v12.2.4)</small>
* {{#var:neu--MOBIKE}} <small>(v12.2.4)</small>
* {{#var:neu--DHCP}} <small>(v12.2.4)</small>
|[[UTM/VPN/IPSec-S2E_v.12.2.5 | 12.2.5]]
[[UTM/VPN/IPSec-S2E_v12.2.3 | 12.2.3]]
[[UTM/VPN/IPSec-S2E_v11.8 | 11.8]]
[[UTM/VPN/IPSec-Roadwarrior | 11.7]]
[[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
[[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
|{{Menu|VPN|IPSec|{{#var:Verbindungen}} }}
}}
}}
<br>
----
 
 
=== {{#var:Einleitung}} ===
<div class="Einrücken">
{{#var:Einleitung--desc}}
<br clear=all></div>
----


=== {{#var: Einleitung| Einleitung }} ===
<div class="Einrücken">{{#var: Einleitung--desc}}</div>


=== {{#var: Konfiguration}} ===
=== {{#var: Konfiguration}} ===
<div class="Einrücken">{{#var: Konfiguration--desc}}</div>
<div class="Einrücken">
{{#var:Konfiguration--desc}}
</div>
 
==== {{#var:Einrichtungsassistent}} ====


==== {{#var: Einrichtungsassistent| Einrichtungsassistent }} ====
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
|- class="Leerzeile"
| class="Leerzeile" colspan="2" |
| class="Leerzeile" colspan="2"| {{h5|{{#var:Verbindungstyp}} | {{#var:Schritt}} 1 - {{#var:Verbindungstyp}} }}
{{h5| {{#var:Verbindungstyp}} | {{#var: Schritt| Schritt }} 1 - {{#var: Verbindungstyp}} }}
|-
|-
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}  
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}  
| class="Bild" rowspan="3" | {{Bild| {{#var: Schritt1--bild| UTMv11.8.8_IPSEC_Assitent1.png}} | {{#var: Einrichtungsschritt| Einrichtungsschritt }} 1 }}
| class="Bild" rowspan="3" | {{Bild|{{#var:Schritt1--Bild}} |{{#var: Einrichtungsschritt}} 1}}
|-
| {{#var:Schritt1--Auswahl}}
| {{#var:Schritt1--val}}
* {{ic|Roadwarrior|class=mw6}}
* {{ic|Site to Site|class=mw6}}
| {{#var: Schritt1--desc}}
|- class="Leerzeile"
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5|{{#var:Allgemein}} | {{#var:Schritt}} 2 - {{#var:Allgemein}} }}
|-
|-
| {{#var: Schritt1--Auswahl| Auswahl des Verbindungs-Typs }}  
| {{b|Name:}} || {{ic|IPSec Roadwarrior|class=available}} || {{#var:Schritt2--Name--desc}} || class="Bild" rowspan="3" | {{Bild|{{#var: Schritt2--Bild }} |{{#var:Einrichtungsschritt}} 2 }}
| {{#var: Schritt1--val| es stehen folgende Verbindungen zur Verfügung: }}
|- id="L2TP ausgeblendet"
* {{ic| '''Roadwarrior'''}}
| {{b|{{#var:Verbindungstyp}}:}} || {{Button|IKEv1 - Native|dr|class=available}} || {{#var:Schritt2--mögliche-verbindungstypen}}<br> {{Button|IKEv1 - XAuth|dr|class=mw12}}<br> {{Button|IKEv1 - Native|dr|class=mw12}}<br> {{Button|IKEv2 - Native|dr|class=mw12}}<br> {{Button|IKEv1 - L2TP|dr|class=mw12}}<br><br> {{Hinweis-box|{{#var:Neu ab}}: 12.4|gr|12.4|status=neu}}<br> {{#var:IKEv1 - L2TP nicht angezeigt}} {{Einblenden2|&nbsp;|{{#var:hide}}|true|info|{{#var:IKEv1 - L2TP--Info}} {{#var:IKEv1 - L2TP--Info2}} }}<br> {{#var:Schritt2--Verbindungstyp--Hinweis}}
* {{ic|Site to Site }}
|- class="Leerzeile"
| {{#var: Schritt1--desc| Für die Konfiguration einer Roadwarrior Verbindung wird eben diese ausgewählt. }}
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3"| {{Hinweis-box| {{#var:Unterschied IKEv1 und IKEv2}}|g}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| class="Leerzeile" colspan="3"|<br>{{h5|{{#var:Lokal}} – IKEv1 | {{#var:Schritt}} 3 - {{#var: Lokal}} - '''IKEv1'''}}
{{h5| {{#var:Allgemein}} | {{#var:Schritt}} 2 - {{#var:Allgemein }} }}
|-
|-
| {{b| Name: }} || {{ic| IPSec Roadwarrior }} || {{#var: Schritt2--Name--desc| Name für die Verbindung}} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Schritt2--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent2.png }} <!-- UTMv11.8.8_IPSEC_Assitent2.png --> | {{#var:Einrichtungsschritt}} 2 }}
| {{b|Local Gateway ID:}} || {{ic| |dr|class=available}} || {{#var:Schritt3--gatewayID--desc }}<br> {{Alert|gr}}{{#var:GatewayID Hinweis}}
| class="Bild" rowspan="10" | {{Bild|{{#var: Schritt3-IKEv1--Bild}} |{{#var:Einrichtungsschritt}} 3 - IKEv1}}
|-
|-
| {{b| {{#var: Schritt2--verbindungstyp--cap| Verbindungstyp: }} }} || {{Button| IKEv1 - Native |dr|w=140px}} || {{cl|{{#var: Schritt2--mögliche-verbindungstypen|Mögliche Verbindungstypen: }} | {{Button| IKEv1 - L2TP|dr|w=140px}}<br>{{Button| IKEv1 - XAuth |dr|w=140px}}<br>{{Button| IKEv1 - Native |dr|w=140px}}<br>{{Button| IKEv2 - Native |dr|w=140px}} | w=130px}}<br>
| rowspan="3"| {{b|{{#var: Schritt2--authentifizierungsmethode}} }}
{{#var: Schritt2--Verbindungstyp--Hinweis| Bitte beachten, welcher Typ vom Betriebssystem [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | unterstützt wird. ]] }}
| {{Button|Pre-Shared Key|dr|class=available}} || {{#var:Pre-Shared Key--desc}}
|-
|-
| {{b| {{#var: Schritt2--authentifizierungsmethode| Authentifizierungsmethode: }} }} || {{Button|PSK|blau}} || {{#var: Schritt2--authentifizierungsmethode--desc| Alternativ: <br>* {{Button| X.509 Zertifikat}} <br>* {{Button| RSA}} (Nicht bei IKEv2 !) }}
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
|-
| {{b| {{#var: Schritt2--psk--cap| Pre-Shared Key: }} }} || {{ic| 12345 }} || {{#var: Schritt2--psk--desc| Ein beiliebiger PSK. Mit der Schaltfläche {{Button|1=<span class="halflings halflings-key halflings-size-14"></span>}} wird ein sehr starker Schlüssel erzeugt. }}
| {{Button|RSA|dr|class=available}} || {{#var:RSA--desc}}
|-
|-
| {{b| {{#var: Schritt2--x509--cap| X.509 Zertifikat: }} }} || {{Button| {{#var: Schritt2--x509--val| Server-Zertifikat }} |dr}} || {{#var: Schritt2--x509--desc| Auswahl eines Zertifikates }}
| {{b|Pre-Shared Key:}} || {{ic||class=available}} || {{#var: Schritt2--psk--desc}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| {{b|X.509 {{#var:Zertifikat}}:}}<br> <small>'''{{#var:x509 Hinweis}}'''</small> || {{Button| {{#var: Schritt2--x509--val}} |dr|class=available}} || {{#var:Schritt2--x509--desc}}
{{h5| {{#var:Lokal}} | {{#var:Schritt}} 3 - {{#var: Lokal}} }}
|-
|-
| {{b| Local Gateway ID: }} || {{ic| eth0 | dr }} || {{#var: Schritt3--gatewayID--desc| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt3--bildd| UTMv11.8.8_IPSEC_Assitent3.png }} | {{#var:Einrichtungsschritt}} 3 }}
| {{b|{{#var:Schritt2--RSA--cap}} }} || {{Button|IPSec Key|dr|class=available}} || {{#var:Schritt2--RSA--desc}}
|-
|-
| {{b| {{#var: Schritt3--Netzwerk--cap| Netzwerk freigeben: }} }} || {{ic| 192.168.122.0/24|dr}} || {{#var: Schritt3--Netzwerk--desc| Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll }}
| {{b|{{#var:Schritt2--Netzwerke}} }}<br> <small>'''{{#var:Netzwerke Hinweis}}'''</small> || {{ic|192.168.250.0/24|dr|class=available}} || {{#var: Schritt2--Netzwerke--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5|{{#var:Lokal}} – IKEv2 | {{#var:Schritt}} 3 - {{#var: Lokal}} - IKEv2}}
|-
| {{b|Local Gateway ID:}} || {{ic| |dr|class=available}} || {{#var:Schritt3--gatewayID--desc }}<br> {{Alert|grün}}{{#var:GatewayID Hinweis}}
| class="Bild" rowspan="10" | {{Bild|{{#var:Schritt3--Bild}}|{{#var:Einrichtungsschritt}} 3 - IKEv2}}
|-
| rowspan="4"| {{b|{{#var: Schritt2--authentifizierungsmethode}} }}
| {{Button|Pre-Shared Key|dr|class=available}} || {{#var:Pre-Shared Key--desc}}
|-
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
| {{Button|RSA|dr|class=available}} || {{#var:RSA--desc}}
|-
| {{Button|EAP-TLS|dr|class=available}} <small>'''{{#var:Nur mit IKEv2--Hinweis}}'''</small>|| {{#var:EAP-TLS--desc}}
|-
| rowspan="3" |<span id=copy-psk></span>{{b|Pre-Shared Key:}} || {{ic||class=available}} || {{#var:Schritt2--psk--desc}}
|-
| {{Button||r}} || {{#var:Schlüssel erstellen--desc}}
|-
| {{Button||class=fas fa-copy icon}} || {{#var:Schlüssel kopieren--desc}}
|-
| {{b|X.509 {{#var:Zertifikat}}:}}<br> <small>'''{{#var:x509 Hinweis}}'''</small> || {{Button| {{#var: Schritt2--x509--val}} |dr|class=available}} || {{#var: Schritt2--x509--desc}}
|-
| {{b|{{#var:Schritt2--RSA--cap}} }} || {{Button|IPSec Key|dr|class=available}} || {{#var:Schritt2--RSA--desc}}
|-
| {{b|{{#var:Schritt2--Netzwerke}} }} || {{ic|192.168.250.0/24|dr|class=available}} || {{#var:Schritt2--Netzwerke--desc}}
|- class="Leerzeile"
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5|{{#var:Gegenstelle}} – IKEv1 | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} - IKEv1 }}
|-
| {{b|{{#var:Öffentlicher RSA-Schlüssel}} }}<br> <small>'''{{#var:Öffentlicher RSA-Schlüssel Hinweis}}'''</small> || {{Button|IPSec Key|dr|class=available}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
| class="Bild" rowspan="6" | {{Bild|{{#var: Schritt4-IKEv1--gatewayID--bild}} |{{#var:Einrichtungsschritt}} 4 - IKEv1}}
|-
| {{b|{{#var:IP-Adresse Pool}} }}<br> <small>'''{{#var:IP-Adresse Pool Hinweis}}'''</small> || {{ic|192.168.22.35/24|class=available}} || {{#var:IP-Adresse Pool--desc}}
|-
| {{b|{{#var:Benutzerdialog}} }}<br> <small>'''{{#var:IKEv1 - L2TP XAuth}}'''</small> || {{ButtonAn|{{#var:Ja}} }} || {{#var:Benutzerdialog--desc}}
|-
| {{b|Remote Gateway ID:}}<br> <small>'''{{#var:Remote Gateway ID Hinweis}}'''</small>  || {{ic|192.0.2.192|dr|class=available}} <br> <small>{{#var:oder}}</small><br> {{ic|{{#var:Schritt4--gatewayID--val}}|dr|class=available}} || {{Alert}} {{#var:Schritt4--gatewayID--desc}} {{info|{{#var:Schritt4--gatewayID--info}} }}
|-
| {{b|{{#var:Schritt4--IPadresse--cap}} }}<br> <small>'''{{#var:Remote Gateway ID Hinweis}}'''</small> || {{ic|192.168.222.35|class=available}} || {{#var: Schritt4--IPadresse--desc}}
<li class="list--element__alert list--element__hint">{{#var: Schritt4--IPadresse--hinweis}}<br> {{#var: Schritt4--IPadresse--phase2}}</li>
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |<br>
|
{{h5| {{#var:Gegenstelle}} | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} }}
|-
|-
| {{b| Remote Gateway ID: }} || {{ic| 192.0.2.192 |dr}} <br><small>{{#var: oder| oder }}</small><br>{{ic| {{#var: Schritt4--gatewayID--val| Mein_Roadwarrior }} |dr}}|| {{Hinweis|!}} {{#var: Schritt4--gatewayID--desc| Wird mehr als '''eine''' IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. }} {{info|{{#var: Schritt4--gatewayID--info| Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. }} }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt4--gatewayID--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent4.png }} <!-- UTMv11.8.8_IPSEC_Assitent4.png --> | {{#var:Einrichtungsschritt}} 4 }}
| class="Leerzeile" colspan="3"|<br>{{h5|{{#var:Gegenstelle}} – IKEv2 | {{#var:Schritt}} 4 - {{#var:Gegenstelle}} - IKEv2 }}
|-
|-
| <!-- Mit '''IKEv2''': {{b|IP Adresse / Pool: }}<br> --> {{b|{{#var: Schritt4--IPadresse--cap| IP-Adresse(n): }} }} || {{ic| 192.168.222.35 }} || {{#var: Schritt4--IPadresse--desc| IP-Adresse für den Roadwarrior. }}
| {{b|{{#var:Öffentlicher RSA-Schlüssel}} }}<br> <small>'''{{#var:Öffentlicher RSA-Schlüssel Hinweis}}'''</small> || {{Button|IPSec Key|dr|class=available}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
<li class="list--element__alert list--element__hint">{{#var: Schritt4--IPadresse--hinweis| Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in {{Button|Phase 2|w}} / {{Reiter| Subnetze}} eine Netzwerkadresse konfiguriert werden. }}<br>{{#var: Schritt4--IPadresse--phase2| Für dieses Beispiel wird das nach Beendigung des Assistenten das soeben angelegte Subnetz bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.22.0/24}} eingebtragen. }}</li>
| class="Bild" rowspan="8" | {{Bild|{{#var:Schritt4--gatewayID--bild}} |{{#var:Einrichtungsschritt}} 4 - IKEv2}}
|-
|-
| class=" Leerzeile" colspan="3" | {{#var: wizard-beenden| Beenden des Einrichtungsassistenten mit {{Button| Fertig }} }}
| {{b|{{#var:IP-Adresse Pool}} }} || {{ic|192.168.22.35/24|class=available}} || {{#var:IP-Adresse Pool--desc}}
|-
| rowspan="3"| {{b|{{#var:Schritt2--authentifizierungsmethode}} }}<br> <small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
| {{Button|EAP-MSCHAPV2|dr|class=available}} || {{#var:EAP-MSCHAPV2--desc}}
|-
| {{Button|EAP-TLS|dr|class=available}} || {{#var:EAP-TLS--desc}}
|-
|-
| class="Leerzeile" colspan="3" | <br>
==== {{#var: Regelwerk| Regelwerk }} ====


{{#var: Regelwerk--desc| Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden. }}
<!--
| rowspan="2"| {{b|X.509 {{#var:Zertifikat}}:}}<br><small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|IPSec Cert|dr|class=available}}<br><small>'''{{#var:Zertifikat Hinweis 2}}'''</small> || {{#var:Zertifikat Gegenstelle}}<br>{{Alert}}{{#var:Zertifikat Hinweis}}
|-
| {{Button|IPSec Cert|dr|class=available}}<br><small>'''{{#var:Zertifikat Hinweis EAP-TLS}}'''</small> || {{#var:Zertifikat Gegenstelle}}
|-
|-
| class="Leerzeile" colspan="3" | {{h3|{{#var: Implizite Regeln| Implizite Regeln }}}}{{Hinweis|!! § <small>{{#var: Implizite Regeln--hinweis| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei. }} |g|lh=1em}}</small>
-->
| class="bild width-m" | {{Einblenden2 | {{#var: Screenshots| Screenshots zeigen }} | {{#var: ausblenden| ausblenden }} | dezent| true | {{Bild| {{#var: Implizite Regeln--bild1| UTM_v11.8.8_Implizite-Regeln_IPSec.png }} | {{#var: Implizite Regeln--bild1--cap| Implizite Regeln, Abschnitt VPN }} }}<br>{{Bild|{{#var: Implizite Regeln--bild2| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png }} | {{#var: Implizite Regeln--bild2--cap| Implizite Regeln, Abschnitt IPSec Traffic }} }} }}
 
| {{b|X.509 {{#var:Zertifikat}}:}}<br> <small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|IPSec Cert|dr|class=available}} || {{#var:Zertifikat Gegenstelle}}<br> {{Alert}} {{#var:Zertifikat Hinweis}}
|-
|-
| class="Leerzeile" colspan="3" |  
| {{b|{{#var:Benutzergruppe}}:}}<br> <small>'''{{#var:Benutzergruppe--Hinweis}}'''</small> || {{Button|IPSec {{#var:Benutzergruppe}}|dr|class=available}} || {{#var:Benutzergruppe--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3"| {{#var:wizard-beenden }}
|}
----
----
===== {{#var: Netzwerkobjekt| Netzwerkobjekt anlegen }} =====
 
{{Menu| Firewall | Portfilter | {{#var: Netzwerkobjekte| Netzwerkobjekte }} |{{#var:Netzwerkobjekte--hinzufügen| Objekt hinzufügen }} |+}}
 
=== {{#var:Regelwerk}} ===
<div class="Einrücken">
{{#var: Regelwerk--desc}}
</div>
 
{| class="sptable2 pd5 zh1 Einrücken"
|-
| class="Leerzeile" colspan="3" | {{h4|{{#var:Implizite Regeln}} }} {{Hinweis-box| {{#var:Implizite Regeln--hinweis}}|g|fs__icon=em2}}
| class="Bild" | {{Einblenden2| {{#var:Screenshots}} | {{#var:ausblenden}} |dezent|true| {{Bild|{{#var:Implizite Regeln--bild1}} | {{#var:Implizite Regeln--bild1--cap}} }}<br> {{Bild|{{#var:Implizite Regeln--bild2}} | {{#var:Implizite Regeln--bild2--cap}} }} }}
|- class="Leerzeile"
|
|-
|-
| {{b| Name:}} || {{ic| ngrp-IPSec-Roadwarrior }} || {{#var: Netzwerkobjekte--name--desc| Name für das IPSec-Netzwerkobjekt }} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Netzwerkobjekte--bild| UTM v11.8.8 Netzwerkobjekt IPSec-native.png }} | {{#var: Netzwerkobjekte--bild--cap| Netzwerkobjekt }} }}
| class="Leerzeile" colspan="3" |  
===== {{#var:Netzwerkobjekt anlegen}} =====
{{Menu|Firewall|Portfilter|{{#var:Netzwerkobjekte}}|{{#var:Netzwerkobjekte--hinzufügen}}|+}}
|-
|-
| {{b| {{#var: Netzwerkobjekte--typ| Typ: }} }} || {{ic| {{#var: Netzwerkobjekte----typ--val| VPN-Netzwerk }} |dr}} || {{#var: Netzwerkobjekte--typ--desc| zu wählender Typ }}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="6" | {{Bild|{{#var:Netzwerkobjekte--bild}} |{{#var:Netzwerkobjekte}} }}
|-
|-
| {{b| {{#var: Netzwerkobjekte--adresse| Adresse: }} }} || {{ic| 192.168.222.0/24 }} || {{#var: Netzwerkobjekte--adresse--desc| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. }}
| {{b|Name:}} || {{ic|ngrp-IPSec-Roadwarrior|class=available}} || {{#var:Netzwerkobjekte--name--desc}}  
|-
|-
| {{b| {{#var: Netzwerkobjekte--zone| Zone: }} }} || {{ic| vpn-ipsec |dr}} || {{#var: Netzwerkobjekte--zone--desc| zu wählende Zone }}
| {{b|{{#var:Typ}} }} || {{ic| {{#var:Netzwerkobjekte----typ--val}} |dr|class=available}} || {{#var:Netzwerkobjekte--typ--desc}}
|-
|-
| {{b| {{#var: Netzwerkobjekte--gruppe| Gruppe: }} }} || {{ic| | dr}} || {{#var: Netzwerkobjekte--gruppe--desc| Optional: Gruppe }}
| {{b|{{#var:Netzwerkobjekte--adresse}} }} || {{ic|192.168.222.0/24|class=available}} || {{#var:Netzwerkobjekte--adresse--desc}}
|-
|-
| class="Leerzeile" colspan="3" |
| {{b|Zone}} || {{ic|vpn-ipsec|dr|class=available}} || {{#var:Netzwerkobjekte--zone--desc}}
|-
|-
| class="Leerzeile" colspan="2" |  
| {{b|{{#var:Gruppe}}:}} || {{ic| |dr|class=available}} || {{#var:Netzwerkobjekte--gruppe--desc}}
===== {{#var: regeln| Portfilter Regeln }} =====
|- class="Leerzeile"
|  colspan="2" class="Bild" style="min-width: 69%;" | {{Bild| {{#var: regeln--bild| UTM_v11.8.8_Portfilter_IPSec.png }} | {{#var: regeln--bild--cap}} }}
|
|- class="Leerzeile"
colspan="2" |  
===== {{#var:Portfilter Regeln}} =====
|  colspan="2" class="Bild" style="min-width: 69%;" | {{Bild|{{#var: regeln--bild}} |{{#var: regeln--bild--cap}} }}
|-
|-
| class="Leerzeile" colspan="3"| {{#var: regel1--desc| Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird. }}
| class="Leerzeile" colspan="3"| {{#var:regel1--desc}}
|-
|-
| {{b| {{#var: Quelle}} }} || {{ic| internet|dr|icon=internet|class=available}} || {{#var: regel1--quelle--desc| Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll. }}
| {{b|{{#var: Quelle}} }} || {{ic|internet|dr|icon=internet|class=available}} || {{#var:regel1--quelle--desc}}
|-
|-
| {{b| {{#var: Ziel}} }} || style="min-width:175px;" | {{ic| external-interface |dr|icon=interface|class=available}} || {{#var: regel1--ziel--desc| Schnittstelle, auf der die Verbindung ankommt. }}
| {{b|{{#var:Ziel}} }} || style="min-width:175px;" | {{ic|external-interface |dr|icon=interface|class=available}} || {{#var:regel1--ziel--desc}}
|-
|-
| {{b| {{#var: Dienst}} }} || {{ic| ipsec|dr|icon=dienste|class=available}} || {{#var: regel1--dienst--desc| Vordefinierte Dienstgruppe für IPSec }} {{Info| {{#var: regel1--dienst--info| Dienst / Protokoll, Port &#10;isakmp / udp 500 &#10;nat-traversal / udp 4500 &#10;&#10;Protokoll esp }} }}
| {{b|{{#var:Dienst}} }} || {{ic|ipsec|dr|icon=dienste|class=available}} || {{#var: regel1--dienst--desc}} {{Info|{{#var: regel1--dienst--info}} }}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3"| <br>{{#var: regel3--desc| Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe. }}
| colspan="3"| <br>{{#var: regel3--desc}}
|-
|-
| {{b| {{#var:Quelle}} }} || {{ic| IPSec Roadwarrior|dr|class=available|icon=vpn-network}} || {{#var: regel3--quelle--desc| Roadwarrior -Host oder -Netzwerk }}
| {{b|{{#var:Quelle}} }} || {{ic|IPSec Roadwarrior|dr|class=available|icon=vpn-network}} || {{#var:regel3--quelle--desc}}
|-
|-
| {{b| {{#var:Ziel}} }} || {{ic| dmz1-network |dr|class=available|icon=net}} || {{#var: regel3--ziel--desc| Netzwerk, auf das zugegriffen werden soll. }}
| {{b|{{#var:Ziel}} }} || {{ic|dmz1-network|dr|class=available|icon=net}} || {{#var:regel3--ziel--desc}}
|-
|-
| {{b| {{#var:Dienst}} }} || {{ic| xyz|dr|class=available|icon=dienste}} || {{#var: regel3--dienst--desc| Gewünschter Dienst oder Dienstgruppe }}
| {{b|{{#var:Dienst}} }} || {{ic|xyz|dr|class=available|icon=dienste}} || {{#var: regel3--dienst--desc}}
|}
|}


<div class="Einrücken">
<div class="Einrücken">
<p>{{#var: verbindung-herstellen}}<br>
{{#var: verbindung-herstellen}}<br>
{{#var: verbindung--parameter--desc}}</p>
{{#var: verbindung--parameter--desc}}
<p>{{#var: verbindung--parameter--val}}</p>
<p><span id=Config_mode></span>{{#var: verbindung--parameter--val}}</p>
  </div>
  </div>
----
=== {{#var:Weitere Einstellungen}} ===
<div class="Einrücken">
{{#var:Weitere Einstellungen--desc}}
<br clear=all></div>


==== IKEv1 ====
<div class="Einrücken">
{{Einblenden| {{#var:Einstellungen IKEv1}} | {{#var:Einstellungen IKEv1 ausblenden}} |dezent|true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2_v12.4|IPSec=IKEv1 RW}}
</div></span></div>
<br clear=all></div>


==== {{#var:Weitere Einstellungen}} ====
==== IKEv2 ====
<div class="Einrücken">{{#var:Weitere Einstellungen--desc}}</div>
<div class="Einrücken">
{| class="sptable2 pd5 Einrücken zh1"
{{Einblenden | {{#var: Einstellungen IKEv2 }} | {{#var: Einstellungen IKEv2 ausblenden}} | dezent| true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2}}
{{:UTM/VPN/IPSec-Phase1-2_v12.4|IPSec=IKEv2 RW}}
|}
</div></span></div></div></div>

Aktuelle Version vom 3. April 2024, 12:23 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

































































































De.png
En.png
Fr.png






Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
Letzte Anpassung: 12.4
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.5 12.2.3 11.8 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →IPSecReiter Verbindungen


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.



Konfiguration einer nativen IPSec Verbindung

Neue Verbindungen werden im Menü → VPN →IPSecReiter Verbindungen mit der Schaltfläche IPSec Verbindung hinzufügen hinzugefügt.

Einrichtungsassistent

Verbindungstyp
Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung UTMv11.8.8 IPSEC Assitent1.png
Einrichtungsschritt 1
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
 Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein
Schritt 2 - Allgemein
Name: IPSec Roadwarrior Name für die Verbindung UTMv12.2.4 IPSEC S2E ikev2 Assitent2.png
Einrichtungsschritt 2
Verbindungstyp: IKEv1 - Native Mögliche Verbindungstypen:
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native
IKEv1 - L2TP

notempty
Neu ab: 12.4

Der Verbindungstyp IKEv1 - L2TP ist nur auswählbar, wenn L2TP auf Autostart steht, oder explizit im Admininterface aktiviert wird.
L2TP aktivieren unter: → Extras →Erweiterte EinstellungenReiter Ausgeblendete Funktionen L2TP aktivieren: Ja Ausgeblendete Menüschaltflächen aktivieren: Strg + Alt + A

Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
notempty
Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:

Lokal – IKEv1
Schritt 3 - Lokal - IKEv1
Local Gateway ID:     Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt 		UTMv12.2.4 IPSEC IKEv1 Assitent3.png
Einrichtungsschritt 3 - IKEv1
Authentifizierungsmethode: Pre-Shared Key Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
RSA Ein vorhandener privater RSA-Schlüssel wird verwendet
Pre-Shared Key:     Ein beliebiger PSK
X.509 Zertifikat:
Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS
 Server-Zertifikat Auswahl eines Zertifikates
Privater RSA-Schlüssel: IPSec Key Auswahl eines RSA-Schlüssels
Netzwerke freigeben:
Nur bei IKEv1 - Native		 192.168.250.0/24 Netzwerke für die IPSec-Verbindung freigeben

Lokal – IKEv2
Schritt 3 - Lokal - IKEv2
Local Gateway ID:     Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Wird bei einer Auswahl eines X.509 Zertifikats automatisch ausgefüllt 		UTMv12.2.4 IPSEC Assitent3.png
Einrichtungsschritt 3 - IKEv2
Authentifizierungsmethode: Pre-Shared Key Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
RSA Ein vorhandener privater RSA-Schlüssel wird verwendet
EAP-TLS Nur bei IKEv2 EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
Pre-Shared Key:     Ein beliebiger PSK
Erstellt einen sehr starken Schlüssel
Kopiert den PSK in die Zwischenablage
X.509 Zertifikat:
Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS
 Server-Zertifikat Auswahl eines Zertifikates
Privater RSA-Schlüssel: IPSec Key Auswahl eines RSA-Schlüssels
Netzwerke freigeben: 192.168.250.0/24 Netzwerke für die IPSec-Verbindung freigeben

Gegenstelle – IKEv1
Schritt 4 - Gegenstelle - IKEv1
Öffentlicher RSA-Schlüssel:
Nur bei Authentifizierungsmethode RSA		 IPSec Key Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle UTMv12.2.4 IPSEC S2E ikev1 Assitent4.png
Einrichtungsschritt 4 - IKEv1
IP-Adresse / Pool:
Nur bei IKEv1 - XAuth		 192.168.22.35/24 IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
Öffne Benutzerdialog nach Beendigung:
Nur bei
  • IKEv1 - L2TP und
  • IKEv1 - XAuth
 Ja Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.
Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte.
Remote Gateway ID:
Nur bei IKEv1 - Native		 192.0.2.192
oder
Mein_Roadwarrior		 Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
  
IP-Adresse(n):
Nur bei IKEv1 - Native		 192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.

  • Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.

    • Gegenstelle – IKEv2
    Schritt 4 - Gegenstelle - IKEv2
    Öffentlicher RSA-Schlüssel:
    Nur bei Authentifizierungsmethode RSA    		 IPSec Key Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle UTMv12.2.4 IPSEC S2E ikev2 Assitent4.png
    Einrichtungsschritt 4 - IKEv2
    IP-Adresse / Pool: 192.168.22.35/24 IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
    Authentifizierungsmethode:
    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
         		Zertifikat Ein vorhandenes Zertifikat wird verwendet
    EAP-MSCHAPV2 EAP-MSCHAPV2 wird verwendet
    EAP-TLS EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
    X.509 Zertifikat:
    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
         		IPSec Cert Das Zertifikat für die Gegenstelle
    Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
    Benutzergruppe:
    Nur bei EAP-MSCHAPv2    		 IPSec Benutzergruppe Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden.
    Beenden des Einrichtungsassistenten mit Fertig


    Regelwerk

    Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Implizite Regeln

    notempty
    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter → Firewall →Implizite Regeln Abschnitt VPN und Abschnitt IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v11.8.8 Implizite-Regeln IPSec.png
    Implizite Regeln, Abschnitt VPN
    UTM v11.8.8 Implizite-Regeln IPSec-Traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic
    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekte
    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt
    Typ VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen (oder nachträglich in Phase 2 angepasst) wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe
    Portfilter Regeln
    		 UTM v11.8.8 Portfilter-Regel IPSec-ikev1.png
    Portfilter-Regel mit Test-Ping auf die Schnittstelle der internen dmz1
    Portfilter Regel anlegen unter → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen
    Die erste Regel ermöglicht, dass der IPSec-Tunnel überhaupt aufgebaut wird.
    Quelle World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Ziel Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    Dienst Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec
    Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
      

    Eine zweite Regel erlaubt dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Quelle Vpn-network.svg IPSec Roadwarrior Roadwarrior-Host oder -Netzwerk
    Ziel Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe

    Jetzt kann eine Verbindung mit einem Roadwarrior hergestellt werden.
    Hierzu muss ggf. ein Client verwendet werden. Es muss darauf geachtet werden, dass in allen Phasen der Verbindung die Parameter auf beiden Seiten jeweils identisch sind.

    Notwendige Änderungen, bei Verwendung eines NCP- oder Greenbow-Clients:

    • UTM
      • Diffie-Hellman Group (Phase 1)
      • DH-Gruppe (PFS) (Phase 2)
        oder
    • NCP- oder Greenbow-Client:
      • IKE-DH-Gruppe
    Bei Verwendung von IKEv1 außerdem:
    • NCP- oder Greenbow-Client:
      • Austausch-Modus: Main Mode (IKEv1)
      • Config_mode aktivieren


    Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:


    IKEv1

    Step-by-step.png






























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS): {{var | keine | keine | none




























    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 1
    Allgemein

    Reiter Allgemein

    Beschriftung Wert Beschreibung UTMv12.2.4 IPSec RW IKEv1 Phase1.png
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten:
    		Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Neu ab v12.4

    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren:
    Neu ab 12.2.4
    		 Ja
    Default    		 Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.4 IPSec IKEv1 Phase1 IKE.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
  • Wir empfehlen eliptische Kurven, z.B. ecp521.
    • Reiter IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus
    Neue Option. Default : Aus

    3Link= Stunden

    		 Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird automatisch aktiviert, wenn IKE Rekeytime deaktiviert wird.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime:
    Neu ab: v12.4
    		 Ein 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      

    Phase 2
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 2
    Allgemein

    Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTMv12.2.4 IPSec RW IKEv1 Phase2.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    Ab der UTM-Version 12.2.4 kann es in Phase 2 bei DH-Gruppen ab modp6144 aktuell zu Schwierigkeiten beim Schlüsselautausch kommen

  • Wir empfehlen eliptische Kurven, z.B. ecp521.
    • Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.

    • Reiter Allgemein: Weitere Einstellungen

    Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
  • Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    • Subnetzkombinationen gruppieren: Ja

  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.

    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP:
    Neu ab 12.2.4
    		 Aus Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz.
  • Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    • Adress-Pool

    Reiter Adress-Pool
    Beschriftung Wert Beschreibung UTM v12.2.4 IPSec S2S Phase2 4Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Reiter Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.2 IPSec S2S Phase2 4Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.2 IPSec S2S Phase2 3Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt


    IKEv2

    Step-by-step.png






























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS): {{var | keine | keine | none




























    De.png
    En.png
    Fr.png


    Phase 1
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 1
    Allgemein

    Reiter Allgemein

    Beschriftung Wert Beschreibung UTMv12.2.4 IPSec IKEv2 Phase1 Allgemein.png
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten:
    		Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannnt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Neu ab v12.4

    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Aus Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren:
    Neu ab 12.2.4
    		 Ja
    Default    		 Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Reiter IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTM v12.4 IPSec IKEv2 Phase1 IKE.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
  • Wir empfehlen eliptische Kurven, z.B. ecp521.
    • Reiter IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus
    Neue Option. Default : Aus

    3Link= Stunden

    		 Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird automatisch aktiviert, wenn IKE Rekeytime deaktiviert wird.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime:
    Neu ab: v12.4
    		 Ein 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung zu herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      

    Phase 2
    → VPN →IPSecReiter Verbindungen Schaltfläche Phase 2
    Allgemein

    Reiter Allgemein : Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default-Werte UTM Default-Werte NCP-Client UTMv12.2.4 IPSec RW IKEv2 Phase2.png
    Verschlüsselung: aes128 AES 128 Bit
    Authentifizierung: sha2_256 SHA2 256 Bit
    Diffie-Hellman Group: modp2048 IKE DH-Grupe: DH2 (modp1024)
    Ab der UTM-Version 12.2.4 kann es in Phase 2 bei DH-Gruppen ab modp6144 aktuell zu Schwierigkeiten beim Schlüsselautausch kommen

  • Wir empfehlen eliptische Kurven, z.B. ecp521.
    • Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.

    • Reiter Allgemein: Weitere Einstellungen

    Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung Ja der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
  • Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    • Subnetzkombinationen gruppieren: Ja

  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.

    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP:
    Neu ab 12.2.4
    		 Aus Bei Aktivierung (Ein) erhalten die Clients IP-Adressen aus einem lokalen Netz.
  • Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    • Adress-Pool

    Reiter Adress-Pool
    Beschriftung Wert Beschreibung UTM v12.2.4 IPSec S2S Phase2 4Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Reiter Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.2 IPSec S2S Phase2 4Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.2 IPSec S2S Phase2 3Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-S2E_v12.4&oldid=90850