Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/IPSec-S2E v12.4: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/VPN/IPSec-S2E.lang}}
{{:UTM/VPN/IPSec-S2E.lang}}
{{var | neu--MOBIKE
| Hinweis zur Nutzung von [[#Allgemein_2|MOBIKE]]
| Note for the use of [[#Allgemein_2|MOBIKE]] }}
{{var | neu--Einrichtungsassistent
| Änderungen in der Anordnung der Konfigurationsschritte im Assistenten
| Changes in the arrangement of the configuration steps in the assistant }}
{{var | neu--DHCP
| [[#Phase_2_2 | DHCP für IPSec in Phase 2 konfigurierbar]]
| [[#Phase_2_2 | DHCP configurable for IPSec in phase 2]] }}


</div>{{Select_lang}}{{TOC2}}
</div>{{Select_lang}}{{TOC2|limit=3}}
{{Header|12.2.3|
{{Header|12.2.4|
* {{#var:neu--DPD}}
* {{#var:neu--Einrichtungsassistent}}
|[[UTM/VPN/IPSec-S2E_v11.8 | 11.8]]
* {{#var:neu--MOBIKE}}
* {{#var:neu--DHCP}}
|[[UTM/VPN/IPSec-S2E_v12.2.3 | 12.2.3]]
[[UTM/VPN/IPSec-S2E_v11.8 | 11.8]]
[[UTM/VPN/IPSec-Roadwarrior | 11.7]]
[[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
[[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
}}
|{{Menu|VPN|IPSec|{{#var:Verbindungen}} }} }}
<br>
<br>
----


=== {{#var: Einleitung| Einleitung }} ===
=== {{#var: Einleitung| Einleitung }} ===
<div class="Einrücken">{{#var: Einleitung--desc}}</div>
<div class="Einrücken">{{#var: Einleitung--desc}}</div>
----


=== {{#var: Konfiguration}} ===
=== {{#var: Konfiguration}} ===
Zeile 21: Zeile 38:
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
|- class="Leerzeile"
| class="Leerzeile" colspan="2" |
| class="Leerzeile" colspan="2"| {{h5| {{#var:Verbindungstyp}} | {{#var: Schritt| Schritt }} 1 - {{#var: Verbindungstyp}} }}
{{h5| {{#var:Verbindungstyp}} | {{#var: Schritt| Schritt }} 1 - {{#var: Verbindungstyp}} }}
|-
|-
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}  
! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}  
| class="Bild" rowspan="3" | {{Bild| {{#var: Schritt1--bild| UTMv11.8.8_IPSEC_Assitent1.png}} | {{#var: Einrichtungsschritt| Einrichtungsschritt }} 1 }}
| class="Bild" rowspan="3" | {{Bild| {{#var: Schritt1--Bild}} | {{#var: Einrichtungsschritt}} 1}}
|-
| {{#var: Schritt1--Auswahl}}
| {{#var: Schritt1--val}}
* {{ic| Roadwarrior |class=mw6}}
* {{ic| Site to Site |class=mw6}}
| {{#var: Schritt1--desc}}
|- class="Leerzeile"
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5| {{#var:Allgemein}} | {{#var:Schritt}} 2 - {{#var:Allgemein }} }}
|-
| {{b| Name: }} || {{ic| IPSec Roadwarrior|class=available}} || {{#var: Schritt2--Name--desc}} || class="Bild" rowspan="3" | {{Bild|{{#var: Schritt2--Bild }}|{{#var:Einrichtungsschritt}} 2 }}
|-
|-
| {{#var: Schritt1--Auswahl| Auswahl des Verbindungs-Typs }}  
| {{b| {{#var: Schritt2--verbindungstyp--cap}} }} || {{Button| IKEv1 - Native|dr|class=available}} || {{#var: Schritt2--mögliche-verbindungstypen}}<br>{{Button| IKEv1 - L2TP|dr|class=mw12}}<br>{{Button| IKEv1 - XAuth |dr|class=mw12}}<br>{{Button| IKEv1 - Native |dr|class=mw12}}<br>{{Button| IKEv2 - Native |dr|class=mw12}}<br>{{#var: Schritt2--Verbindungstyp--Hinweis}}
| {{#var: Schritt1--val| es stehen folgende Verbindungen zur Verfügung: }}
|- class="Leerzeile"
* {{ic| '''Roadwarrior'''}}
|
* {{ic|Site to Site }}
| {{#var: Schritt1--desc| Für die Konfiguration einer Roadwarrior Verbindung wird eben diese ausgewählt. }}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3"| {{Hinweis-neu|! {{#var:Unterschied IKEv1 und IKEv2}}|g}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| class="Leerzeile" colspan="3"|<br>{{h5| {{#var:Lokal}} – IKEv1 | {{#var:Schritt}} 3 - {{#var: Lokal}} - '''IKEv1'''}}
{{h5| {{#var:Allgemein}} | {{#var:Schritt}} 2 - {{#var:Allgemein }} }}
|-
|-
| {{b| Name: }} || {{ic| IPSec Roadwarrior }} || {{#var: Schritt2--Name--desc| Name für die Verbindung}} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Schritt2--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent2.png }} <!-- UTMv11.8.8_IPSEC_Assitent2.png --> | {{#var:Einrichtungsschritt}} 2 }}
| {{b| Local Gateway ID: }} || {{ic| |dr|class=available}} || {{#var: Schritt3--gatewayID--desc }}<br>{{Hinweis-neu|! |grün}}{{#var:GatewayID Hinweis}}
| class="Bild" rowspan="10" | {{Bild|{{#var: Schritt3-IKEv1--Bild}}|{{#var:Einrichtungsschritt}} 3 - IKEv1}}
|-
|-
| {{b| {{#var: Schritt2--verbindungstyp--cap| Verbindungstyp: }} }} || {{Button| IKEv1 - Native |dr|w=140px}} || {{cl|{{#var: Schritt2--mögliche-verbindungstypen|Mögliche Verbindungstypen: }} | {{Button| IKEv1 - L2TP|dr|w=140px}}<br>{{Button| IKEv1 - XAuth |dr|w=140px}}<br>{{Button| IKEv1 - Native |dr|w=140px}}<br>{{Button| IKEv2 - Native |dr|w=140px}} | w=130px}}<br>
| rowspan="3"| {{b| {{#var: Schritt2--authentifizierungsmethode}} }}
{{#var: Schritt2--Verbindungstyp--Hinweis| Bitte beachten, welcher Typ vom Betriebssystem [[UTM/VPN/Übersicht#Roadwarrior_oder_End_to_Site_VPN_Verbindungen | unterstützt wird. ]] }}
| {{Button|{{#var:Pre-Shared Key}}|dr|class=available}} || {{#var:Pre-Shared Key--desc}}
|-
|-
| {{b| {{#var: Schritt2--authentifizierungsmethode| Authentifizierungsmethode: }} }} || {{Button|PSK|blau}} || {{#var: Schritt2--authentifizierungsmethode--desc| Alternativ: <br>* {{Button| X.509 Zertifikat}} <br>* {{Button| RSA}} (Nicht bei IKEv2 !) }}
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
|-
| {{b| {{#var: Schritt2--psk--cap| Pre-Shared Key: }} }} || {{ic| 12345 }} || {{#var: Schritt2--psk--desc| Ein beiliebiger PSK. Mit der Schaltfläche {{Button|1=<span class="halflings halflings-key halflings-size-14"></span>}} wird ein sehr starker Schlüssel erzeugt. }}
| {{Button|{{#var:RSA}}|dr|class=available}} || {{#var:RSA--desc}}
|-
|-
| {{b| {{#var: Schritt2--x509--cap| X.509 Zertifikat: }} }} || {{Button| {{#var: Schritt2--x509--val| Server-Zertifikat }} |dr}} || {{#var: Schritt2--x509--desc| Auswahl eines Zertifikates }}
| {{b| {{#var: Schritt2--psk--cap}} }} || {{ic||class=available}} || {{#var: Schritt2--psk--desc}}
|-
|-
| class="Leerzeile" colspan="3" |<br>
| {{b| {{#var: Schritt2--x509--cap}} }}<br><small>'''{{#var:x509 Hinweis}}'''</small> || {{Button| {{#var: Schritt2--x509--val}}|dr|class=available}} || {{#var: Schritt2--x509--desc}}
{{h5| {{#var:Lokal}} | {{#var:Schritt}} 3 - {{#var: Lokal}} }}
|-
|-
| {{b| Local Gateway ID: }} || {{ic| eth0 | dr }} || {{#var: Schritt3--gatewayID--desc| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt3--bildd| UTMv11.8.8_IPSEC_Assitent3.png }} | {{#var:Einrichtungsschritt}} 3 }}
| {{b| {{#var: Schritt2--RSA--cap}} }} || {{Button| {{#var: Schritt2--RSA--val}}|dr|class=available}} || {{#var: Schritt2--RSA--desc}}
|-
|-
| {{b| {{#var: Schritt3--Netzwerk--cap| Netzwerk freigeben: }} }} || {{ic| 192.168.122.0/24|dr}} || {{#var: Schritt3--Netzwerk--desc| Das lokale Netzwerk, das über die VPN-Verbindung verbunden werden soll }}
| {{b| {{#var:Schritt2--Netzwerke}} }}<br><small>'''{{#var:Netzwerke Hinweis}}'''</small> || {{ic|{{#var:Schritt2--Netzwerke--val}}|dr|class=available}} || {{#var: Schritt2--Netzwerke--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5| {{#var:Lokal}} – IKEv2 | {{#var:Schritt}} 3 - {{#var: Lokal}} - IKEv2}}
|-
| {{b| Local Gateway ID: }} || {{ic| |dr|class=available}} || {{#var: Schritt3--gatewayID--desc }}<br>{{Hinweis-neu|! |grün}}{{#var:GatewayID Hinweis}}
| class="Bild" rowspan="10" | {{Bild|{{#var: Schritt3--Bild}}|{{#var:Einrichtungsschritt}} 3 - IKEv2}}
|-
| rowspan="4"| {{b| {{#var: Schritt2--authentifizierungsmethode}} }}
| {{Button|{{#var:Pre-Shared Key}}|dr|class=available}} || {{#var:Pre-Shared Key--desc}}
|-
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
| {{Button|{{#var:RSA}}|dr|class=available}} || {{#var:RSA--desc}}
|-
| {{Button|{{#var:EAP-TLS}}|dr|class=available}} <small>'''{{#var:Nur mit IKEv2--Hinweis}}'''</small><br>{{Hinweis-neu|{{#var:Neu ab}} v12.2.4|12.2.4|status=update}} || {{#var:EAP-TLS--desc}}
|-
| {{b| {{#var: Schritt2--psk--cap}} }} || {{ic||class=available}} || {{#var: Schritt2--psk--desc}}
|-
| {{b| {{#var: Schritt2--x509--cap}} }}<br><small>'''{{#var:x509 Hinweis}}'''</small> || {{Button| {{#var: Schritt2--x509--val}}|dr|class=available}} || {{#var: Schritt2--x509--desc}}
|-
| {{b| {{#var: Schritt2--RSA--cap}} }} || {{Button| {{#var: Schritt2--RSA--val}}|dr|class=available}} || {{#var: Schritt2--RSA--desc}}
|-
| {{b| {{#var:Schritt2--Netzwerke}} }} || {{ic|{{#var:Schritt2--Netzwerke--val}}|dr|class=available}} || {{#var: Schritt2--Netzwerke--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |<br>
|
{{h5| {{#var:Gegenstelle}} | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} }}
|-
| class="Leerzeile" colspan="3"|<br>{{h5| {{#var:Gegenstelle}} – IKEv1 | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} - IKEv1 }}
|-
| {{b|{{#var:Öffentlicher RSA-Schlüssel}} }}<br><small>'''{{#var:Öffentlicher RSA-Schlüssel Hinweis}}'''</small> || {{Button|{{#var:Schritt2--RSA--val}}|dr|class=available}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
| class="Bild" rowspan="6" | {{Bild| {{#var: Schritt4-IKEv1--gatewayID--bild}}|{{#var:Einrichtungsschritt}} 4 - IKEv1}}
|-
|-
| {{b| Remote Gateway ID: }} || {{ic| 192.0.2.192 |dr}} <br><small>{{#var: oder| oder }}</small><br>{{ic| {{#var: Schritt4--gatewayID--val| Mein_Roadwarrior }} |dr}}|| {{Hinweis|!}} {{#var: Schritt4--gatewayID--desc| Wird mehr als '''eine''' IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft. }} {{info|{{#var: Schritt4--gatewayID--info| Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen. }} }} || class="bild width-m" rowspan="3" | {{Bild| {{#var: Schritt4--gatewayID--bild| UTMv11.8.8_IPSEC_S2E_ikev1_Assitent4.png }} <!-- UTMv11.8.8_IPSEC_Assitent4.png --> | {{#var:Einrichtungsschritt}} 4 }}
| {{b|{{#var:IP-Adresse Pool}} }}<br><small>'''{{#var:IP-Adresse Pool Hinweis}}'''</small> || {{ic|{{#var:IP-Adresse Pool--val}}|class=available}} || {{#var:IP-Adresse Pool--desc}}
|-
|-
| <!-- Mit '''IKEv2''': {{b|IP Adresse / Pool: }}<br> --> {{b|{{#var: Schritt4--IPadresse--cap| IP-Adresse(n): }} }} || {{ic| 192.168.222.35 }} || {{#var: Schritt4--IPadresse--desc| IP-Adresse für den Roadwarrior. }}
| {{b|{{#var:Benutzerdialog}} }}<br><small>'''{{#var:IKEv1 - L2TP XAuth}}'''</small> || {{ButtonAn|{{#var:Ja}} }} || {{#var:Benutzerdialog--desc}}
<li class="list--element__alert list--element__hint">{{#var: Schritt4--IPadresse--hinweis| Sollen viele Roadwarrior den gleichen Tunnel verwenden, kann später in {{Button|Phase 2|w}} / {{Reiter| Subnetze}} eine Netzwerkadresse konfiguriert werden. }}<br>{{#var: Schritt4--IPadresse--phase2| Für dieses Beispiel wird das nach Beendigung des Assistenten das soeben angelegte Subnetz bearbeitet {{Button||w}} und für das {{b|Remote-Netzwerk}} der Wert {{ic|192.168.22.0/24}} eingebtragen. }}</li>
|-
|-
| class=" Leerzeile" colspan="3" | {{#var: wizard-beenden| Beenden des Einrichtungsassistenten mit {{Button| Fertig }} }}
| {{b| Remote Gateway ID: }}<br><small>'''{{#var:Remote Gateway ID Hinweis}}'''</small>  || {{ic| 192.0.2.192 |dr|class=available}} <br><small>{{#var:oder}}</small><br>{{ic| {{#var:Schritt4--gatewayID--val}}|dr|class=available}} || {{Hinweis-neu|!}} {{#var:Schritt4--gatewayID--desc}} {{info|{{#var:Schritt4--gatewayID--info}} }}
|-
|-
| class="Leerzeile" colspan="3" | <br>
| {{b|{{#var: Schritt4--IPadresse--cap}} }}<br><small>'''{{#var:Remote Gateway ID Hinweis}}'''</small> || {{ic| 192.168.222.35|class=available}} || {{#var: Schritt4--IPadresse--desc}}
==== {{#var: Regelwerk| Regelwerk }} ====
<li class="list--element__alert list--element__hint">{{#var: Schritt4--IPadresse--hinweis}}<br>{{#var: Schritt4--IPadresse--phase2}}</li>
|- class="Leerzeile"
|
|-
| class="Leerzeile" colspan="3"|<br>{{h5| {{#var:Gegenstelle}} – IKEv2 | {{#var:Schritt}} 4 - {{#var: Gegenstelle}} - IKEv2 }}
|-
| {{b|{{#var:Öffentlicher RSA-Schlüssel}} }}<br><small>'''{{#var:Öffentlicher RSA-Schlüssel Hinweis}}'''</small> || {{Button|{{#var:Schritt2--RSA--val}}|dr|class=available}} || {{#var:Öffentlicher RSA-Schlüssel--desc}}
| class="Bild" rowspan="8" | {{Bild| {{#var: Schritt4--gatewayID--bild}}|{{#var:Einrichtungsschritt}} 4 - IKEv2}}
|-
| {{b|{{#var:IP-Adresse Pool}} }} || {{ic|{{#var:IP-Adresse Pool--val}}|class=available}} || {{#var:IP-Adresse Pool--desc}}
|-
| rowspan="3"| {{b|{{#var:Schritt2--authentifizierungsmethode}} }}<br><small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|{{#var:Zertifikat}}|dr|class=available}} || {{#var:Zertifikat--desc}}
|-
| {{Button|{{#var:EAP-MSCHAPV2}}|dr|class=available}} || {{#var:EAP-MSCHAPV2--desc}}
|-
| {{Button|{{#var:EAP-TLS}}|dr|class=available}} || {{#var:EAP-TLS--desc}}
|-
<!--
| rowspan="2"| {{b|{{#var:Schritt2--x509--cap}} }}<br><small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|{{#var:IPSec Cert}}|dr|class=available}}<br><small>'''{{#var:Zertifikat Hinweis 2}}'''</small> || {{#var:Zertifikat Gegenstelle}}<br>{{Hinweis-neu|!}}{{#var:Zertifikat Hinweis}}
|-
| {{Button|{{#var:IPSec Cert}}|dr|class=available}}<br><small>'''{{#var:Zertifikat Hinweis EAP-TLS}}'''</small> || {{#var:Zertifikat Gegenstelle}}
|-
-->
| {{b|{{#var:Schritt2--x509--cap}} }}<br><small>'''{{#var:IKEv2 ohne PSK}}'''</small>
| {{Button|{{#var:IPSec Cert}}|dr|class=available}} || {{#var:Zertifikat Gegenstelle}}<br>{{Hinweis-neu|!}}{{#var:Zertifikat Hinweis}}
|-
| {{b|{{#var:Benutzergruppe}} }}<br>{{Hinweis-neu|{{#var:Neu ab}} 12.2.4|12.2.4|status=update}}<br><small>'''{{#var:Benutzergruppe--Hinweis}}'''</small> || {{Button|{{#var:Benutzergruppe--val}}|dr|class=available}} || {{#var:Benutzergruppe--desc}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3"| {{#var: wizard-beenden }}
|}
 
----
 
=== {{#var: Regelwerk }} ===


{{#var: Regelwerk--desc| Um den Zugriff, auf das Interne Netz zu gewähren muss die Verbindung erlaubt werden. }}
{{#var: Regelwerk--desc}}
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
| class="Leerzeile" colspan="3" | {{h3|{{#var: Implizite Regeln| Implizite Regeln }}}}{{Hinweis|!! § <small>{{#var: Implizite Regeln--hinweis| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic|VPN}} und Abschnitt {{ic|IPSec Traffic}} zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei. }} |g|lh=1em}}</small>
| class="Leerzeile" colspan="3" | {{h4|{{#var: Implizite Regeln }} }}{{Hinweis-neu|!! § {{#var: Implizite Regeln--hinweis}}|g}}
| class="bild width-m" | {{Einblenden2 | {{#var: Screenshots| Screenshots zeigen }} | {{#var: ausblenden| ausblenden }} | dezent| true | {{Bild| {{#var: Implizite Regeln--bild1| UTM_v11.8.8_Implizite-Regeln_IPSec.png }} | {{#var: Implizite Regeln--bild1--cap| Implizite Regeln, Abschnitt VPN }} }}<br>{{Bild|{{#var: Implizite Regeln--bild2| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png }} | {{#var: Implizite Regeln--bild2--cap| Implizite Regeln, Abschnitt IPSec Traffic }} }} }}
| class="Bild" | {{Einblenden2 | {{#var: Screenshots| Screenshots zeigen }} | {{#var: ausblenden| ausblenden }} | dezent| true | {{Bild| {{#var: Implizite Regeln--bild1| UTM_v11.8.8_Implizite-Regeln_IPSec.png }} | {{#var: Implizite Regeln--bild1--cap| Implizite Regeln, Abschnitt VPN }} }}<br>{{Bild|{{#var: Implizite Regeln--bild2| UTM_v11.8.8_Implizite-Regeln_IPSec-Traffic.png }} | {{#var: Implizite Regeln--bild2--cap| Implizite Regeln, Abschnitt IPSec Traffic }} }} }}
|- class="Leerzeile"
|
|-
|-
| class="Leerzeile" colspan="3" |  
| class="Leerzeile" colspan="3" |  
----
===== {{#var: Netzwerkobjekt| Netzwerkobjekt anlegen }} =====
===== {{#var: Netzwerkobjekt| Netzwerkobjekt anlegen }} =====
{{Menu| Firewall | Portfilter | {{#var: Netzwerkobjekte| Netzwerkobjekte }} |{{#var:Netzwerkobjekte--hinzufügen| Objekt hinzufügen }} |+}}
{{Menu| Firewall | Portfilter | {{#var: Netzwerkobjekte| Netzwerkobjekte }} |{{#var:Netzwerkobjekte--hinzufügen| Objekt hinzufügen }} |+}}
|-
|-
| {{b| Name:}} || {{ic| ngrp-IPSec-Roadwarrior }} || {{#var: Netzwerkobjekte--name--desc| Name für das IPSec-Netzwerkobjekt }} || class="bild width-m" rowspan="5" | {{Bild| {{#var: Netzwerkobjekte--bild| UTM v11.8.8 Netzwerkobjekt IPSec-native.png }} | {{#var: Netzwerkobjekte--bild--cap| Netzwerkobjekt }} }}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="6" | {{Bild| {{#var: Netzwerkobjekte--bild| UTM v11.8.8 Netzwerkobjekt IPSec-native.png }} | {{#var: Netzwerkobjekte--bild--cap| Netzwerkobjekt }} }}
|-
|-
| {{b| {{#var: Netzwerkobjekte--typ| Typ: }} }} || {{ic| {{#var: Netzwerkobjekte----typ--val| VPN-Netzwerk }} |dr}} || {{#var: Netzwerkobjekte--typ--desc| zu wählender Typ }}
| {{b| Name:}} || {{ic| ngrp-IPSec-Roadwarrior|class=available}} || {{#var: Netzwerkobjekte--name--desc| Name für das IPSec-Netzwerkobjekt }}  
|-
|-
| {{b| {{#var: Netzwerkobjekte--adresse| Adresse: }} }} || {{ic| 192.168.222.0/24 }} || {{#var: Netzwerkobjekte--adresse--desc| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. }}
| {{b| {{#var: Netzwerkobjekte--typ| Typ: }} }} || {{ic| {{#var: Netzwerkobjekte----typ--val| VPN-Netzwerk }} |dr|class=available}} || {{#var: Netzwerkobjekte--typ--desc| zu wählender Typ }}
|-
|-
| {{b| {{#var: Netzwerkobjekte--zone| Zone: }} }} || {{ic| vpn-ipsec |dr}} || {{#var: Netzwerkobjekte--zone--desc| zu wählende Zone }}
| {{b| {{#var: Netzwerkobjekte--adresse| Adresse: }} }} || {{ic| 192.168.222.0/24|class=available }} || {{#var: Netzwerkobjekte--adresse--desc| Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im ''Installationsassistenten'' im Schritt 4 eingetragen wurde.<br>In diesem Beispiel also das Netzwerk 192.168.222.0/24. }}
|-
|-
| {{b| {{#var: Netzwerkobjekte--gruppe| Gruppe: }} }} || {{ic| | dr}} || {{#var: Netzwerkobjekte--gruppe--desc| Optional: Gruppe }}
| {{b| {{#var: Netzwerkobjekte--zone| Zone: }} }} || {{ic| vpn-ipsec |dr|class=available}} || {{#var: Netzwerkobjekte--zone--desc| zu wählende Zone }}
|-
|-
| class="Leerzeile" colspan="3" |
| {{b| {{#var: Netzwerkobjekte--gruppe| Gruppe: }} }} || {{ic| | dr|class=available}} || {{#var: Netzwerkobjekte--gruppe--desc| Optional: Gruppe }}
|-
|- class="Leerzeile"
| class="Leerzeile" colspan="2" |  
|
|- class="Leerzeile"
colspan="2" |  
===== {{#var: regeln| Portfilter Regeln }} =====
===== {{#var: regeln| Portfilter Regeln }} =====
|  colspan="2" class="Bild" style="min-width: 69%;" | {{Bild| {{#var: regeln--bild| UTM_v11.8.8_Portfilter_IPSec.png }} | {{#var: regeln--bild--cap}} }}
|  colspan="2" class="Bild" style="min-width: 69%;" | {{Bild| {{#var: regeln--bild| UTM_v11.8.8_Portfilter_IPSec.png }} | {{#var: regeln--bild--cap}} }}
Zeile 120: Zeile 212:
  </div>
  </div>


----


=== {{#var:Weitere Einstellungen}} ===
=== {{#var:Weitere Einstellungen}} ===
<div class="Einrücken">{{#var:Weitere Einstellungen--desc}}</div>
<div class="Einrücken">{{#var:Weitere Einstellungen--desc}}
{| class="sptable2 pd5 Einrücken zh1"
<br clear=all>
{{:UTM/VPN/IPSec-Phase1-2}}
==== IKEv1 ====
|}
{{Einblenden | {{#var: Einstellungen IKEv1 }} | {{#var: Einstellungen IKEv1 ausblenden}} | dezent| true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2|IPSec=IKEv1 RW}}
</div></span></div>
<br clear=all>
==== IKEv2 ====
{{Einblenden | {{#var: Einstellungen IKEv2 }} | {{#var: Einstellungen IKEv2 ausblenden}} | dezent| true| Vorschau=step-by-step.png}}
{{:UTM/VPN/IPSec-Phase1-2|IPSec=IKEv2 RW}}
</div></span></div></div>

Version vom 24. November 2022, 14:57 Uhr























































































De.png
En.png
Fr.png






Konfiguration einer End-to-Site-Verbindung mit IPSec für Roadwarrior
Letzte Anpassung zur Version: 12.2.4
Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.2.3 11.8 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →IPSec


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter oder eine Außendienstmitarbeiterin mit dem Netzwerk der Zentrale verbinden.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer End-to-Site Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec mit IKEv1.
Für native IPSec Verbindungen mit IKEv1 benötigt der Client ein separates Programm.

Einrichtungsassistent

Verbindungstyp
Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung UTM v12.6.2 VPN IPSec hinzufügen S1.png
Einrichtungsschritt 1
Auswahl des Verbindungs-Typs Es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior
  • Site to Site
  • Roadwarrior
  • Site to Site
 Für die Konfiguration einer E2S / End-to-Site-Verbindung wird Roadwarrior ausgewählt.

Allgemein
Schritt 2 - Allgemein
Name: IPSec Roadwarrior UTM v12.6.2 VPN IPSec hinzufügen S2.png
Einrichtungsschritt 2
IKEv1 - Native
IKEv1 - L2TP
IKEv1 - XAuth
IKEv1 - Native
IKEv2 - Native
Bitte beachten, welcher Typ vom Betriebssystem unterstützt wird.
Beim Einrichtungsschritt 2 stehen zwei grundverschiedene Verbindungstypen zur Auswahl. Je nachdem ob ein Verbindungstyp von IKEv1, oder IKEv2 ausgewählt wird, unterscheiden sich die kommenden Einrichtungsschritte 3 und 4:

Lokal – IKEv1
Schritt 3 - Lokal - IKEv1
Local Gateway ID:    
[[Datei:]]
Einrichtungsschritt 3 - IKEv1
Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
Ein vorhandener privater RSA-Schlüssel wird verwendet
   

Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS

Nur bei IKEv1 - Native		    

Lokal – IKEv2
Schritt 3 - Lokal - IKEv2
Local Gateway ID:    
[[Datei:]]
Einrichtungsschritt 3 - IKEv2
Ein Pre-Shared Key wird verwendet
Zertifikat Ein vorhandenes Zertifikat wird verwendet
Ein vorhandener privater RSA-Schlüssel wird verwendet
Nur bei IKEv2
Neu ab v12.2.4
 EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.
   

Nur bei Authentifizierungsmethode
  • Zertifikat und
  • EAP-TLS
   

Gegenstelle – IKEv1
Schritt 4 - Gegenstelle - IKEv1
Öffentlicher RSA-Schlüssel:
Nur bei Authentifizierungsmethode RSA		 Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle [[Datei: ]]
Einrichtungsschritt 4 - IKEv1
IP-Adresse / Pool:
Nur bei IKEv1 - XAuth		     IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen
Öffne Benutzerdialog nach Beendigung:
Nur bei
  • IKEv1 - L2TP und
  • IKEv1 - XAuth
 Ja Öffnet im Anschluss an den Assistenten den Benutzer-Dialog der UTM.
Für den Aufbau dieser Verbindung ist die Eingabe von Benutzerdaten nötig. Der Benutzer benötigt die nötigen Rechte.
Remote Gateway ID:
Nur bei IKEv1 - Native		 192.0.2.192
oder
Mein_Roadwarrior
Wird mehr als eine IPSec-Verbindung eingerichtet, sollte hier unbedingt eine eindeutige ID eingetragen werden. Das Kennwort ankommender Verbindungen wird anhand der ID der IPSec-Verbindung überprüft.
Wird als ID keine IP-Adresse angegeben, sind bei Site-to-Site-Verbindungen weitere Einstellungen vorzunehmen.
  
IP-Adresse(n):
Nur bei IKEv1 - Native		 192.168.222.35 Zusätzliche IP-Adresse für den Roadwarrior, mit der die IPSec-Verbindung aufgebaut wird.

  • Für dieses Beispiel wird nach Beendigung des Assistenten die soeben angegebene Adresse bearbeitet und für das Remote-Netzwerk der Wert 192.168.222.0/24 eingetragen.

    • Gegenstelle – IKEv2
    Schritt 4 - Gegenstelle - IKEv2
    Öffentlicher RSA-Schlüssel:
    Nur bei Authentifizierungsmethode RSA    		 Der benötigte öffentlicher RSA-Schlüssel der Gegenstelle [[Datei: ]]
    Einrichtungsschritt 4 - IKEv2
    IP-Adresse / Pool:     IP-Adresse, bzw. Pool für den Aufbau der IPSec-Verbindungen

    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
         		Zertifikat Ein vorhandenes Zertifikat wird verwendet
    EAP-MSCHAPV2 wird verwendet
    EAP-TLS wird verwendet. Wird für MSCHAPv2 benötigt.

    Nur bei Authentifizierungsmethode
    • Zertifikat oder
    • EAP-TLS
         		Das Zertifikat für die Gegenstelle.
    Es müssen zwei unterschiedliche Zertifikate für die lokale und die remote Seite ausgewählt werden.
    Benutzergruppe
    Neu ab 12.2.4

    Nur bei EAP-MSCHAPv2    		 Auswahl der berechtigten Benutzergruppe. Diese muss vorher erstellt werden.

    Regelwerk

    Um den Zugriff auf das interne Netz zu gewähren, muss die Verbindung erlaubt werden.

    Implizite Regeln

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln im Abschnitt VPN und IPSec Traffic zu konfigurieren. Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    UTM v12.6.2 Firewall Implizite Regeln VPN IPSec S2E.png
    Implizite Regeln, Abschnitt VPN
    UTM v12.6.2 Firewall Implizite Regeln IPSec traffic.png
    Implizite Regeln, Abschnitt IPSec Traffic
    Netzwerkobjekt anlegen

    → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche Objekt hinzufügen

    Beschriftung Wert Beschreibung UTM v11.8.8 Netzwerkobjekt IPSec-native.png
    Netzwerkobjekt
    Name: ngrp-IPSec-Roadwarrior Name für das IPSec-Netzwerkobjekt
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.222.0/24 Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben, der im Installationsassistenten im Schritt 4 eingetragen wurde.
    In diesem Beispiel also das Netzwerk 192.168.222.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Gruppe
    Portfilter Regeln
    		 UTM v11.8.8 Portfilter IPSec.png
    Die erste Regel ermöglicht, das der IPSec-Tunnel überhaupt aufgebaut wird.
    Quelle World.svg internet Quelle, aus welcher der Zugriff auf das interne Netz erfolgen soll.
    Ziel Interface.svg external-interface Schnittstelle, auf der die Verbindung ankommt.
    Dienst Service-group.svg ipsec Vordefinierte Dienstgruppe für IPSec
    Dienst / Protokoll, Port isakmp / udp 500 nat-traversal / udp 4500 Protokoll esp
      

    Eine zweite Regel erlaubt dann dem Roadwarrior den Zugriff auf das gewünschte Netzwerk, einen Host oder eine Netzwerkgruppe.
    Quelle Vpn-network.svg IPSec Roadwarrior Roadwarrior -Host oder -Netzwerk
    Ziel Network.svg dmz1-network Netzwerk, auf das zugegriffen werden soll.
    Dienst Service-group.svg xyz Gewünschter Dienst oder Dienstgruppe


    Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:


    IKEv1

    Step-by-step.png

























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):




























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 Allgemein.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1     		UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
      
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
    • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
     Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
     Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.


    IKEv2

    Step-by-step.png

























































    {{var | DH-Gruppe (PFS) | DH-Gruppe (PFS): | DH-Group (PFS):




























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 1 Allgemein.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default    		 Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route    		 Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
    • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
    • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1     		UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
      
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
      
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
    • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
     Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
    		•  Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
     Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP    		 192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.

    • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns 

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
 local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns 

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
   local:  %any
   remote: 192.0.2.192
   local pre-shared key authentication:
     id: 192.168.175.218
   remote pre-shared key authentication:
     id: 192.0.2.192
   IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.218.0/24
     remote: 192.168.193.0/24
   IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.192.0/24
   IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
     local:  192.168.219.0/24
     remote: 192.168.193.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24 192.168.219.0/24
   remote: 192.168.192.0/24 192.168.193.0/24


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s 

     local:  %any
 remote: 192.0.2.192
 local pre-shared key authentication:
   id: 192.168.175.218
 remote pre-shared key authentication:
   id: 192.0.2.192
 IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.192.0/24
 IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.218.0/24
   remote: 192.168.193.0/24
 IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
   local:  192.168.219.0/24
   remote: 192.168.192.0/24

    		UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden
    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-S2E_v12.4&oldid=83682