1.
IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten
1.1
Einleitung
Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 vom bintec IPSec Client zum bintec IPSec-Gateway beschrieben. Der IPSec Client erhält über den IKE-ConfigMode eine IP-Adresse, um auf das IP-Subnetz der Zentrale zuzugreifen. Das Szenario kann sowohl mit dynamischen als auch mit festen IP-Adressen konfiguriert werden. Die Authentifizierung erfolgt über Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden (PKCS#12). Diese Anleitung zeigt die Konfiguration der Zentrale auf Basis eines RS232bw Routers.
Zur Konfiguration wird das Graphical User Interface (GUI) verwendet.
1.2
Voraussetzungen
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
Eine Grundkonfiguration des Gateways.
Die Konfiguration erfordert einen funktionsfähigen Internetzugang.
Bintec IPSec Client ab Software 2.30.
Eine installierte Zertifizierungsstelle (CA) z.B. XCA Version 0.9.3.
Seite - 1 -
1.3
Zertifizierungsstelle
Installieren Sie die Zertifizierungsstelle xca und erstellen Sie eine neue Datenbank. Gehen Sie anschließend in folgendes Menü, um für das eigene Zertifikat der Zertifizierungsstelle, für den IKEv2-IPSec-Client und für das IPSec-Gateway jeweils einen Schlüssel zu generieren:
XCA Private Schlüssel Neuer Schlüssel
Wählen Sie als Schlüsselnamen z.B. key1, key2 und key3. Stellen Sie die Schlüssellänge auf z.B. 1024 bit und den Schlüsseltyp auf z.B. RSA.
Gehen Sie in folgendes Menü, um das Zertifikat der Zertifizierungsstelle zu erstellen:
XCA Zertifikate Neues Zertifikat Auf der Registerkarte Herkunft wählen Sie als Signaturalgorithmus z.B. SHA 1. Als Vorlage für das neue Zertifikat nutzen Sie [default] CA und klicken auf Übernehmen.
Seite - 2 -
Füllen Sie auf der Registerkarte Besitzer alle Angaben zur Zertifizierungsstelle wie folgt aus:
Interner Name: z.B. Teldat-CA.
organizationName: z.B. Teldat.
countryName: z.B. DE.
organizationUnitName: z.B. Training.
stateOrProvinceName: z.B. NRW.
commonName: z.B. ca.
localityName: z.B. Krefeld.
emailAddress: z.B.
[email protected].
Unter Privater Schlüssel wählen Sie den für die CA generierten Schlüssel, z.B. key1 (RSA). Bestätigen Sie Ihre Eingaben mit OK.
Für den Router und den Client brauchen Sie jeweils ein eigenes Zertifikat. Gehen Sie in folgendes Menü, um zwei Zertifikate mit folgenden Parametern zu erstellen:
XCA Zertifikate Neues Zertifikat
Auf der Registerkarte Herkunft aktivieren Sie Verwende dieses Zertifikat zum Unterschreiben und wählen z.B. Teldat-CA aus. Den Signaturalgorithmus setzen Sie auf z.B. SHA 1.
Seite - 3 -
Auf der Registerkarte Besitzer verwenden Sie für den Router als Interner Name und Üblicher Name z.B. zentrale. Für den Client verwenden Sie als Interner Name und Üblicher Name z.B. client.
Gehen Sie in folgendes Menü, um die Zertifikate für den Router und den Client inklusive privatem Schlüssel und Zertifikat der Zertifizierungsstelle als Datei zu exportieren:
XCA Zertifikate Markieren Sie das Zertifikat, welches exportiert werden soll z.B. zentrale und klicken Sie auf Export.
Als Privater Schlüssel wählen Sie für den Router z.B. key2 und für den Client z.B. key3 aus.
Wählen Sie als Dateinamen für den Router z.B. C:\zentrale.p12 und für den Client z.B. C:\client.p12. Als Exportformat geben Sie z.B. PKCS#12 with Certificate chain an. Geben Sie anschließend ein Passwort ein z.B. bintec.
Seite - 4 -
1.4
Zertifikat importieren
Um das erstellte Zertifikat in den Router zu importieren, gehen Sie in folgendes Menü:
GUI Systemverwaltung Zertifikate Zertifikatsliste Importieren
Folgende Punkte sind hier relevant:
Feld
Bedeutung
Externer Dateiname
Der Pfad zum Zertifikat, welches importiert werden soll.
Lokale Zertifikatsbeschreibung
Der interne Dateiname für das Zertifikat.
Dateikodierung
Wählen Sie das Kodierformat der Datei aus.
Passwort
Optionales Kennwort zur Absicherung des Zertifikats.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Bei Externer Dateiname geben Sie z.B. C:\zentrale.p12 an.
Als Lokale Zertifikatsbeschreibung verwenden Sie z.B. zentrale.
Unter Dateikodierung wählen Sie z.B. Auto.
Als Passwort verwenden Sie z.B. bintec.
1.5
Verbindung im Router konfigurieren
Um den IKE-Config Modus für die Vergabe von IP-Adressen an die Clients zu nutzen, müssen Sie einen IP-Adressen Pool erstellen. Gehen Sie in folgendes Menü, um einen IP-Pool für den IPSec-Client zu erstellen:
Seite - 5 -
GUI VPN IPSec IP Pools Hinzufügen
Folgende Punkte sind hier relevant:
Feld
Bedeutung
IP-Poolname
Die Bezeichnung des IP-Pools.
IP-Poolbereich
Die erste und letzte IP-Adresse aus dem Pool.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter Beschreibung tragen Sie z.B. IPSec-Pool ein.
Als IP-Poolbereich verwenden Sie z.B. 192.168.0.100 - 192.168.0.120.
Gehen Sie jetzt in folgendes Menü, um die IPSec-Verbindung für den Client zu erstellen:
GUI VPN IPSec IPSec Peers Neu
Seite - 6 -
Folgende Punkte sind hier relevant:
Feld
Bedeutung
Beschreibung
Die Bezeichnung des VPN-Tunnels.
Peer-Adresse
Die öffentliche IP-Adresse / Domain Name vom Partner.
Peer-ID
Die Identifikation vom einwählenden Client.
IKE (Internet Key Exchange) Das verwendete Protokoll für den Verbindungsaufbau. Authentifizierungsmethode
Die Art der Authentifizierung.
Lokales Zertifikat
Das eigene Zertifikat für die Authentifizierung.
Lokale ID
Die eigene Identität für die Authentifizierung.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter Beschreibung tragen Sie z.B. Client ein.
Das Feld Peer-Adresse bleibt bei einer Client Einwahl leer.
Als Peer-ID verwenden Sie z.B. ASN.1-DN / CN=client.
Bei IKE (Internet Key Exchange) wählen Sie IKEv2.
Die Authentifizierungsmethode setzten Sie auf z.B. RSA-Signatur.
Als Lokales Zertifikat wählen Sie z.B. zentrale aus.
Unter Lokale ID setzten Sie den Haken: Subjektname aus Zertifikat verwenden.
Konfigurieren Sie die Routenparameter folgendermaßen:
Folgende Punkte sind hier relevant:
IP-Adressenvergabe
Wählen Sie zwischen statischer / dynamischer IP-Adresse.
Konfigurationsmodus
Auf welche Art soll die IP-Adresse vergeben werden.
IP-Zuordnungspool
Der IP-Adressen Pool für die Vergabe an die Clients.
Lokale IP-Adresse
Die Lokale IP-Adresse der LAN-Schnittstelle.
Seite - 7 -
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter IP-Adressenvergabe wählen Sie z.B. Server im IKE-Konfigurationsmodus.
Wählen Sie als Konfigurationsmodus z.B. Pull.
Als IP-Zuordnungspool verwenden Sie z.B. IPSec-Pool.
Bei Lokale IP-Adresse tragen Sie z.B. 192.168.0.1 ein.
INFO Wenn Sie dem Client eine IP-Adresse aus dem selben Subnetz geben wie im LAN der Zentrale, müssen Sie im Tunnel unter Erweiterte Einstellungen als auch im LAN Interface unter LAN IP-Konfiguration en1-0 Erweiterte Einstellungen Proxy ARP einschalten.
INFO Wenn Sie Zertifikate zur Authentifizierung nutzen, müssen Sie in folgendem Menü Datum und Uhrzeit überprüfen um sicher zu stellen, dass die verwendeten Zertifikate gültig sind: GUI Systemverwaltung Globale Einstellungen Datum und Uhrzeit
1.8
bintec IPSec Client konfigurieren
Nach der ersten Installation des Clients müssen Sie über den Secure Client Monitor Ihre Verbindung konfigurieren. Legen Sie für jede Verbindung ein Profil an. Der Wizard startet nach der Installation automatisch. Gehen Sie folgendermaßen vor, um eine Verbindung zur Zentrale zu konfigurieren:
IPSec Client Konfiguration Profile Hinzufügen
1.
Wählen Sie für die Konfiguration eine IPSec-Verbindung.
Seite - 8 -
2.
Benennen Sie den Eintrag z.B. Zentrale.
3.
Wählen Sie Ihre Internet-Verbindung, die Sie konfigurieren möchten. Wenn Sie bereits eine Verbindung konfiguriert haben wählen Sie z.B. LAN (over IP).
4.
Hier geben Sie die öffentliche feste Gateway-IP-Adresse oder den DynDNSNamen der Zentrale an z.B. 62.10.20.30.
5.
Den Austausch-Modus setzen Sie auf IKEv2. Die PFS-Gruppe stellen Sie auf z.B. DH-Gruppe 2. 6. Bei Shared Secret tragen Sie kein Passwort ein, da Sie Zertifikate nutzen. Wählen Sie unter Typ z.B. ASN1 Distinguished Name aus und lassen ID frei. Der Client ließt wie der Router die eigene ID aus dem Zertifikat aus.
7.
Wählen Sie unter IP-AdressenZuweisung z.B. IKE Config Mode verwenden aus.
Seite - 9 -
8. Optional können Sie die Stateful Inspection Firewall aktivieren. Belassen Sie den Eintrag auf Aus.
Wenn Sie den Wizard verwendet haben, müssen Sie nachträglich die Verbindungsparameter des Profils ändern. Gehen Sie in folgendes Menü, um die Konfiguration anzupassen:
IPSec Client Konfiguration Profile Bearbeiten
9.
In den IPSec-Einstellungen müssen Sie im Menü Editor die IKE- und IPSec-Richtlinien erstellen. Konfigurieren Sie im Editor neue Einträge, die Sie im Anschluss in der Verbindung auswählen.
10. Benennen Sie den Eintrag z.B. Zentrale. Wählen Sie in der Reihenfolge:
RSA-Signature
AES 256 Bit
SHA
DH-Gruppe 2
Seite - 10 -
11.
Benennen Sie den Eintrag z.B. Zentrale. Wählen Sie in der Reihenfolge:
AES 256 Bit
SHA
12.
Geben Sie unter Spilt Tunneling über den Button Hinzufügen das Netzwerk der Zentrale an z.B. 192.168.0.0/24.
Wählen Sie unter Identität bei 13.
Zertifikatskonfiguration das Profil aus, welches das eigene Zertifikat enthält z.B. Standard Zertifikats-Konfiguration.
Sie müssen im Client ein Profil konfigurieren, welches das eigene Zertifikat beinhaltet. Gehen Sie in folgendes Menü, um das Standard-Profil anzupassen:
IPSec Client Konfiguration Zertifikate Standard Zertifikats-Konfiguration Bearbeiten
Seite - 11 -
Wählen Sie in der Registerkarte
14.
Benutzer-Zertifikat bei Zertifikat aus PKCS#12-Datei aus. Geben Sie bei PKCS#12-Dateiname den Pfad zum Client Zertifikat an z.B. C:\client.p12.
INFO Wenn Sie als Passwort zum Schutz des PKCS#12 Zertifikats weniger als 4 Stellen angegeben haben, müssen Sie in der Registerkarte PIN-Richtlinie den Punkt Minimale Anzahl der Zeichen reduzieren.
7.9
Konfiguration überprüfen
Um die IPSec-Verbindung zu testen, bauen Sie die Verbindung vom Client aus auf und geben Sie in der Eingabeaufforderung des Client-PCs einen Ping zum zentralen Router ab.
Beim Verbindungsaufbau müssen Sie das ZertifikatsPasswort eingeben z.B. bintec.
c:\>ping 192.168.0.1 Ping wird ausgeführt für 192.168.0.1 mit 32 Bytes Daten: Antwort von 192.168.0.1: Bytes=32 Zeit=3ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=1ms TTL=61 Ping-Statistik für 192.168.0.1: Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms
Seite - 12 -
Die Systemmeldungen vom Router können Sie sich in folgendem Menü anzeigen lassen:
GUI Monitoring Internes Protokoll
Seite - 13 -