1.

IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten

1.1

Einleitung

Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 vom bintec IPSec Client zum bintec IPSec-Gateway beschrieben. Der IPSec Client erhält über den IKE-ConfigMode eine IP-Adresse, um auf das IP-Subnetz der Zentrale zuzugreifen. Das Szenario kann sowohl mit dynamischen als auch mit festen IP-Adressen konfiguriert werden. Die Authentifizierung erfolgt über Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden (PKCS#12). Diese Anleitung zeigt die Konfiguration der Zentrale auf Basis eines RS232bw Routers.

Zur Konfiguration wird das Graphical User Interface (GUI) verwendet.

1.2

Voraussetzungen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:



Eine Grundkonfiguration des Gateways.



Die Konfiguration erfordert einen funktionsfähigen Internetzugang.



Bintec IPSec Client ab Software 2.30.



Eine installierte Zertifizierungsstelle (CA) z.B. XCA Version 0.9.3.

Seite - 1 -

1.3

Zertifizierungsstelle

Installieren Sie die Zertifizierungsstelle xca und erstellen Sie eine neue Datenbank. Gehen Sie anschließend in folgendes Menü, um für das eigene Zertifikat der Zertifizierungsstelle, für den IKEv2-IPSec-Client und für das IPSec-Gateway jeweils einen Schlüssel zu generieren:

XCA  Private Schlüssel  Neuer Schlüssel

Wählen Sie als Schlüsselnamen z.B. key1, key2 und key3. Stellen Sie die Schlüssellänge auf z.B. 1024 bit und den Schlüsseltyp auf z.B. RSA.

Gehen Sie in folgendes Menü, um das Zertifikat der Zertifizierungsstelle zu erstellen:

XCA  Zertifikate  Neues Zertifikat Auf der Registerkarte Herkunft wählen Sie als Signaturalgorithmus z.B. SHA 1. Als Vorlage für das neue Zertifikat nutzen Sie [default] CA und klicken auf Übernehmen.

Seite - 2 -

Füllen Sie auf der Registerkarte Besitzer alle Angaben zur Zertifizierungsstelle wie folgt aus: 

Interner Name: z.B. Teldat-CA.



organizationName: z.B. Teldat.



countryName: z.B. DE.



organizationUnitName: z.B. Training.



stateOrProvinceName: z.B. NRW.



commonName: z.B. ca.



localityName: z.B. Krefeld.



emailAddress: z.B. [email protected].

Unter Privater Schlüssel wählen Sie den für die CA generierten Schlüssel, z.B. key1 (RSA). Bestätigen Sie Ihre Eingaben mit OK.

Für den Router und den Client brauchen Sie jeweils ein eigenes Zertifikat. Gehen Sie in folgendes Menü, um zwei Zertifikate mit folgenden Parametern zu erstellen:

XCA  Zertifikate  Neues Zertifikat

Auf der Registerkarte Herkunft aktivieren Sie Verwende dieses Zertifikat zum Unterschreiben und wählen z.B. Teldat-CA aus. Den Signaturalgorithmus setzen Sie auf z.B. SHA 1.

Seite - 3 -

Auf der Registerkarte Besitzer verwenden Sie für den Router als Interner Name und Üblicher Name z.B. zentrale. Für den Client verwenden Sie als Interner Name und Üblicher Name z.B. client.

Gehen Sie in folgendes Menü, um die Zertifikate für den Router und den Client inklusive privatem Schlüssel und Zertifikat der Zertifizierungsstelle als Datei zu exportieren:

XCA  Zertifikate Markieren Sie das Zertifikat, welches exportiert werden soll z.B. zentrale und klicken Sie auf Export.

Als Privater Schlüssel wählen Sie für den Router z.B. key2 und für den Client z.B. key3 aus.

Wählen Sie als Dateinamen für den Router z.B. C:\zentrale.p12 und für den Client z.B. C:\client.p12. Als Exportformat geben Sie z.B. PKCS#12 with Certificate chain an. Geben Sie anschließend ein Passwort ein z.B. bintec.

Seite - 4 -

1.4

Zertifikat importieren

Um das erstellte Zertifikat in den Router zu importieren, gehen Sie in folgendes Menü:

GUI  Systemverwaltung  Zertifikate  Zertifikatsliste  Importieren

Folgende Punkte sind hier relevant:

Feld

Bedeutung

Externer Dateiname

Der Pfad zum Zertifikat, welches importiert werden soll.

Lokale Zertifikatsbeschreibung

Der interne Dateiname für das Zertifikat.

Dateikodierung

Wählen Sie das Kodierformat der Datei aus.

Passwort

Optionales Kennwort zur Absicherung des Zertifikats.

Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:



Bei Externer Dateiname geben Sie z.B. C:\zentrale.p12 an.



Als Lokale Zertifikatsbeschreibung verwenden Sie z.B. zentrale.



Unter Dateikodierung wählen Sie z.B. Auto.



Als Passwort verwenden Sie z.B. bintec.

1.5

Verbindung im Router konfigurieren

Um den IKE-Config Modus für die Vergabe von IP-Adressen an die Clients zu nutzen, müssen Sie einen IP-Adressen Pool erstellen. Gehen Sie in folgendes Menü, um einen IP-Pool für den IPSec-Client zu erstellen:

Seite - 5 -

GUI  VPN  IPSec  IP Pools  Hinzufügen

Folgende Punkte sind hier relevant:

Feld

Bedeutung

IP-Poolname

Die Bezeichnung des IP-Pools.

IP-Poolbereich

Die erste und letzte IP-Adresse aus dem Pool.

Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:



Unter Beschreibung tragen Sie z.B. IPSec-Pool ein.



Als IP-Poolbereich verwenden Sie z.B. 192.168.0.100 - 192.168.0.120.

Gehen Sie jetzt in folgendes Menü, um die IPSec-Verbindung für den Client zu erstellen:

GUI  VPN  IPSec  IPSec Peers  Neu

Seite - 6 -

Folgende Punkte sind hier relevant:

Feld

Bedeutung

Beschreibung

Die Bezeichnung des VPN-Tunnels.

Peer-Adresse

Die öffentliche IP-Adresse / Domain Name vom Partner.

Peer-ID

Die Identifikation vom einwählenden Client.

IKE (Internet Key Exchange) Das verwendete Protokoll für den Verbindungsaufbau. Authentifizierungsmethode

Die Art der Authentifizierung.

Lokales Zertifikat

Das eigene Zertifikat für die Authentifizierung.

Lokale ID

Die eigene Identität für die Authentifizierung.

Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:



Unter Beschreibung tragen Sie z.B. Client ein.



Das Feld Peer-Adresse bleibt bei einer Client Einwahl leer.



Als Peer-ID verwenden Sie z.B. ASN.1-DN / CN=client.



Bei IKE (Internet Key Exchange) wählen Sie IKEv2.



Die Authentifizierungsmethode setzten Sie auf z.B. RSA-Signatur.



Als Lokales Zertifikat wählen Sie z.B. zentrale aus.



Unter Lokale ID setzten Sie den Haken: Subjektname aus Zertifikat verwenden.

Konfigurieren Sie die Routenparameter folgendermaßen:

Folgende Punkte sind hier relevant:

IP-Adressenvergabe

Wählen Sie zwischen statischer / dynamischer IP-Adresse.

Konfigurationsmodus

Auf welche Art soll die IP-Adresse vergeben werden.

IP-Zuordnungspool

Der IP-Adressen Pool für die Vergabe an die Clients.

Lokale IP-Adresse

Die Lokale IP-Adresse der LAN-Schnittstelle.

Seite - 7 -

Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:



Unter IP-Adressenvergabe wählen Sie z.B. Server im IKE-Konfigurationsmodus.



Wählen Sie als Konfigurationsmodus z.B. Pull.



Als IP-Zuordnungspool verwenden Sie z.B. IPSec-Pool.



Bei Lokale IP-Adresse tragen Sie z.B. 192.168.0.1 ein.

INFO Wenn Sie dem Client eine IP-Adresse aus dem selben Subnetz geben wie im LAN der Zentrale, müssen Sie im Tunnel unter Erweiterte Einstellungen als auch im LAN Interface unter LAN  IP-Konfiguration  en1-0  Erweiterte Einstellungen Proxy ARP einschalten.

INFO Wenn Sie Zertifikate zur Authentifizierung nutzen, müssen Sie in folgendem Menü Datum und Uhrzeit überprüfen um sicher zu stellen, dass die verwendeten Zertifikate gültig sind: GUI  Systemverwaltung  Globale Einstellungen  Datum und Uhrzeit

1.8

bintec IPSec Client konfigurieren

Nach der ersten Installation des Clients müssen Sie über den Secure Client Monitor Ihre Verbindung konfigurieren. Legen Sie für jede Verbindung ein Profil an. Der Wizard startet nach der Installation automatisch. Gehen Sie folgendermaßen vor, um eine Verbindung zur Zentrale zu konfigurieren:

IPSec Client  Konfiguration  Profile  Hinzufügen

1.

Wählen Sie für die Konfiguration eine IPSec-Verbindung.

Seite - 8 -

2.

Benennen Sie den Eintrag z.B. Zentrale.

3.

Wählen Sie Ihre Internet-Verbindung, die Sie konfigurieren möchten. Wenn Sie bereits eine Verbindung konfiguriert haben wählen Sie z.B. LAN (over IP).

4.

Hier geben Sie die öffentliche feste Gateway-IP-Adresse oder den DynDNSNamen der Zentrale an z.B. 62.10.20.30.

5.

Den Austausch-Modus setzen Sie auf IKEv2. Die PFS-Gruppe stellen Sie auf z.B. DH-Gruppe 2. 6. Bei Shared Secret tragen Sie kein Passwort ein, da Sie Zertifikate nutzen. Wählen Sie unter Typ z.B. ASN1 Distinguished Name aus und lassen ID frei. Der Client ließt wie der Router die eigene ID aus dem Zertifikat aus.

7.

Wählen Sie unter IP-AdressenZuweisung z.B. IKE Config Mode verwenden aus.

Seite - 9 -

8. Optional können Sie die Stateful Inspection Firewall aktivieren. Belassen Sie den Eintrag auf Aus.

Wenn Sie den Wizard verwendet haben, müssen Sie nachträglich die Verbindungsparameter des Profils ändern. Gehen Sie in folgendes Menü, um die Konfiguration anzupassen:

IPSec Client  Konfiguration  Profile  Bearbeiten

9.

In den  IPSec-Einstellungen müssen Sie im Menü  Editor die IKE- und IPSec-Richtlinien erstellen. Konfigurieren Sie im Editor neue Einträge, die Sie im Anschluss in der Verbindung auswählen.

10. Benennen Sie den Eintrag z.B. Zentrale. Wählen Sie in der Reihenfolge: 

RSA-Signature



AES 256 Bit



SHA



DH-Gruppe 2

Seite - 10 -

11.

Benennen Sie den Eintrag z.B. Zentrale. Wählen Sie in der Reihenfolge: 

AES 256 Bit



SHA

12.

Geben Sie unter  Spilt Tunneling über den Button Hinzufügen das Netzwerk der Zentrale an z.B. 192.168.0.0/24.

Wählen Sie unter  Identität bei 13.

Zertifikatskonfiguration das Profil aus, welches das eigene Zertifikat enthält z.B. Standard Zertifikats-Konfiguration.

Sie müssen im Client ein Profil konfigurieren, welches das eigene Zertifikat beinhaltet. Gehen Sie in folgendes Menü, um das Standard-Profil anzupassen:

IPSec Client  Konfiguration  Zertifikate  Standard Zertifikats-Konfiguration  Bearbeiten

Seite - 11 -

Wählen Sie in der Registerkarte 

14.

Benutzer-Zertifikat bei Zertifikat aus PKCS#12-Datei aus. Geben Sie bei PKCS#12-Dateiname den Pfad zum Client Zertifikat an z.B. C:\client.p12.

INFO Wenn Sie als Passwort zum Schutz des PKCS#12 Zertifikats weniger als 4 Stellen angegeben haben, müssen Sie in der Registerkarte PIN-Richtlinie den Punkt Minimale Anzahl der Zeichen reduzieren.

7.9

Konfiguration überprüfen

Um die IPSec-Verbindung zu testen, bauen Sie die Verbindung vom Client aus auf und geben Sie in der Eingabeaufforderung des Client-PCs einen Ping zum zentralen Router ab.

Beim Verbindungsaufbau müssen Sie das ZertifikatsPasswort eingeben z.B. bintec.

c:\>ping 192.168.0.1 Ping wird ausgeführt für 192.168.0.1 mit 32 Bytes Daten: Antwort von 192.168.0.1: Bytes=32 Zeit=3ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=1ms TTL=61 Ping-Statistik für 192.168.0.1: Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms

Seite - 12 -

Die Systemmeldungen vom Router können Sie sich in folgendem Menü anzeigen lassen:

GUI  Monitoring  Internes Protokoll

Seite - 13 -