IPsec

Die Seite „IPsec“ enthält zwei Registerkarten (IPsec und L2TP), die es ermöglich, die IPsec-Tunnel zu konfigurieren bzw. den L2TP-Support zu aktivieren.

IPsec

Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben der Aufschrift L2TP aktivieren grün sein. Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.

Auf der Registerkarte „IPsec“ befinden sich zwei Felder: Das erste beinhaltet die IPsec Einstellungen, welche die Zertifikatsauswahl und verschiedene Optionen (auch zu Debug-Zwecken) umfassen. Das zweite ist das Feld Verbindungen, das alle Verbindungen anzeigt und deren Verwaltung ermöglicht.

IPSec, L2TP und XAuth auf einen Blick

IPsec ist eine standardisierte Erweiterung des IP-Protokolls, bei der auf Schicht 3 des OSI-Modells Verschlüsselungs- und Authentifizierungsmechanismen ausgeführt werden. IPsec muss daher im IP-Stapel des Kernels implementiert sein. Auch wenn IPsec ein standardisiertes Protokoll ist, das mit den IPsec-Lösungen der meisten Anbieter kompatibel ist, kann sich die Implementierung je nach Anbieter sehr unterschiedlich gestalten und zuweilen schwerwiegende Probleme hinsichtlich der Interoperabilität hervorrufen.

Zudem könnte sich die Konfiguration und Verwaltung von IPsec aufgrund seiner Komplexität und Struktur in der Regel als schwierig. Bestimmte Aufgaben wie die Verwendung von NAT sind u. U. gar nicht möglich.

Im Vergleich zu IPsec ist die Installation, Konfiguration und Verwaltung von OpenVPN unkomplizierter. Da mobile Geräte IPsec verwenden, implementiert die Panda GateDefender-Appliance ein einfach zu bedienendes Administrationsinterface für IPsec, die verschiedene Authentifizierungsmethoden und eine zweistufige Authentifizierung unterstützt, falls sie zusammen mit L2TP oder XAuth verwendet wird.

Tatsächlich wird IPsec verwendet, um Clients (d. h. Tunnel) zu authentifizieren, aber keine Benutzer, sodass ein Tunnel nur von einem Client gleichzeitig verwendet werden kann.

L2TP und XAuth fügen eine Benutzerauthentifizierung zu IPsec hinzu. Daher können sich mehrere Clients unter Verwendung desselben verschlüsselten Tunnels mit dem Server verbinden, und jeder Client wird entweder mithilfe von L2TP oder XAuth authentifiziert.

Bei Verwendung von XAuth steht eine weitere Methode zur Verfügung, der Modus XAuth hybrid, der nur den Benutzer authentifiziert.

IPsec Einstellungen

In diesen Feld können einige globale IPsec-Optionen festgelegt werden: zwei für die Dead-Peer-Erkennung sowie zahlreiche Debug-Optionen. Außerdem wird hier die Konfiguration von Zertifikaten ausgeführt, die bei mit IPsec getunnelten Verbindungen verwendet werden.

Pool der virtuellen IPs der Roadwarrior

Der IP-Bereich, aus dem alle Roadwarrior-Verbindungen ihre IP-Adresse beziehen.

Ping-Verzögerung (in Sekunden)

Der zeitliche Abstand in Sekunden zwischen aufeinanderfolgenden Pings zur Überprüfung, ob eine Verbindung noch aktiv ist.

Timeout-Intervall (in Sekunden) – nur IKEv1

Die maximale Dauer in Sekunden für das Austauschintervall des IKEv1-Protokolls.

Tipp

IKEv2 benötigt kein Zeitüberschreitungsintervall, da es erkennen kann, ob der andere Endpunkt nicht antwortet und welche Aktionen durchgeführt werden sollen.

Zertifikatskonfiguration:

Die Zertifikatskonfiguration und -verwaltung wird genauso ausgeführt wie für den OpenVPN-Server (unter Menüleiste ‣ VPN ‣ OpenVPN Server), wo sämtliche Verwaltungsmodalitäten beschrieben sind.

Debug Optionen

Debug-Optionen sind eher fortgeschrittene Einstellungen und werden in der Regel nicht benötigt, da sie nur die Anzahl der Ereignisse und aufgezeichneten Nachrichten in der Protokolldatei erhöhen.

Verbindungen

In dieser Tabelle werden alle bereits konfigurierten IPsec-Verbindungen zusammen mit den folgenden Informationen angezeigt:

• Name: Name der Verbindung
• Typ: Art des verwendeten Tunnels
• Gemeinsamer Name: Name des Zertifikats zur Verbindungsauthentifizierung
• Anmerkung: Kommentar zur Verbindung
• Status: Der Status der Verbindung: Beendet, Verbindung wird hergestellt oder Aufgebaut.
• Aktionen: Die möglichen Operationen, die auf jedem Tunnel ausgeführt werden können, lauten wie folgt:
  • – Die Verbindung ist aktiv oder nicht.
  • – Änderung der Verbindungskonfiguration
  • – Neustart der Verbindung
  • – Anzeige von detaillierten Informationen über die Verbindung
  • – Trennung der Verbindung

Tipp

Wenn eine Verbindung von der Panda GateDefender-Appliance aus neu gestartet wird, ist es für den Client erforderlich, sich erneut zu verbinden.

Beim Klicken auf Neue Verbindung hinzufügenerscheint ein Fenster mit allen Optionen für die Einrichtung einer neuen IPsec-Verbindung.

Name

Name der Verbindung.

Anmerkung

Kommentar zur Verbindung.

Verbindungstyp

Es gibt vier verschiedene Verbindungsmodalitäten, die für den IPsec-Tunnel ausgewählt werden können:

• Host-to-Net: Der Client, der sich mit dem IPsec-Server auf der Panda GateDefender-Appliance verbindet, ist eine einzelne Remote-Workstation oder -Quelle bzw. ein einzelner Server.
• Net-to-Net: Der Client ist ein vollständiges Subnetz. Anders gesagt wird die IPsec-Verbindung zwischen Remote-Subnetzen hergestellt.
• L2TP Host-to-Net: Der Client ist ein einzelnes Gerät, das ebenfalls L2TP verwendet.
• XAuth Host-to-Net: Der Client ist ein einzelnes Gerät, und die Authentifizierung findet über XAuth statt.

Tipp

Linux-Benutzer können mehr über XAuth auf der Manpage Xsecuritiy(7) erfahren, die auch online verfügbar ist.

Die verfügbaren Optionen für jede Modalität sind praktisch dieselben, wobei eine weitere Option für Net-to-Net-Verbindungen verfügbar ist.

Authentifizierungstyp

Die aus dem Dropdown-Menü ausgewählte Option legt fest, wie die Client-Authentifizierung ausgeführt wird. Folgende Werte sind verfügbar:

• Passwort (PSK): Der Client muss das Passwort angeben, das auf der rechten Seite im Textfeld Einen Pre-Shared-Key verwenden angegeben wird.
• Der Peer wird durch IPV4_ADDR, FQDN, USER_FQDN oder DER_ASN1_DN im Remote-ID-Feld identifiziert. Der Client wird durch seine IP-Adresse, den Domänennamen oder andere eindeutige Informationen über den IPsec-Tunnel authentifiziert.
• Ein bestehendes Zertifikat verwenden: Das aus dem Dropdown-Menü rechts ausgewählte Zertifikat soll verwendet werden.
• Erzeuge ein neues Zertifikat: Es werden zusätzliche Optionen zur Erstellung eines neuen Zertifikats angezeigt.
• Ein Zertifikat hochladen: Wählen Sie von der lokalen Workstation das zu verwendende Zertifikat aus.
• Eine Zertifikatsanfrage hochladen: Wählen Sie von der lokalen Workstation eine Zertifikatsanfrage aus, um ein neues Zertifikat zu erhalten.
• XAUTH Hybrid: Nur für Verbindungen vom Typ XAuth Host-to-Net verfügbar. Der Benutzer wird authentifiziert, wobei der Verschlüsselungstunnel nicht authentifiziert werden darf.

Lokale ID

Eine Zeichenkette zur Identifizierung des Clients innerhalb des lokalen Netzwerks

Schnittstelle

Schnittstelle, über die der Host eine Verbindung herstellt.

Lokales Subnetz

Das lokale Subnetz, auf das vom Client aus zugegriffen werden kann

Hinweis

Mobile Geräte, die iOS verwenden, können sich nicht via XAuth mit der Panda GateDefender-Appliance verbinden, falls dieser Wert nicht festgelegt ist. Daher wird das spezielle Subnetz 0.0.0.0/0 automatisch hinzugefügt, wenn der Verbindungstyp auf „XAuth“ gesetzt wird.

Tipp

Nur bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen, da IKEv1 nur ein Subnetz pro Zeile unterstützt.

Entfernte ID

Die ID, die den Remote-Host der Verbindung identifiziert.

Subnetz der Gegenseite

Nur für Net-to-Net-Verbindungen verfügbar; gibt das Subnetz der Gegenseite an.

Tipp

Bei der Verwendung von IKEv2 ist es möglich, mehr als ein Subnetz hinzuzufügen.

Gegenstelle Host/IP

IP oder vollständig qualifizierter Domänenname (FQDN) des Remote-Hosts.

Hinweis

Wenn ein Hostname angegeben wird, muss er der lokalen ID auf de Remote-Seite entsprechen.

Virtuelle IP des Roadwarriors

Die im Textfeld angegebene IP-Adresse wird dem Remote-Client zugewiesen.

Tipp

Diese IP-Adresse muss innerhalb des unter IPsec Einstellungen definierten Pools liegen.

Hinweis

Diese Option ist weder für L2TP-Host-to-Net-Verbindungen noch für Net-to-Net-Verbindungen verfügbar, da L2TP die Änderung der IP-Adresszuweisung übernimmt.

Aktion bei Dead Peer Erkennung

Aktion, die bei der Verbindungstrennung von Peers durchgeführt wird. Verfügbare Optionen im Dropdown-Menü sind: Löschen, Halten oder Neustart des Peer.

Durch Klicken auf die Bezeichnung Erweitert werden zusätzliche Optionen verfügbar, um verschiedene Typen von Verschlüsselungsalgorithmen auszuwählen und zu konfigurieren. Für jede Option können diverse Algorithmustypen ausgewählt werden.

Hinweis

Es ist nur notwendig, den Algorithmus zu ändern, wenn ein Remote-Client einen gegebenen Algorithmus verwendet und diesen nicht ändern kann.

IKE Verschlüsselung

Verschlüsselungsmethoden, die vom IKE-Protokoll unterstützt werden sollen.

IKE Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

IKE Gruppen Typ

Der IKE-Gruppentyp.

IKE Lebensdauer

Gültigkeitsdauer der IKE-Pakete.

ESP Verschlüsselung

Verschlüsselungsmethoden, die vom Encapsulating Security Payload-Protokoll (ESP) unterstützt werden sollen.

ESP Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

ESP Gruppen Typ

Der ESP-Gruppentyp

ESP Lebensdauer

Gültigkeitsdauer der ESP-Pakete.

Payloadkompression aushandeln

Aktivieren Sie das Kontrollkästchen, um eine Payload-Komprimierung zu ermöglichen.

Siehe auch

IKE ist in RFC 5996 definiert, welche die älteren RFC 2409 (IKEv1) und RFC 4306 (IKEv2) ablöst.

ESP finden Sie unter RFC 4303 (ESP) und RFC 4305 (Verschlüsselungsalgorithmen für ESP).

Erstellung von Net-To-Net-VPNs mithilfe von IPsec durch Verwendung der Zertifikatsauthentifizierung.

Szenario:

• Firewall CoreFW – REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24
• Firewall LocalFW – REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24

Problem: Verbinden Sie LocalFW mit CoreFW mithilfe von IPSec.

Lösung:

• Ausführung der folgenden Schritte auf CoreFW:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 100.100.100.100 ein.
2. Sofern sie noch nicht erstellt wurden, klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen, und füllen Sie das Formular aus.
3. Laden Sie das Hostzertifikat herunter, und speichern Sie es unter dem Namen fw_a_cert.pem.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 200.200.200.200 sowie 10.10.10.0/24 als Lokales Subnetz und 192.168.0.0/24 als Remote-Subnetz ein.
6. Wählen Sie im Feld Authentifizierung die Option Erzeuge ein Zertifikat aus, und füllen Sie das Formular aus. Vergessen Sie nicht, ein Passwort festzulegen.
7. Laden Sie nach dem Speichern die PKCS12-Datei herunter, und speichern Sie sie unter dem Namen fw_a.p12.

• Folgende Schritte müssen auf LocalFW ausgeführt werden:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 200.200.200.200 ein.
2. Klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen. Wurden bereits Zertifikate erstellt, wählen Sie für die früheren Zertifikate die Option Zurücksetzen aus.
3. Füllen Sie unter Root- und Host-Zertifikat erstellen im ersten Abschnitt kein Feld aus! Laden Sie stattdessen die von CoreFW gespeicherte Datei fw_a.p12 hoch, geben Sie das Passwort ein, und klicken Sie auf PKCS12 Datei hochladen.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie unter Verbindungskonfiguration im Feld Gegenstelle Host/IP die Adresse 100.100.100.100 sowie 192.168.0.0/24 als Lokales Subnetz und 10.10.10.0/24 als Remote-Subnetz ein.
6. Wählen Sie im Feld Authentifizierung die Option Ein Zertifikat hochladen aus, und laden Sie die Datei fw_a_cert.pem hoch, die auf MainFW erstellt wurden.

L2TP

Das Layer 2 Tunneling Protocol (L2TP) wird unter RFC 2661 beschrieben.

Zur Aktivierung von L2TP auf der Panda GateDefender-Appliance muss der Schalter neben L2TP aktivieren grün sein. Falls dieser grau ist, klicken Sie darauf, um den Dienst zu starten.

Folgende Optionen sind für das Konfigurieren von L2TP verfügbar:

Zone

Zone, an welche die L2TP-Verbindungen gerichtet sind. Nur aktivierte Zonen können aus dem Dropdown-Menü ausgewählt werden.

Startadresse des L2TP IP Bereichs, Endadresse des L2TP IP Bereichs

Der IP-Bereich, aus dem L2TP-Benutzer eine IP-Adresse beim Verbinden mit der Panda GateDefender-Appliance erhalten.

Debugmodus aktivieren

Durch Aktivieren dieses Kontrollkästchens werden von L2TP ausführlichere Protokolle erstellt.