Embed Size (px)
Citation preview
Seite - 1 -
1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)
1.1 Einleitung
Im Folgenden wird die Konfiguration einer IPSec-Verbindung mit IKEv2 von einem Windows
7 Rechner zum bintec IPSec-Gateway beschrieben. Der Windows 7 Rechner erhält über den
IKE-Config-Mode eine IP-Adresse, um auf das IP-Subnetz der Zentrale zuzugreifen. Das
Szenario kann sowohl mit dynamischen als auch mit festen IP-Adressen konfiguriert werden.
Die Authentifizierung erfolgt über Zertifikate, die von einer Zertifizierungsstelle ausgestellt
wurden (PKCS#12). Diese Anleitung zeigt die Konfiguration der Zentrale auf Basis eines
RS232bw und einem Windows 7 Rechner mit SP1.
Zur Konfiguration wird das Graphical User Interface (GUI) verwendet.
1.2 Voraussetzungen
Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:
Eine Grundkonfiguration des Gateways.
Die Konfiguration erfordert einen funktionsfähigen Internetzugang.
Client Rechner mit Windows 7 SP1.
Eine installierte Zertifizierungsstelle (CA) z.B. XCA Version 0.9.3.
Seite - 2 -
1.3 Zertifizierungsstelle
Installieren Sie die Zertifizierungsstelle xca und erstellen Sie eine neue Datenbank. Gehen
Sie anschließend in folgendes Menü, um für das eigene Zertifikat der Zertifizierungsstelle, für
den IKEv2-IPSec-Client und für das IPSec-Gateway jeweils einen Schlüssel zu generieren:
XCA Private Schlüssel Neuer Schlüssel
Gehen Sie in folgendes Menü, um das Zertifikat der Zertifizierungsstelle zu erstellen:
XCA Zertifikate Neues Zertifikat
Wählen Sie als Schlüsselnamen z.B.
key1, key2 und key3. Stellen Sie die
Schlüssellänge auf z.B. 1024 bit und
den Schlüsseltyp auf z.B. RSA.
Auf der Registerkarte Herkunft
wählen Sie als Signaturalgorithmus
z.B. SHA 1. Als Vorlage für das neue
Zertifikat nutzen Sie [default] CA
und klicken auf Übernehmen.
Seite - 3 -
Füllen Sie auf der Registerkarte Besitzer alle Angaben zur Zertifizierungsstelle wie folgt aus:
Für den Router und den Client brauchen Sie jeweils ein eigenes Zertifikat. Gehen Sie in
folgendes Menü, um zwei Zertifikate mit folgenden Parametern zu erstellen:
XCA Zertifikate Neues Zertifikat
Auf der Registerkarte Herkunft aktivieren Sie
Verwende dieses Zertifikat zum
Unterschreiben und wählen z.B. Teldat-CA
aus. Den Signaturalgorithmus setzen Sie auf
z.B. SHA 1.
Unter Privater Schlüssel wählen Sie den für die CA
generierten Schlüssel, z.B. key1 (RSA). Bestätigen
Sie Ihre Eingaben mit OK.
Interner Name: z.B. Teldat-CA.
countryName: z.B. DE.
stateOrProvinceName: z.B. NRW.
localityName: z.B. Krefeld.
organizationName: z.B. Teldat.
organizationUnitName: z.B. Training.
commonName: z.B. ca.
emailAddress: z.B. [email protected].
Seite - 4 -
INFO
Windows 7 erfordert bei IKEv2 im Zertifikat vom Router als Üblicher Name (CN, Common
Name) die öffentliche IP-Adresse oder den Domänen Namen, den man in der VPN
Verbindung im Client als Ziel angibt. Ausserdem muss das Zertifikat die erweiterte
Schlüsselverwendung serverAuth unterstützen.
INFO
Wenn Sie nicht möchten, dass Windows 7 die erweiterten Parameter des Router Zertifikats
überprüft, können Sie die Sicherheitsüberprüfung über die Registry deaktivieren. Öffnen Sie
dazu folgenden Pfad in der Registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\
Erzeugen Sie einen DWORD Eintrag mit dem Namen DisableIKENameEkuCheck und
dem Wert 1.
Auf der Registerkarte Inhaber verwenden Sie für den
Router als Interner Name z.B. zentrale und als Üblicher
Name z.B. 62.10.20.30. Für den Client verwenden Sie als
Interner Name und als Üblicher Name z.B. client.
Als Privater Schlüssel wählen Sie für den Router
z.B. key2 und für den Client z.B. key3 aus.
Für das Router Zertifikat müssen Sie
zusätzlich auf der Registerkarte Key usage
die Erweiterte Schlüsselbenutzung TLS
Web Server Authentication markieren.
Seite - 5 -
Gehen Sie in folgendes Menü, um die Zertifikate für den Router und den Client inklusive
privatem Schlüssel und Zertifikat der Zertifizierungsstelle als Datei zu exportieren:
XCA Zertifikate
1.4 Zertifikat importieren
Um das erstellte Zertifikat in den Router zu importieren, gehen Sie in folgendes Menü:
GUI Systemverwaltung Zertifikate Zertifikatsliste Importieren
Markieren Sie das Zertifikat,
welches exportiert werden soll
z.B. zentrale und klicken Sie
auf Export.
Wählen Sie als Dateinamen für den Router z.B.
C:\zentrale.p12 und für den Client z.B.
C:\client.p12. Als Exportformat geben Sie z.B.
PKCS#12 with Certificate chain an. Geben Sie
anschließend ein Passwort ein z.B. bintec.
Seite - 6 -
Folgende Punkte sind hier relevant:
Feld Bedeutung
Externer Dateiname Der Pfad zum Zertifikat, welches importiert werden soll.
Lokale Zertifikatsbeschreibung Der interne Dateiname für das Zertifikat.
Dateikodierung Wählen Sie das Kodierformat der Datei aus.
Passwort Optionales Kennwort zur Absicherung des Zertifikats.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Bei Externer Dateiname geben Sie z.B. C:\zentrale.p12 an.
Als Lokale Zertifikatsbeschreibung verwenden Sie z.B. zentrale.
Unter Dateikodierung wählen Sie z.B. Auto.
Als Passwort verwenden Sie z.B. bintec.
1.5 Verbindung im Router konfigurieren
Um den IKE-Config Modus für die Vergabe von IP-Adressen an die Clients zu nutzen, müssen
Sie einen IP-Adressen Pool erstellen. Gehen Sie in folgendes Menü, um einen IP-Pool für den
IPSec-Client zu erstellen:
GUI VPN IPSec IP Pools Hinzufügen
Folgende Punkte sind hier relevant:
Feld Bedeutung
IP-Poolname Die Bezeichnung des IP-Pools.
IP-Poolbereich Die erste und letzte IP-Adresse aus dem Pool.
Seite - 7 -
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter Beschreibung tragen Sie z.B. IPSec-Pool ein.
Als IP-Poolbereich verwenden Sie z.B. 192.168.0.100 - 192.168.0.120.
Gehen Sie jetzt in folgendes Menü, um die IPSec-Verbindung für den Client zu erstellen:
GUI VPN IPSec IPSec Peers Neu
Folgende Punkte sind hier relevant:
Feld Bedeutung
Beschreibung Die Bezeichnung des VPN-Tunnels.
Peer-Adresse Die öffentliche IP-Adresse / Domain Name vom Partner.
Peer-ID Die Identifikation vom einwählenden Client.
IKE (Internet Key Exchange) Das verwendete Protokoll für den Verbindungsaufbau.
Authentifizierungsmethode Die Art der Authentifizierung.
Lokales Zertifikat Das eigene Zertifikat für die Authentifizierung.
Lokale ID Die eigene Identität für die Authentifizierung.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter Beschreibung tragen Sie z.B. Client ein.
Seite - 8 -
Das Feld Peer-Adresse bleibt bei einer Client Einwahl leer.
Als Peer-ID verwenden Sie z.B. ASN.1-DN / CN=client.
Bei IKE (Internet Key Exchange) wählen Sie IKEv2.
Die Authentifizierungsmethode setzten Sie auf z.B. RSA-Signatur.
Als Lokales Zertifikat wählen Sie z.B. zentrale aus.
Unter Lokale ID setzten Sie den Haken: Subjektname aus Zertifikat verwenden.
Konfigurieren Sie die Routenparameter folgendermaßen:
Folgende Punkte sind hier relevant:
IP-Adressenvergabe Wählen Sie zwischen statischer / dynamischer IP-Adresse.
Konfigurationsmodus Auf welche Art soll die IP-Adresse vergeben werden.
IP-Zuordnungspool Der IP-Adressen Pool für die Vergabe an die Clients.
Lokale IP-Adresse Die Lokale IP-Adresse der LAN-Schnittstelle.
Gehen Sie folgendermaßen vor, um den Eintrag zu konfigurieren:
Unter IP-Adressenvergabe wählen Sie z.B. Server im IKE-Konfigurationsmodus.
Wählen Sie als Konfigurationsmodus z.B. Pull.
Als IP-Zuordnungspool verwenden Sie z.B. IPSec-Pool.
Bei Lokale IP-Adresse tragen Sie z.B. 192.168.0.1 ein.
INFO
Wenn Sie dem Client eine IP-Adresse aus dem selben Subnetz geben wie im LAN der
Zentrale, müssen Sie im Tunnel unter Erweiterte Einstellungen als auch im LAN Interface
unter LAN IP-Konfiguration en1-0 Erweiterte Einstellungen Proxy ARP einschalten.
Seite - 9 -
INFO
Wenn Sie Zertifikate zur Authentifizierung nutzen, müssen Sie in folgendem Menü Datum
und Uhrzeit überprüfen um sicher zu stellen, dass die verwendeten Zertifikate gültig sind:
GUI Systemverwaltung Globale Einstellungen Datum und Uhrzeit
1.8 Windows IKEv2-IPSec-Client konfigurieren
Unter Windows 7 müssen Sie das Zertifikat für den Client als Computerzertifikat importieren.
Führen Sie dazu folgende Schritte aus:
Öffnen Sie eine Microsoft Management Console (MMC)
Start Ausführen MMC
Fügen Sie das Snap-In Zertifikate hinzu.
Wählen Sie Computerkonto und Lokaler Computer aus.
Klappen Sie das Menü Zertifikate Eigene Zertifikate Zertifikate auf.
Mit der Rechten Maustaste wählen Sie Alle Aufgaben Importieren aus.
Wählen Sie das Client Zertifikat zum importieren aus.
Geben Sie das Zertifikatskennwort an z.B. bintec.
Wählen Sie Zertifikatsspeicher automatisch auswählen aus.
Überprüfen Sie unter eigene Zertifikate und Vertrauenswürdige
Stammzertifizierungsstellen den erfolgreichen Import.
Seite - 10 -
Für die Konfiguration des IKEv2-VPN-Clients, gehen Sie unter Windows in folgendes Menü
und erstellen eine VPN-Verbindung:
Netzwerk und Freigabecenter Neue Verbindung oder neues Netzwerk einrichten
In den Eigenschaften der Verbindung konfigurieren Sie folgende Parameter:
In der Registerkarte Allgemein geben
Sie die IP-Adresse des entfernten
Gateways an z.B. 62.10.20.30.
In der Registerkarte Sicherheit wählen
Sie als VPN-Typ z.B. IKEv2. Die
Authentifizierung stellen Sie auf
Computerzertifikat verwenden.
Seite - 11 -
1.9 Konfiguration überprüfen
Um die IPSec-Verbindung zu testen, bauen Sie die Verbindung vom Client aus auf und geben
Sie in der Eingabeaufforderung des Client-PCs einen Ping zum zentralen Router ab.
c:\>ping 192.168.0.1 Ping wird ausgeführt für 192.168.0.1 mit 32 Bytes Daten: Antwort von 192.168.0.1: Bytes=32 Zeit=3ms TTL=61 Antwort von 192.168.0.1: Bytes=32 Zeit=1ms TTL=61 Ping-Statistik für 192.168.0.1: Pakete: Gesendet = 2, Empfangen = 2, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 1ms, Maximum = 3ms, Mittelwert = 2ms
Die Systemmeldungen vom Router können Sie sich in folgendem Menü anzeigen lassen:
GUI Monitoring Internes Protokoll
