IPsec: Schulrouter Plus für IKEv1 mit XAuth einrichten
Index
XAuth war eine Ergänzung zu IKEv1, die zusätzlich zu Pre-Shared Keys oder Zertifikaten auch Benutzerauthentifizierungsdaten unterstützt. Es gibt drei verschiedene Typen, die vom Schulrouter Plus unterstützt werden und die wir hier beschreiben.
Mutual PSK + XAuth: Sie definieren einen Pre-Shared Key, der für jeden Benutzer gleich ist und nach der Sicherung des Kanals kommt die Benutzerauthentifizierung über XAuth ins Spiel. Mutual RSA + XAuth: Statt eines Pre-Shared Keys benötigt jedes Gerät ein Client-Zertifikat zur Sicherung der Verbindung plus XAuth zur Authentifizierung. Dies ist die sicherste Variante für IKEv1/XAuth, aber auch mit dem meisten Aufwand verbunden. Hybrid RSA + XAuth: Hybrid RSA ist dasselbe wie Mutual, ohne dass ein Client-Zertifikat benötigt wird. Nur der Server wird authentifiziert (wie bei der Verwendung von HTTPS), um Man-in-the-Middle-Angriffe wie bei Mutual PSK zu verhindern. Es ist sicherer als PSK, benötigt aber nicht den kompletten Roll-out-Prozess wie bei Mutual RSA.
Wir gehen davon aus, dass Sie den ersten Teil gelesen haben unter IPsec: Fernzugriff einrichten
Schritt 1 - Zertifikate erstellen (nur für RSA-Varianten)
Für Mutual RSA + XAuth und Hybrid RSA + XAuth müssen Sie eine Root CA und ein Serverzertifikat für Ihre Firewall erstellen.
Gehen Sie auf System ‣ Sicherheit ‣ Aussteller und klicken Sie auf Hinzufügen. Geben Sie ihm einen Beschreibenden Namen und wählen Sie als Methode Interne Zertifizierungsstelle erstellen. Erhöhen Sie die Lebensdauer und füllen Sie die Felder entsprechend Ihren lokalen Werten aus. Gehen Sie nun auf System ‣ Sicherheit ‣ Zertifikate und erstellen Sie ein neues Zertifikat für die Firewall selbst. Wichtig ist, dass Sie den Typ auf Server ändern. Der Common Name kann der Hostname der Firewall sein und als Alternative Name stellen Sie den FQDN Ihrer Firewall ein, wie sie auf der WAN-Seite bekannt ist. Dies ist sehr wichtig, da Ihr VPN abbricht, wenn der FQDN nicht mit dem des Zertifikats übereinstimmt.
Wenn Sie bereits eine CA haben, rollen Sie ein Serverzertifikat aus und importieren die CA selbst über System ‣ Sicherheit ‣ Aussteller und das Zertifikat mit dem Schlüssel in System ‣ Sicherheit ‣ Zertifikate.
Schritt 2 - Mobile Clients
Zuerst müssen wir das Netzwerk und die Authentifizierungsquelle des mobilen Clients einrichten. Gehen Sie zu VPN ‣ IPsec ‣ Mobile Clients
Für unser Beispiel werden die folgenden Einstellungen verwendet:
IKE Erweiterungen
Einschalten | geprüft | Haken Sie an, um mobile Clients zu aktivieren. |
Benutzerauthentifizierung | Lokale Datenbank | Für das Beispiel verwenden wir die lokale Datenbank. |
Gruppenauthentifizierung | keiner | Lassen Sie auf keine |
Virtueller Adresspool | 10.10.0.0/24 | Eingabe des IP-Bereichs für die Remote-Clients |
Sie können auch andere Optionen auswählen, aber für dieses Beispiel lassen wir sie alle unmarkiert.
Speichern Sie Ihre Einstellungen und wählen Sie Phase1 erstellen, wenn es erscheint. Geben Sie dann die Einstellung für Mobile Client Phase 1 ein.
Schritt 3 - Phase 1 Mobile Clients
Phase 1 Allgemeine Informationen
Verbindungsmethode | standard | Standard ist ‚Start bei Verkehr‘ |
Schlüsselaustauschversion | V1 | XAuth funktioniert nur auf V1 |
Internetprotokoll | IPv4 | |
Schnittstelle | WAN | Wählen Sie die Schnittstelle, die mit dem Internet verbunden ist. |
Beschreibung | MobileIPsec | Frei gewählte Bezeichnung |
Phase 1 Vorschlag (Authentifizierung)
Authentifizierungsverfahren | XAuth | Wählen Sie eine der drei verfügbaren Optionen. |
Negotiationsmodus | Hauptmodus | Hauptmodus hier verwenden |
Mein Bezeichner | Bedeutender Name | Stellen Sie den FQDN ein, den Sie im Zertifikat verwendet haben, für PSK verwenden Sie „Meine IP-Adresse „. |
Pre-shared Key | Gemeinsames Geheimnis | Für Mutual PSK + XAuth diesen PSK verwenden, sonst Zertifikat unten |
Mein Zertifikat | Zertifikat | Wählen Sie das Zertifikat aus der Dropdown-Liste, nur gültig für RSA-Varianten |
Phase 1 Vorschlag (Algorithmen)
Verschlüsselungsalgorithmus | AES | Für unser Beispiel werden wir AES/256 Bits verwenden. |
Hash-Algoritmus | SHA1, SHA256 | SHA1 und SHA256 für Kompatibilität |
DH-Tastengruppe | 1024, 2048 Bit | 1024 und 2048 Bit für Kompatibilität |
Lebenslang | 28800 sec | Lebensdauer vor Neuverhandlung |
Die erweiterten Optionen sind standardmäßig in Ordnung.
Speichern Sie Ihre Einstellungen.
Schritt 3 - Phase 2 Mobile Clients
Drücken Sie die Taste mit der Aufschrift ‚+ Show 0 Phase-2 entries‘.
Sie sehen eine leere Liste:
Drücken Sie nun das + rechts neben dieser Liste, um einen Phase-2-Eintrag hinzuzufügen.
Allgemeine Information
Modus | Tunnel IPv4 | Tunnelmodus auswählen |
Beschreibung | MobileIPsecP2 | Frei gewählte Beschreibung |
Lokales Netzwerk
Lokales Netzwerk | LAN-Teilnetz | Das lokale LAN-Subnetz umleiten |
Phase-2-Vorschlag (SA / Schlüsselaustausch)
Protokoll | ESP | Wählen Sie ESP für die Verschlüsselung |
Verschlüsselungsalgorithmen | AES / 256 | Für dieses Beispiel verwenden wir AES 256. |
Hash-Algorithmen | SHA1, SHA256 | Wie zuvor, mischen Sie SHA1 und SHA256. |
PFS Tastengruppe | aus | Die meisten mobilen Systeme unterstützen PFS in Phase2 nicht. |
Lebenslang | 3600 sec |
Speichern Sie Ihre Einstellungen und Enable IPsec, Wählen Sie:
Wenn Sie bereits IPsec aktiviert hatten und das Road Warrior-Setup hinzugefügt haben, ist es wichtig, den gesamten Dienst über das Dienste-Widget in der oberen rechten Ecke der IPSec-Seiten oder über System ‣ Diagnose ‣ Dienste ‣ Strongswan neu zu starten, da das Anwenden der Konfiguration diesen nur neu lädt, ein Neustart aber auch die benötigten Module von strongSwan lädt.
Schritt 4 - IPsec-Benutzer hinzufügen
Gehen Sie zu System ‣ Zugang ‣ Benutzer und drücken Sie das + Zeichen in der unteren rechten Ecke, um einen neuen Benutzer hinzuzufügen.
Geben Sie Folgendes in das Formular ein:
Benutzername | Experte |
Passwort | &test!9T |
Speichern zur Anwendung.
Schritt 5 - Client-Zertifikat hinzufügen (für Mutual RSA)
Dieser Schritt ist nur für Mutual RSA + XAuth erforderlich!
Gehen Sie auf System ‣ Sicherheit ‣ Zertifikate und erstellen Sie ein neues Client-Zertifikat. Klicken Sie einfach auf Hinzufügen, wählen Sie Ihre CA und erhöhen Sie wahrscheinlich die Lebensdauer. Alles andere außer dem CN kann als Standard belassen werden. Geben Sie einen Common Name an und Speichern. Laden Sie das neu erstellte Zertifikat als PKCS12 herunter und exportieren Sie es auf Ihr Endgerät.