IPsec: Schulrouter Plus für IKEv2 EAP-RADIUS einrichten
Index
EAP-RADIUS über IKEv2 ist fast dasselbe wie EAP-MSCHAPv2, aber die Authentifizierung erfolgt gegen eine Radius-Instanz. Wir gehen davon aus, dass Sie den ersten Teil gelesen haben unter IPsec: Fernzugriff einrichten
Schritt 1 - Erstellen von Zertifikaten
Für EAP-RADIUS mit IKEv2 müssen Sie eine Root-CA und ein Server-Zertifikat für Ihre Firewall erstellen.
Gehen Sie auf System ‣ Sicherheit ‣ Aussteller und klicken Sie auf Hinzufügen. Geben Sie ihm einen Beschreibenden Namen und wählen Sie als Methode Interne Zertifizierungsstelle erstellen. Erhöhen Sie die Lebensdauer und füllen Sie die Felder entsprechend Ihren lokalen Werten aus. Gehen Sie nun auf System ‣ Sicherheit ‣ Zertifikate und erstellen Sie ein neues Zertifikat für die Firewall selbst. Wichtig ist, dass Sie den Typ auf Server ändern. Der Common Name kann der Hostname der Firewall sein und als Alternative Name stellen Sie den FQDN Ihrer Firewall ein, wie sie auf der WAN-Seite bekannt ist. Dies ist sehr wichtig, da Ihr VPN abbricht, wenn der FQDN nicht mit dem des Zertifikats übereinstimmt.
Wenn Sie bereits eine CA haben, rollen Sie ein Serverzertifikat aus und importieren die CA selbst über System ‣ Sicherheit ‣ Aussteller und das Zertifikat mit dem Schlüssel in System ‣ Sicherheit ‣ Zertifikate.
Schritt 2 - Radius einstellen
Wenn Sie bereits einen lokalen Radius-Server haben, fügen Sie einen neuen Client mit der IP-Adresse Ihrer Firewall hinzu, legen Sie ein gemeinsames Geheimnis fest, gehen Sie zur Schulrouter Plus UI auf System ‣ Zugang ‣ Server und fügen Sie eine neue Instanz hinzu:
Beschreibender Name | Name | Gib ihm einen Namen |
Typ | Radius | Das ist es, was wir wollen |
Hostname oder IP-Adresse | Radius IP | Einstellen der IP Ihres Radius-Servers |
Geheimnis teilen | s3cureP4ssW0rd | Wählen Sie ein sicheres Passwort. |
Wenn Sie keine eigene Radius-Instanz haben, verwenden Sie einfach das Schulrouter Plus-Plugin und folgen Sie dieser Anleitung: FreeRADIUS
Schritt 3 - Mobile Clients
Zuerst müssen wir das Netzwerk und die Authentifizierungsquelle des mobilen Clients einrichten. Gehen Sie zu VPN ‣ IPsec ‣ Mobile Clients
Für unser Beispiel werden die folgenden Einstellungen verwendet:
IKE Erweiterungen
Einschalten | geprüft | Haken Sie an, um mobile Clients zu aktivieren. |
Benutzerauthentifizierung | Nichts | Da wir Radius verwenden, müssen Sie nichts auswählen. |
Gruppenauthentifizierung | keiner | Lassen Sie auf keine |
Virtueller Adresspool | 10.10.0.0/24 | Eingabe des IP-Bereichs für die Remote-Clients |
Sie können auch andere Optionen auswählen, aber für dieses Beispiel lassen wir sie alle unmarkiert.
Speichern Sie Ihre Einstellungen und wählen Sie Phase1 erstellen, wenn es erscheint. Geben Sie dann die Einstellung für Mobile Client Phase 1 ein.
Schritt 4 - Phase 1 Mobile Clients
Phase 1 Allgemeine Informationen
Verbindungsmethode | standard | Standard ist ‚Start bei Verkehr‘ |
Schlüsselaustauschversion | V2 | nur V2 wird für EAP-RADIUS unterstützt |
Internetprotokoll | IPv4 | |
Schnittstelle | WAN | Wählen Sie die Schnittstelle, die mit dem Internet verbunden ist. |
Beschreibung | MobileIPsec | Frei gewählte Bezeichnung |
Phase 1 Vorschlag (Authentifizierung)
Authentifizierungsverfahren | EAP-RADIUS | Das ist die Methode, die wir hier wollen |
Mein Bezeichner | Bedeutender Name | Setzen Sie den FQDN, den Sie im Zertifikat verwendet haben. |
Mein Zertifikat | Zertifikat | Wählen Sie das Zertifikat aus der Dropdown-Liste |
Phase 1 Vorschlag (Algorithmen)
Verschlüsselungsalgorithmus | AES | Für unser Beispiel werden wir AES/256 Bits verwenden. |
Hash-Algoritmus | SHA1, SHA256 | SHA1 und SHA256 für Kompatibilität |
DH-Tastengruppe | 1024, 2048 Bit | 1024 und 2048 Bit für Kompatibilität |
Lebenslang | 28800 sec | Lebensdauer vor Neuverhandlung |
Die erweiterten Optionen sind standardmäßig in Ordnung.
Speichern Sie Ihre Einstellungen.
Schritt 5 - Phase 2 Mobile Clients
Drücken Sie die Taste mit der Aufschrift ‚+ Show 0 Phase-2 entries‘.
Sie sehen eine leere Liste:
Drücken Sie nun das + rechts neben dieser Liste, um einen Phase-2-Eintrag hinzuzufügen.
Allgemeine Information
Modus | Tunnel IPv4 | Tunnelmodus auswählen |
Beschreibung | MobileIPsecP2 | Frei gewählte Beschreibung |
Lokales Netzwerk
Lokales Netzwerk | LAN-Teilnetz | Das lokale LAN-Subnetz umleiten |
Phase-2-Vorschlag (SA / Schlüsselaustausch)
Protokoll | ESP | Wählen Sie ESP für die Verschlüsselung |
Verschlüsselungsalgorithmen | AES / 256 | Für dieses Beispiel verwenden wir AES 256. |
Hash-Algorithmen | SHA1, SHA256 | Wie zuvor, mischen Sie SHA1 und SHA256. |
PFS Tastengruppe | aus | Die meisten mobilen Systeme unterstützen PFS in Phase2 nicht. |
Lebenslang | 3600 sec |
Speichern Sie Ihre Einstellungen und Enable IPsec, Wählen Sie:
Wenn Sie bereits IPsec aktiviert hatten und das Road Warrior-Setup hinzugefügt haben, ist es wichtig, den gesamten Dienst über das Dienste-Widget in der oberen rechten Ecke der IPSec-Seiten oder über System ‣ Diagnose ‣ Dienste ‣ Strongswan neu zu starten, da das Anwenden der Konfiguration diesen nur neu lädt, ein Neustart aber auch die benötigten Module von strongSwan lädt.
Schritt 6 - IPsec-Benutzer hinzufügen
Gehen Sie zu Ihrer RADIUS-Verwaltungskonsole und fangen Sie an, Benutzer hinzuzufügen! Wenn Sie unser FreeRADIUS-Plugin verwenden, folgen Sie der offiziellen Anleitung: FreeRADIUS