2.7.3. IPsec Konfiguration

Um ein VPN mit IPsec aufzubauen, sind folgende Schritte nötig:

  1. Erstellen Sie eine Zertifizierungsstelle.

  2. Aktivieren Sie IPsec auf der gewählten Schnittstelle unter Globale Einstellungen.

  3. Fügen Sie entweder eine Host-zu-Netz (Roadwarrior)- oder eine Netz-zu-Netz-Verbindung hinzu.

  4. Next item...

  5. Next item...

2.7.3.1. Globale Einstellungen

Die erste Zeile in den Globale Einstellungen zeigt an, ob der IPsec-Server läuft.

Abbildung 2.61. Globale Einstellungen

Global settings section


IPsec auf ROT.  Klicken Sie die Checkbox an um den IPsec-Server für ROT einzuschalten.

IPsec auf BLAU.  Nur sichtbar falls ein Netz BLAU vorhanden ist. Klicken Sie die Checkbox an um den IPsec-Server für BLAU einzuschalten.

Öffentliche IP oder FQDN für das ROTE Interface oder <%defaultroute>.  Geben Sie die IPsec-Server Details an, entweder den Fully Qualified Domain Namen (FQDN) oder die öffentliche IP-Adresse der Schnittstelle ROT. Falls Sie einen DynDNS-Dienst benutzen, sollte hier Ihr DynDNS-Name stehen.

VPN's und DynDNS

Falls Ihr ISP Ihre IP-Adresse ändert, denken Sie daran, dass Netz-zu-Netz VPN's möglicherweise auf beiden Seiten des Tunnels neu gestartet werden müssen. Roadwarrior müssen in diesem Fall ihre Verbindung auch neu starten.

Überschreibe Standard-MTU - Optional.  Die MTU (Maximum Transmission Units)-Grösse ist die maximale Datenpaket-Grösse die, während einer Übertragung über ein bestimmtes Netz, nicht fragmentiert werden muss.

Verzögerung bevor VPN gestartet wird (Sekunden).  Falls Sie eine fixe öffentliche IP auf ROT haben, sollte der Wert auf 0 gesetzt sein. Falls Sie aber einen DynDNS-Dienst benutzen, sollten Sie hier einen minimalen Wert von 60 Sekunden eintragen damit der DynDNS-Eintrag genügend Zeit hat um auf allen DNS-Servern verteilt zu werden.

Netz-zu-Netz-VPN neu starten, falls sich die Remote-IP-Adresse ändert (DynDNS). DPD (Dead-Peer-Detection) hilft in diesem Fall.  Dies hilft bei der Funktion 'Dead Peer Detection' (DPD). Content to be written...

PLUTO DEBUG.  Verschiedene Fehlersuch-Optionen, die Ihnen bei der Fehlersuche helfen können. Verwenden Sie diese Option mit Vorsicht, die vielen zusätzlichen Protokolleinträge können oft verwirrend sein.

2.7.3.2. Verbindungsstatus und -kontrolle

Abbildung 2.62. Verbindungsstatus und -kontrolle: Initiale Ansicht

Connection status screen


Um eine IPsec VPN Verbindung zu erstellen, klicken Sie auf den Hinzufügen-Button, worauf die Seite 'Verbindungstyp' erscheint.

2.7.3.3. Verbindungstyp

Abbildung 2.63. Verbindungstyp Auswahl

Connection Type screen


Wählen Sie entweder Host-zu-Netz VPN (Roadwarrior) für mobile Benutzer welche Zugriff auf das Netz GRÜN benötigen oder Netz-zu-Netz VPN um Benutzern eines andern Netzes Zugriff auf Ihr Netz GRÜN und umgekehrt auch den Benutzern Ihres Netzes GRÜN Zugriff auf das andere Netz zu geben.

Wälhen Sie den Verbindungstyp und klicken Sie dann auf den Hinzufügen-Button.

Die jetzt erscheinende Seite enthält zwei Abschnitte. Der Verbindungs-Abschnitt ist abhängig von der Auswahl und unterschiedlich, während der Authentifizierungs-Abschnitt der selbe ist.

2.7.3.4. Host-zu-Netz Virtual Private Network (RoadWarrior)

Abbildung 2.64. Host-zu-Netz Virtual Private Network (RoadWarrior)

Host-to-Net Connection screen


Name Ein einfacher Name (nur Kleinbuchstaben, ohne Leerschläge) zur Erkennung dieser Verbindung.

Aktiviert Klicken Sie die Aktiviert-Box an um diese Verbindung einzuschalten.

Host-IP-Adresse Content to be written...

Remote Host/IP - Optional.  Geben Sie die statische öffentliche IP-Adresse des entfernten IPsec-Servers ein. Gültig ist auch der Fully Qualified Domain Name (FQDN) des entfernten Servers. Falls der entfernte Server einen dynamischen DNS-Dienst benutzt, müssen Sie wahrscheinlich IPsec neu starten, falls dessen IP-Adresse ändert. Es gibt dafür aber in der IPCop News-Group verschiedene verfügbare Skripts welche das für Sie erledigen können.

Lokales Subnetz Lokales Subnetz bezieht sich auf Ihr Netz GRÜN. Falls gewünscht, können Sie zusätzlich (mit Hilfe der Netzmaske) ein Subnetz definieren um den Roadwarrior Zugriff einzuschränken.

Lokale ID - Optional.  Content to be written...

Remote-ID - Optional.  Content to be written...

Aktion für Dead-Peer-Detection Auswahl zwischen clear, hold oder restart.

Das Openswan-Team empfiehlt, dass hold für statisch definierte VPN-Tunnel (Netz-zu-Netz) und clear für Roadwarrior-Tunnel (Host-zu-Netz) verwendet werden sollte. Quelle: README.DPD

Anmerkung - Optional.  Das Feld Anmerkung erlaubt es Ihnen, einen optionalen Kommentar einzugeben, der im IPCop im VPN Verbindungsfenster dieser Verbindung erscheint.

Erweiterte Einstellungen bearbeiten, wenn fertig Klicken Sie die Checkbox Erweiterte Einstellungen bearbeiten, wenn fertig an falls Sie die Standard-Einstellungen für IPsec ändern müssen.

2.7.3.5. Netz-zu-Netz Virtual Private Network

Abbildung 2.65. Netz-zu-Netz Virtual Private Network

Net-to-Net Connection section


Name Ein einfacher Name (nur Kleinbuchstaben, ohne Leerschläge) zur Erkennung dieser Verbindung.

Aktiviert Klicken Sie die Aktiviert-Box an um diese Verbindung einzuschalten.

Host-IP-Adresse Content to be written...

Remote Host/IP - Optional.  Geben Sie die statische öffentliche IP-Adresse des entfernten IPsec-Servers ein. Gültig ist auch der Fully Qualified Domain Name (FQDN) des entfernten Servers. Falls der entfernte Server einen dynamischen DNS-Dienst benutzt, müssen Sie wahrscheinlich IPsec neu starten, falls dessen IP-Adresse ändert. Es gibt dafür aber in der IPCop News-Group verschiedene verfügbare Skripts welche das für Sie erledigen können.

Lokales Subnetz Lokales Subnetz bezieht sich auf Ihr Netz GRÜN. Falls gewünscht, können Sie zusätzlich (mit Hilfe der Netzmaske) ein Subnetz definieren um den Zugriff einzuschränken.

Remote Subnetz Geben Sie die Remote Netzwerkadresse und die Subnetzmaske im gleichen Format ein wie bei Lokales Subnetz. Dieser Netzwerk-Eintrag muss sich vom Feld Lokales Subnetz unterscheiden, da IPsec Routing-Tabelleneinträge macht, um IP-Pakete zum richtigen entfernten Netz zu senden.

Lokale ID - Optional Content to be written...

Remote-ID - Optional Content to be written...

Aktion für Dead-Peer-Detection Auswahl zwischen clear, hold oder restart.

Das Openswan-Team empfiehlt, dass hold für statisch definierte VPN-Tunnel (Netz-zu-Netz) und clear für Roadwarrior-Tunnel (Host-zu-Netz) verwendet werden sollte. Quelle: README.DPD

Aktion wenn IPsec gestartet wird.  Auswahl zwischen add, route oder start.

Anmerkung - Optional.  Das Feld Anmerkung erlaubt es Ihnen, einen optionalen Kommentar einzugeben, der im IPCop im VPN Verbindungsfenster dieser Verbindung erscheint.

Erweiterte Einstellungen bearbeiten, wenn fertig Klicken Sie die Checkbox Erweiterte Einstellungen bearbeiten, wenn fertig an falls Sie die Standard-Einstellungen für IPsec ändern müssen.

2.7.3.6. Authentifizierung

Der zweite Abschnitt der Webseite kümmert sich um die Authentifizierung. Mit anderen Worten, so stellt dieser IPCop sicher, wie der von den Schnittstellen gegenseitig aufgebaute Tunnel mit der Gegenseite 'spricht'. IPCop hat alles unternommen, um die beiden Zertifikate PSK und X.509 zu unterstützen. Es gibt vier beidseits exklusive Möglichkeiten die benutzt werden können, um eine Verbindung zu authentifizieren.

Abbildung 2.66. Authentifizierung

Authentication upper section


Verwenden Sie einen pre-shared Schlüssel (PSK) Geben Sie eine 'Pass Phrase' ein, die benutzt wird um die andere Seite des Tunnels zu authentifizieren. Wählen Sie diese Art für ein einfaches Net-to-Net VPN. Sie können PSK's auch für das Experimentieren während der Aufsetz-Phase des VPN benutzen. Benutzen Sie keine PSK's um Tunnel zu Roadwarriors zu authentifizieren.

Eine Zertifikatsanfrage hochladen Einige Roadwarrior Implementationen haben keine eigene CA. Falls sie aber die in IPCop eingebaute CA verwenden wollen, können diese eine Zertifikatsanfrage generieren. Dies ist ein 'halb-fertiges' X.509 Zertifikat, das von einer CA signiert werden muss, um ein komplettes Zertifikat zu sein. Während des Uploads der Zertifikatsanfrage wird dieses signiert und das neue Zertifikat steht auf der VPN Hauptseite zur Verfügung.

Ein Zertifikat hochladen In diesem Fall besitzt der Peer-IPsec eine CA. Beide Zertifikate, das Peer-CA-Zertifikat und das Host-Zertifikat müssen hochgeladen werden.

Abbildung 2.67. Authentifizierung erweitert

Authentication lower section


Erzeuge ein Zertifikat In diesem Fall kann der IPSec-Peer ein X.509 Zertifikat anbieten, aber hat keine Möglichkeit eine Zertifikatsanfrage zu generieren. Füllen Sie daher die benötigten Felder aus. Optionale Felder sind durch rote Punkte markiert. Falls dieses Zertifikat für eine Netz-zu-Netz Verbindung benutzt wird, muss das Voller Name oder System Hostname des Benutzers-Feld möglicherweise der FQDN des Peer's sein. Der optionale Organisationsname wird benuzt, um verschiedene Teile einer Organisation vom Zugriff auf IPCops volles GRÜN-Netz durch eine Unterteilung vom lokalen Subnetz, wie in der Verbindungsdefinition dieser Webseite angegeben, abzuhalten. Das PKCS12 Dateipasswort-Feld sichert ab, dass das erstellte Host-Zertifikat nicht während der Übertragung zum IPSec-Peer abgefangen und verändert werden kann.