bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv1 und Zertifikaten

Aus bintec elmeg Support-Wiki / FAQ

Version vom 7. Februar 2018, 17:16 Uhr von Klaus Stavemann (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv1 und Zertifikaten

Vorbemerkungen

  • Ein bintec Secure IPSec Client soll beispielhaft für eine IPSec-Verbindung mit IKEv1 und Zertifikaten konfiguriert werden.
  • Vorausgesetzt wird ein ordnungsgemäß installierter bintec Secure IPSec Client auf einem Windows PC.
  • Das Beispiel verwendet einen bintec Secure IPSec Client 64 Bit, Version 3.11, Build 32792 unter einem 64 Bit Betriebssystem Microsoft Windows 7.
  • Ausführliche Beschreibungen zu sämtlichen Konfigurationsparametern bietet das integrierte "Hilfe"-Menü des bintec Secure IPSec Clients.

Im vorliegenden Beispiel wird vorausgesetzt, dass die notwendigen Schlüssel und Zertifikate (Public Keys, Benutzerzertifikat und Zertifikat der Zertifizierungsstelle (CA)) vorher ordungsgemäß erstellt und in eine Zertifikatsdatei im Dateiformat "PKCS#12" (PKCS#12 Kette, .p12) gespeichert wurden. Bezüglich des Gültigkeitszeitraums der Zertifikate ist auf korrekte Werte von Datum und Uhrzeit in allen beteiligten Geräten zu achten.

Achtung: Die IPSec-Gegenstelle muß natürlich genau passend eingerichtet sein für die Einwahl des bintec Secure IPSec Clients.

Vorgehensweise

Im vorliegenden Beispiel soll sich der bintec Secure IPSec Client über einen IPSec-Tunnel mit IKEv1 und Zertifikaten mit dem LAN "11.11.11.0/24" einer IPSec-Gegenstelle (z.B. bintec R1202, RS353jw oder be.IP plus) eines anderen Standortes verbinden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse der IPSec-Gegenstelle fungieren.

Die Konfiguration des bintec Secure IPSec Clients erfolgt in drei wesentlichen Schritten:

  • Schritt 1: Import des Benutzerzertifikates
  • Schritt 2: Erstellen eines neuen Profils mit dem "Assistent für neues Profil"
  • Schritt 3: Bearbeiten des neuen Profils mit Erstellung neuer IKEv1- und IPSec-Richtlinien

Schritt 1: Import des Benutzerzertifikates

Im vorliegenden Beispiel soll also eine vorhandene vollständige Zertifikatsdatei im Format "PKCS#12 Kette" zur Verwendung für einen VPN-IPSec-Tunnel in den bintec Secure IPSec Client importiert werden.

Nach dem Aufruf des bintec Secure IPSec Clients beginnt der Import der Zertifikatsdatei im Format "PKCS#12" im Hauptmenü unter "Konfiguration", Zertifikate mit Klick auf "Hinzufügen".

Beispiel für den Import der Zertifikatsdatei unter dem Namen "FAQ_IPSec_Client":

Import Zertifikatsdatei

Bild 1: Import der Zertifikatsdatei unter dem Namen "FAQ_IPSec_Client"

Weiter mit Klick auf "OK".

Beispiel für die Liste der Zertifikate mit dem neuen Eintrag "FAQ_IPSec_Client":

Zertifikatsliste mit neuem Eintrag "FAQ_IPSec_Client"

Bild 2: Liste der Zertifikate mit dem neuen Eintrag "FAQ_IPSec_Client"

Weiter mit Klick auf "Schließen".

Schritt 2: Erstellen eines neuen Profils mit dem "Assistent für neues Profil"

Nach dem Aufruf des bintec Secure IPSec Clients beginnt die Konfiguration im Hauptmenü unter "Konfiguration", "Profile". Mit Klick auf "Hinzufügen/Import" meldet sich der "Assistent für neues Profil".

Beispiel für den "Assistent für neues Profil" mit Auswahl des Verbindungstyps "Verbindung zum Firmennetz über IPsec":

Auswahl des Verbindungstyps

Bild 3: "Assistent für neues Profil" mit Auswahl des Verbindungstyps, hier "Verbindung zum Firmennetz über IPsec"

Und "Weiter >".

Beispiel für die Eingabe des Profil-Namens, hier "Zentrale_IPSec/IKEv1/Zertifikate":

Eingabe des Profil-Namens

Bild 4: Eingabe des Profil-Namens, hier "Zentrale_IPSec/IKEv1/Zertifikate"

Und "Weiter >".

Beispiel für die Auswahl des Verbindungsmediums, hier "LAN (over IP)":

Auswahl des Verbindungsmediums

Bild 5: Auswahl des Verbindungsmediums, hier "LAN (over IP)"

Und "Weiter >".

Beispiel für die Eingabe des VPN Gateways (Tunnel-Endpunkt), hier die "öffentliche" IP-Adresse "192.168.4.117" der IPSec-Gegenstelle:

Eingabe des VPN Gateways

Bild 6: Eingabe des VPN Gateways (Tunnel-Endpunkt) "192.168.4.117"

Hierbei soll die "192.168.4.117" testweise als die "öffentliche" WAN-IP-Adresse der IPSec-Gegenstelle (z.B. bintec R1202, RS353jw oder be.IP plus) fungieren.

Und "Weiter >".

Beispiel für die "IPsec-Konfiguration" mit der "Konfiguration der grundlegenden Parameter für IPsec" für "Main Mode (IKEv1)":

IPsec-Konfiguration, Konfiguration der grundlegenden Parameter für IPsec mit Main Mode (IKEv1)

Bild 7: "IPsec-Konfiguration" mit "Konfiguration der grundlegenden Parameter für IPsec" für IKEv1

Als Austausch-Modus ist hier jetzt "IKEv1" ausgewählt und als PFS-Gruppe "DH5 (modp1536)".
Beachten Sie hier auch schon den Hinweistext auf die spätere Definition "bestimmter IKE/IPsec-Richtlinien".

Und "Weiter >".

Beispiel für die Eingaben bei "Lokale Identität(IKE)":

Eingaben "Lokale Identität(IKE)"

Bild 8: Beispieleingaben bei "Lokale Identität(IKE)"

Hier wird bei "Lokale Identität(IKE)" der Typ "ASN1 Distinguished Name" gewählt und als "ID" der (vollständige) Subject Name des eigenen Benutzerzertifikates eingegeben - im Beispiel das "CN=faq-filiale".

Und "Weiter >".

Beispiel für die Auswahl der "IP-Adressen-Zuweisung", hier "IKE Config Mode verwenden":

IP-Adressen-Zuweisung "IKE Config Mode verwenden"

Bild 9: Auswahl der "IP-Adressen-Zuweisung", hier "IKE Config Mode verwenden"

Und "Weiter >".

Beispiel für die "Firewall-Einstellungen":

"Firewall-Einstellungen"

Bild 10: "Firewall-Einstellungen"

Nach Klick auf "Fertigstellen" wird das Menü "Profile" mit dem neuen Profil angezeigt.

Beispiel für das Menü "Profile" mit dem neu erstellten Profil namens "Zentrale_IPSec/IKEv1/Zertifikate":

Menü "Profile" mit Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Bild 11: Menü "Profile" mit neuem Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Schritt 3: Bearbeiten des neuen Profils mit Erstellung neuer IKEv1- und IPSec-Richtlinien

Die Bearbeitung des ausgewählten neuen Profils beginnt im Menü Profile mit Klick auf "Bearbeiten".
Es wird das Menü "Profil-Einstellungen" angezeigt, hier für das Profil namens "Zentrale_IPSec/IKEv1/Zertifikate".

Beispiel mit dem Menü "Profil-Einstellungen" für das Profil "Zentrale_IPSec/IKEv1/Zertifikate":

Menü "Profil-Einstellungen" für Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Bild 12: Menü "Profil-Einstellungen" für das Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Weiter mit Klick auf "Split Tunneling", "Hinzufügen".

Im Beispiel soll über den VPN-Tunnel (ausschließlich) das LAN "11.11.11.0/24" der VPN-Gegenstelle (z.B. bintec R1202, RS353jw oder be.IP plus) zugänglich sein.
Zu diesem Zwecke erfolgen hier die Eingaben von IP-Netz "11.11.11.0" und Netz-Maske "255.255.255.0" und der Klick auf "OK".

Beispiel für für das Menü "Split Tunneling" nach Eingabe des Gegenstellen-LAN-IP-Netzes "11.11.11.0/24":

Menü "Split Tunneling" mit IP-Netz 11.11.11.0/24

Bild 13: Menü "Split Tunneling" nach Eingabe des Gegenstellen-LAN-IP-Netzes "11.11.11.0/24"

Weiter mit Klick auf "IPsec-Einstellungen".

Beispiel für das Menü "IPsec-Einstellungen" zur Einstellung der "IKE DH-Gruppe" auf "DH5 (modp1536)":

Menü IPsec-Einstellungen mit IKE DH-Gruppe "DH5 (modp1536)

Bild 14: Menü "IPsec-Einstellungen" mit Einstellung der "IKE DH-Gruppe" auf "DH5 (modp1536)"

Im Beispiel wurde hier die "IKE DH-Gruppe" bewußt auf den Wert "DH5 (modp1536)" umgestellt.

Mit Klick auf "Editor ..." wird nun das Menü "IPsec Konfiguration" aufgerufen.

Beispiel für das Menü "IPsec Konfiguration":

Menü "IPsec Konfiguration"

Bild 15: Menü "IPsec Konfiguration"

Standardmäßig vorhanden sind die IKE-Richtlinien "Pre-shared Key" mit den Parametern PSK/AES128/SHA und "RSA-Signatur" mit den Parametern RSA-Signatur/AES128/MD5
und die IPsec-Richtlinie "ESP-AES128-MD5" mit den Parametern ESP/AES128/MD5. Da im vorliegenden Beispiel andere Verschlüsselungsparameter verwendet werden sollen,
werden hier neue Richtlinien erstellt.

Nach der Anwahl von "IKE-Richtline" geht es weiter mit Klick auf "Hinzufügen".

Beispiel für das Menü "IKE-Richtlinie" zur Erstellung einer neuen IKE-Richtlinie namens "RSA-AES256-SHA" mit Beispielwerten:

Neue IKE-Richtlinie mit Beispielwerten

Bild 16: Menü "IKE-Richtlinie" mit den Beispielwerten der neuen IKE-Richtlinie "RSA-AES256-SHA"

Nach Klick auf "OK" wird wieder das Menü "IPsec Konfiguration" angezeigt, nun einschließlich der neuen IKE-Richtlinie "RSA-AES256-SHA".
Nach der Anwahl von "IPsec-Richtlinie" geht es nun weiter mit Klick auf "Hinzufügen".

Beispiel für das Menü "IPsec-Richtlinie" zur Erstellung einer neuen IPsec-Richtlinie namens "ESP-AES256-SHA" mit Beispielwerten:

Neue IPsec-Richtlinie mit Beispielwerten

Bild 17: Menü "IPsec-Richtlinie" mit den Beispielwerten der neuen IPsec-Richtlinie ""ESP-AES256-SHA"

Weiter mit Klick auf "OK".

Beispiel für das Menü "IPsec Konfiguration" mit den beiden neu erstellten Richtlinien "RSA-AES256-SHA" und "ESP-AES256-SHA":

Menü "IPsec Konfiguration" mit neu erstellten Richtlinien

Bild 18: Menü "IPsec Konfiguration" mit den beiden neu erstellten Richtlinien "RSA-AES256-SHA" und "ESP-AES256-SHA"

Mit Klick auf "Schließen" wird der Richtlinien-Editor geschlossen und wieder das Menü "IPsec-Einstellungen" des Profils "Zentrale_IPSec/IKEv1/Zertifikate" angezeigt.
Hier sind nun als zu verwendende "IKE-Richtlinie" und "IPsec-Richtlinie" die beiden neu erstellten Richtlinien auszuwählen.

Beispiel für das Menü "IPsec-Einstellungen" des Profils "Zentrale_IPSec/IKEv1/Zertifikate" mit den ausgewählten neuen Richtlinien für IKE und IPSec:

Menü "IPsec-Einstellungen" mit ausgewählten neuen IKE- und IPsec-Richtlinien

Bild 19: Menü "IPsec-Einstellungen" des Profils "Zentrale_IPSec/IKEv1/Zertifikate" mit den beiden ausgewählten neuen IKE- und IPsec-Richtlinien

Weiter mit Klick auf "Identität".

Beispiel für das Menü "Identität" zur Auswahl des eigenen Benutzerzertifikatseintrags "FAQ_IPSec_Client":

Menü "Identität" mit ausgewähltem Benutzerzertifikatseintrag "FAQ_IPSec_Client"

Bild 20: Menü "Identität" mit ausgewähltem eigenen Benutzerzertifikatseintrag "FAQ_IPSec_Client"

Nach Klick auf "OK" wird wieder das Menü "Profile" angezeigt mit dem nun fertigen neuen Profil "Zentrale_IPSec/IKEv1/Zertifikate".

Beispiel für das Menü "Profile" mit dem fertigen neuen Profil "Zentrale_IPSec/IKEv1/Zertifikate":

Menü "Profile" mit fertigem neuen Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Bild 21: Menü "Profile" mit fertigen neuem Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Nach Klick auf "OK" wird wieder das Startmenü angezeigt. Abschließend gibt man nun im Hauptmenü unter "Verbindung", "PIN eingeben" noch das Paßwort der importierten Zertifikatsdatei ein.

Beispiel für das Menü "PIN Eingabe" zur Eingabe des Paßwortes der importierten Zertifikatsdatei:

Eingabe des Paßwortes der importierten Zertifikatsdatei

Bild 22: Menü "PIN Eingabe" mit der (Blind-)Eingabe des Paßwortes der importierten Zertifikatsdatei

Und nach Klick auf "OK" wird wieder das Startmenü angezeigt.

Beispiel für das Startmenü des bintec Secure IPSec Clients mit dem ausgewählten neuen "Verbindungs-Profil" namens "Zentrale_IPSec/IKEv1/Zertifikate":

Startmenü mit dem neuem "Verbindungs-Profil"

Bild 23: Startmenü mit dem ausgewählten neuen Verbindungs-Profil "Zentrale_IPSec/IKEv1/Zertifikate"

Mit Betätigung des Schiebeschalters "Verbindung" kann hier nun die Aktivierung der gewünschten VPN-IPSec-Verbindung veranlaßt werden,
- was unter günstigen Umständen nur wenige (z.B. 10) Sekunden an Zeit beansprucht.

Beispiel für das Startmenü (sog. "Monitor") des bintec Secure IPSec Clients mit der Anzeige des erfolgreich aufgebauten IPSec-Tunnels mit IKEv1 und Zertifikaten:

Startmenü mit Anzeige des erfolgreich aufgebauten IPSec-Tunnels mit IKEv1 und Zertifikaten

Bild 24: Startmenü (sog. "Monitor") des bintec Secure IPSec Clients mit der Anzeige des erfolgreich aufgebauten IPSec-Tunnels mit IKEv1 und Zertifikaten

Zum Trennen der bestehenden Verbindung ist wiederum der Schiebeschalter "Verbindung" zu betätigen.

Kontrolle der Funktion des konfigurierten VPN-Verbindungsprofiles mit IKEv1 und Zertifikaten

  • Eine gute Kontrolle ermöglichen die Syslog-Meldungen der IPSec-Gegenstelle.
  • Bei bintec Routern zum Beispiel einfach am Prompt der Router-Konsole (z.B. Telnet) mittels Kommando "debug all&".

Beispielmeldungen beim erfolgreichen Aufbau der VPN-IPSec-Verbindung des bintec Secure IPSec Clients zu einem bintec R1202 mit IKEv1 und Zertifikaten:

r1202_ks:> debug all&
16:33:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:500/192.168.4.117:500 <- 192.168.4.20:10952
16:33:41 DEBUG/IPSEC: P1: peer 0 () sa 5 (R): new ip 192.168.4.117 <- ip 192.168.4.20
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'da8e937880010000'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is '4a131c81070358455c5728f20e95452f'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'cb1ed48b6d68269bb411b61a07bce257'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'c61baca1f1a60cc10800000000000000'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is 'cbe79444a0870de4224a2c151fbfe099'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d3c0000000'
16:33:41 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 192.168.4.20:10952 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
16:33:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:4500/192.168.4.117:4500 <- 192.168.4.20:10954
16:33:41 DEBUG/IPSEC: P1: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): identified ip 192.168.4.117 <- ip 192.168.4.20
16:33:41 DEBUG/IPSEC: P1: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [6f3325dd 3809bc95 : 0480c95f cc6f66a6]16:33:41 DEBUG/IPSEC: P1: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): [IP] NAT-T: port change: local: 192.168.4.117:500->192.168.4.117:4500, remote: 192.168.4.20:10952->192.168.4.20:10954
16:33:41 INFO/IPSEC: P1: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[6f3325dd 3809bc95 : 0480c95f cc6f66a6]
16:33:41 INFO/IPSEC: CFG: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): request for ip address received
16:33:41 INFO/IPSEC: CFG: peer 1 (IPSec Client mit Zertifikat) sa 5 (R): ip address 11.11.11.50 assigned
16:33:41 INFO/IPSEC: P2: peer 1 (IPSec Client mit Zertifikat) traf 0 bundle 4 (R): created 11.11.11.0/24:0 < any > 11.11.11.50/32:0 rekeyed 0
16:33:41 DEBUG/IPSEC: P2: peer 1 (IPSec Client mit Zertifikat) traf 0 bundle 4 (R): SA 7 established ESP[497797dc] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
16:33:41 DEBUG/IPSEC: P2: peer 1 (IPSec Client mit Zertifikat) traf 0 bundle 4 (R): SA 8 established ESP[3da6ce35] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
16:33:41 INFO/IPSEC: Activate Bundle 4 (Peer 1 Traffic -1)
16:33:41 INFO/IPSEC: P2: peer 1 (IPSec Client mit Zertifikat) traf 0 bundle 4 (R): established  (192.168.4.117<->192.168.4.20) with 2 SAs life 28800 Sec/0 Kb rekey 25920 Sec/0 Kb Hb none PMTU

Anschließend noch testweises Pingen vom PC des IPSec-Clients durch den VPN-Tunnel zu einem Host im LAN der Gegenstelle:

D:\Temp>ping -n 3 11.11.11.115
Ping wird ausgeführt für 11.11.11.115 mit 32 Bytes Daten:
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Ping-Statistik für 11.11.11.115:
    Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust),

Abschlußbemerkung

  • Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
  • Vergessen Sie nicht Ihre Konfiguration Ihres IPSec-Clients in eine Datei zu sichern - im Menü "Konfiguration" unter "Profil-Sicherung" mit Klick auf "Erstellen".

Basis

Erstellt: 7.2.2017
Produkt: bintec Secure IPSec Client
Release: Version 3.11, Build 32792, 64 Bit
KW: 10/2018
kst