IPSEC ikev2 Nativ in Windows

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

IPSEC ikev2 Nativ in Windows

Beitrag von Steffen-VM »

Hallo Forum, 

ich muss eine Native Windows 10 IPSEC Verbindung einrichten. Leider bekomme ich das Zertifikatsbasierend nicht hin. 

Der Support hat mir nur geschrieben das dies extrem kompliziert ist und ich lieber die Finger davon lassen sollte. Leider ist dies kein Option, hat hier jemand Erfahrung und kann mir eine kurze Anleitung geben?

VG 

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Das ist überhaupt nicht kompliziert, sondern mit paar Zeilen Powershell erledigt.
Windows 10 VPN nativ mit IPSec und IKEv2 (Zertifikat)

SuFu benutzen. :)

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Man sollte nur Vorsicht walten lassen, falls die Securepoint hinter einem Router steht. Das duerfte dann kaputt gehen. Probieren kann man es aber mal...
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

@Franz was ich hier an der Anleitung nicht verstehe: 

Im Zertifikat des Servers (UTM) muss der FQDN oder die IP des VPN-Servers unter den SAN angegeben werden.

Das heißt im Server Zertifikat muss ich bei Alias z.B. IP-Adresse meine Feste IP-Adresse eintragen? Oder soll das im Client Zertifikat auch drin sein? Ich installiere doch nur das Client Zertifikat auf meine PC oder? Keine CA und kein Server-Zertifikat.

Sry wenn ich so dumm frage! Vielleicht kann hier oder in dem andern Post noch einmal erklärt werden wie und was für die Zertifikate wichtig ist :) 
Gruß
Steffen

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ja, im Zertifikat des Servers muss als Alias der Name des Servers angegeben werden, wenn der Server über den Namen angesprochen wird. Wenn er über die IP angesprochen wird, muss dort die IP angegeben werden.

Wenn du das Client-Zertifikat als PCKS 12 exportierst, enthält es neben dem Client-Zertifikat auch Key und CA-Zertifikat. Das kannst du auf dem Client per Zertifikatverwaltung importieren. In dem Beispielskript wird eine für alle Benutzer verfügbare Verbindung angelegt (-AllUserConnection), deswegen muss dann das Zertifikat in "Computer" installiert werden. Wenn der "-AllUserConnection" Parameter weggelassen wird, erzeugt man eine VPN-Verbindung für den aktuellen Benutzer. Dann muss das Zertifikat in "Benutzer" installiert werden.

Um dem Benutzer die Bedienung zu erleichtern, kann man noch Desktopverknüpfungen zum Verbinden und Trennen anlegen.

Der native IPSec-Client hat den Vorteil, dass er auch auf Geräten mit ARM-CPU funktioniert. Der Securepoint SSL-VPN-Client funktioniert dort leider nicht. Das war der Grund, warum ich mich mit dem nativen Client beschäftigt habe.

Wenn man die Sache einmal verstanden hat und sich ein Skript baut, ist die IPSec-Verbindung ebenso schnell eingerichtet wie eine SSL-VPN-Verbindung.

Gruß

Franz

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

Leider funktioniert das bei mir nicht :/

Ich habe hier mal zwei Fake Bilder von meinem Zertifikat Aufbau gemacht, ist das so korrekt? Die IPSEC Parameter habe ich 1 zu1 wie im PowerShell Script genkommen. Als Variablen folgende:

[font=Monaco, "Andale Mono", "Courier New", Courier, monospace]$Name                   = "VPN-zur-Firma"
$VpnServerAddress       = "Öffentliche IP Adresse"
$DnsSuffix              = "[font=Monaco, "Andale Mono", "Courier New", Courier, monospace]Öffentliche IP Adresse[/font]" <- Brauch ich das wenn ich eh kein DNS machen möchte in den Tunnel?
$DestinationPrefix1     = "192.168.15.0/24" <- Mein IP-Kreis im FW Netz[/font]


https://bilderupload.org/bild/aeef26776 ... ertifikate

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Die Zertifikate sind m. E. in Ordnung.
Was sagt das Log der UTM, welche Fehlermeldung kommt im Windows?

Gruß

Franz

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

Fehler im FW LOG:

IPSec (charon) 10[IKE]<1> 109.XX.5.2X3 is initiating an IKE_SA

Windows sagt:
CoID={62324BE6-6C0C-000B-02B7-32620C6CD801}: Der Benutzer "SYSTEM" hat eine Verbindung mit dem Namen "VPN-zur-Firma" gewählt, die Verbindung konnte jedoch nicht hergestellt werden. Der durch den Fehler zurückgegebene Ursachencode lautet: 13801.

Steffen-VM
Beiträge: 52
Registriert: Mi 19.04.2017, 10:21

Beitrag von Steffen-VM »

Hier auch mal die Phasen Settings: https://bilderupload.org/bild/e48331423-ipsec-settings

Ich habe wirklich dein PowerShell Skript 1 zu 1 Kopiert. So waren doch die Parameter?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Die 13801 deutet auch ein Problem mit dem Zertifikat hin (rror 13801: IKE authentication credentials are unacceptable).
Alle zuvor importierten Zertifikate (lokaler Computer und aktueller Benutzer).
Anschießend das PKCS12-Client-Zertifikat ind Benutzer oder Computer importieren und Windows den Speicherort bestimmen lassen.

Antworten