Konfiguration des bintec Secure IPSec Clients |
Der bintec Secure IPSec Client™ wird über Start -> Programme -> FEC Secure IPSec Client -> Secure Client Modus aufgerufen. Die Konfiguration des bintec Secure IPSec Clients™ wird über den Assistenten durchgeführt. Beim ersten Start des bintec Secure IPSec Clients™ wird der Assistent für neues Profil automatisch gestartet.
Wählen Sie bei Verbindungstyp die Auswahl Verbindung zum Firmennetz über IPSec aus.
Verbindungstyp
Geben Sie einen Namen für das Profil ein z. B. Zentrale .
Profil-Name
Im nächsten Schritt des Assistenten muss ein Verbindungsmedium ausgewählt werden über welches eine Verbindung zum Internet aufgebaut wird. In unserem Beispiel wird die Auswahl LAN (over IP) verwendet da der bintec Secure IPSec Client™ keinen direkten Zugang zum Internet herstellt sondern einen Internetzugangsrouter verwendet.
Verbindungsmedium
Bei der Option Zugangsdaten für Internetdienstanbieter wird unter Benutzername die Adresse hinterlegt über die das VPN-Gateway aus dem Internet erreichbar ist, z. B. vpngateway.bintec-elmeg.com .
Benutzername
Anschließend wird als Austausch-Modus der Main Mode verwendet. Wenn der Main Mode verwendet wird, werden die Informationen zum Aufbau der IPSec-Phase-1 im Gegensatz zum Aggressive Mode bereits verschlüsselt übertragen. Als PFS-Gruppe wird, wie bereits am VPN-Gateway, die DH-Gruppe 2 (1024 Bit) ausgewählt und die Option Benutze IP-Kompression aktiviert.
IPSec-Konfiguration
Da die Authentifizierung des bintec Secure IPSec Clients™ über Zertifikate erfolgen soll wird kein Pre-shared Key hinterlegt. Der Type der Lokalen Identität wird auf ASN1 Distinguished Name gesetzt.
Pre-shared Key
In diesem Beispiel wird dem VPN IPSec-Client eine dynamische VPN IP-Adresse zugewiesen. Dazu muss der IKE Conifg Mode aktiviert werden.
IKE Config Mode
Im letzten Schritt wird die Firewall des bintec Secure IPSec Clients™ konfiguriert. Wenn der Client direkt mit dem Internet verbunden ist, sollte die Firewall aktiviert sein.
Firewall
Nach dem Durchlauf des Assistenten zum Anlegen eines neuen VPN-Tunnels muss das Zerifikat (PKCS#12 Datei) des ersten VPN-Clients auf diesen Rechner kopiert werden. Anschließend wird im Menü Konfiguration -> Zertifikate -> Hinzufügen des bintec Secure IPSec Clients™ das Benutzer-Zertifikat ausgewählt.
Zertifikate
Danach sind noch einige Anpassungen im Profil der VPN-Verbindung notwendig.
Im Menü Konfiguration -> Profile -> Edit -> IPSec-Einstellungen wird die vordefinierte IKE-Richtline RSA Signature und die IPSec-Richtline ESP - AES128 - MD5 gewählt.
IPSec-EInstellungen
Im Menü Konfiguration -> Profile -> Edit -> Identität wird die bereits angelegte Zertifikats-Richtline ausgewählt. Das hier hinterlegte Zertifikat/Zertifikatsprofil wird beim Aufbau des VPN IPSec-Tunnels zur Authentifikation verwendet.
Identität
Copyright© Version 01/2020 bintec elmeg GmbH |