Konfigurationsschritte im Überblick

Konfiguration des VPN Gateways

Feld	Menü	Wert
Adressmodus	LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>	`Statisch`
IP-Adresse / Netzmaske	LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>	z. B. `192.168.0.30` / `255.255.255.0`
Schnittstellenmodus	LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>	`Manuell`
Proxy ARP	LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>	`Aktiviert`

VPN Konfiguration

Feld	Menü	Wert
IP-Poolname	VPN -> IPSec -> IP Pools -> Hinzufügen	z. B. `pool`
IP-Poolbereich	VPN -> IPSec -> IP Pools -> Hinzufügen	z. B. `192.168.0.150` - `192.168.0.180`

Zertifikate importieren

Feld	Menü	Wert
Externer Dateiname	VPN -> Zertifikate -> Zertifikatsliste -> Importieren	z. B. `/usr/lib/ssl/misc/vpn-gateway/vpn-gateway.p12`
Lokale Zertifikatsbeschreibung	VPN -> Zertifikate -> Zertifikatsliste -> Importieren	z. B. `vpn-gateway`
Passwort	VPN -> Zertifikate -> Zertifikatsliste -> Importieren	Passwort des PKCS#12 Zertifikats

Phase-1-Profile Konfiguration

Feld	Menü	Wert
Authentifizierungsmethode	VPN -> IPSec -> Phase-1-Profile -> Bearbeiten	`RSA-Signatur`
Lokales Zertifikat	VPN -> IPSec -> Phase-1-Profile -> Bearbeiten	z. B. `vpn-gateway`
Modus	VPN -> IPSec -> Phase-1-Profile -> Bearbeiten	`Main Modus (ID Protect)`
Lokaler ID-Wert	VPN -> IPSec -> Phase-1-Profile -> Bearbeiten	`Subjektname aus Zertifikat verwenden` aktivieren

IPSec-Peers Konfiguration

Feld	Menü	Wert
Administrativer Status	VPN -> IPSec -> IPSec-Peers ->	`Aktiv`
Beschreibung	VPN -> IPSec -> IPSec-Peers ->	z. B. `vpnclient1`
Peer-ID	VPN -> IPSec -> IPSec-Peers ->	`ASN.1-DN (Distinguished Name)` und `MAILTO=vpnclientuser@bintec-elmeg.com, CN=vpnclientuser, OU=sales, O=FEC, L=nuernberg, ST=bavaria, C=DE`
IP-Adressenvergabe	VPN -> IPSec -> IPSec-Peers ->	`IKE-Konfigurationsmodus`
IP-Zuordnungspool	VPN -> IPSec -> IPSec-Peers ->	`pool`
Lokale IP-Adresse	VPN -> IPSec -> IPSec-Peers ->	z. B. `192.168.0.30`
Phase-1-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	` RSA Multiproposal`*
Phase-2-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	` Multi-Proposal`*
Proxy ARP	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Aktiv oder Ruhend`

Konfiguration des bintec Secure IPSec Clients

Feld	Menü	Wert
Verbindungstyp	Assistent für neues Profil	`Verbindung zum Firmennetz über IPSec`
Profil-Name	Assistent für neues Profil	`Zentrale`
Verbindungsmedium	Assistent für neues Profil	`LAN (over IP)`
Benutzername	Assistent für neues Profil	z. B. `vpngateway.bintec-elmeg.com`
Austausch-Modus	Assistent für neues Profil	Main Mode
PFS-Gruppe	Assistent für neues Profil	DH-Gruppe 2 (1024 Bit)
Lokale Identität	Assistent für neues Profil	`ASN1 Distinguished Name`
IP-Adressen-Zuweisung	Assistent für neues Profil	`IKE Config Mode verwenden`
Stateful Inspection	Assistent für neues Profil	`aus`
NetBIOS über IP	Assistent für neues Profil	Aktiviert

Zertifikate kopieren

Feld	Menü	Wert
Name	Konfiguration -> Zertifikate -> Hinzufügen	`IPSecClientZertifikat`
Zertifikat	Konfiguration -> Zertifikate -> Hinzufügen	`aus PKCS#12-Datei`
PKCS#12-Dateiname	Konfiguration -> Zertifikate -> Hinzufügen	`bintec Secure IPSec Client\vpnclientuser1.p12`

Profil-Einstellungen

Feld	Menü	Wert
Gateway (Tunnel-Endpunkt)	Konfiguration -> Profile -> Edit -> IPSec-Einstellungen	`vpngateway.bintec-elmeg.com`
IKE-Richtlinie	Konfiguration -> Profile -> Edit -> IPSec-Einstellungen	`RSA Signature`
IPSec-Richtlinie	Konfiguration -> Profile -> Edit -> IPSec-Einstellungen	`ESP - AES128 - MD5`
Austauschmodus	Konfiguration -> Profile -> Edit -> IPSec-Einstellungen	`Main Mode`
PFS-Gruppe	Konfiguration -> Profile -> Edit -> IPSec-Einstellungen	`DH-Gruppe 2 (1024 Bit)`
Typ	Konfiguration -> Profile -> Edit -> Identität	ASN1 Distinguished Name
Zertifikats-Konfiguration	Konfiguration -> Profile -> Edit -> Identität	IPSecClientZertifikat

Aufbau des VPN IPSec-Tunnels

Feld	Menü	Wert
PIN	PIN Eingabe	`Passwort des PKCS#12 Zertifikats`

RADIUS-Einstellungen

Feld	Menü	Wert
Authentifizierungstyp	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	`XAUTH`
Server-IP-Adresse	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	z. B. `192.168.0.111`
RADIUS-Passwort	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	Das am SecOVID Server hinterlegte Radius Passwort
Gruppenbeschreibung	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	`xauth`

XAUTH Konfiguration

Feld	Menü	Wert
Beschreibung	VPN -> IPSec -> XAUTH-Profile -> Neu	z. B. `radius`
Rolle	VPN -> IPSec -> XAUTH-Profile -> Neu	`Server`
Modus	VPN -> IPSec -> XAUTH-Profile -> Neu	`RADIUS`
RADIUS-Server Gruppen -ID	VPN -> IPSec -> XAUTH-Profile -> Neu	`xauth`

IPSec-Peers Konfiguration

Feld	Menü	Wert
XAUTH-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`radius`

Profil-Einstellungen

Feld	Menü	Wert
Typ	Konfiguration -> Profile -> Edit -> Identität	ASN1 Distinguished Name
Zertifikats-Konfiguration	Konfiguration -> Profile -> Edit -> Identität	IPSecClientZertifikat
Benutzername	Konfiguration -> Profile -> Edit -> Identität	z. B. `mmustermann`

Copyright© Version 01/2020 bintec elmeg GmbH