Kalle-Klump
Verdienter Ex-Admin
- Dabei seit
- 21.05.2001
- Beiträge
- 26.069
- Reaktionspunkte
- 17
Dieser Artikel zielt darauf ab, einen mobilen Client per VPN mit X.509 Zertifikaten anzubinden. Voraussetzung für folgende Beschreibungen ist die Firewall IPcop und Clientseitig Windows XP SP2. Der VPN Client bildet das IPsec Tool von Markus Müller in Verbindung mit den Support-Tools von Microsoft. Vielen Dank an dieser Stelle an das IPcop-Forum , Garvin Hicking und Markus Müller.
Der Client ist unterwegs per UMTS oder GPRS angebunden, in meinen Fall per Eplus UMTS/GPRS Flatrate. Die Einstellungen funzen auch mit BASE oder Voodafone, bei letzteren ist der Zugangspunkt ein anderer.
Hinweis zu den verschiedenen Tarifen bei Eplus / BASE
Bei Eplus kostet* die Flatrate als Option EUR 39,90 und bindet nur 3 Monate, danach werktägliche Kündigung möglich (ideal für Projekte). Als Option für 2,00 Euro/Monat lässt sich die APN „ipsec“ ipsec.eplus.de hinzubuchen. Unterschied: Der Client erhält eine öffentliche IP-Adresse und nicht eine NAT-Adresse aus dem privaten 10er Netz wie beim Standard APN internet.eplus.de. Das kann bei Verwendung von anderen VPN Clients nötig sein, wenn diese NAT Traversal nicht unterstützen (VPN über UDP). Bei BASE ist die Flat-Option nur über eine Sprach-Flat mit zusätzlichen EUR 25,00 erhältlich und bindet 24 Monate. Die APN IPsec ist bei BASE nicht erhältlich. Eine Gerätesubvention ist auch nicht verfügbar… (*Stand März 2006)
Einrichtung Firewall
Der Client ist unterwegs per UMTS oder GPRS angebunden, in meinen Fall per Eplus UMTS/GPRS Flatrate. Die Einstellungen funzen auch mit BASE oder Voodafone, bei letzteren ist der Zugangspunkt ein anderer.
Hinweis zu den verschiedenen Tarifen bei Eplus / BASE
Bei Eplus kostet* die Flatrate als Option EUR 39,90 und bindet nur 3 Monate, danach werktägliche Kündigung möglich (ideal für Projekte). Als Option für 2,00 Euro/Monat lässt sich die APN „ipsec“ ipsec.eplus.de hinzubuchen. Unterschied: Der Client erhält eine öffentliche IP-Adresse und nicht eine NAT-Adresse aus dem privaten 10er Netz wie beim Standard APN internet.eplus.de. Das kann bei Verwendung von anderen VPN Clients nötig sein, wenn diese NAT Traversal nicht unterstützen (VPN über UDP). Bei BASE ist die Flat-Option nur über eine Sprach-Flat mit zusätzlichen EUR 25,00 erhältlich und bindet 24 Monate. Die APN IPsec ist bei BASE nicht erhältlich. Eine Gerätesubvention ist auch nicht verfügbar… (*Stand März 2006)
Einrichtung Firewall
- Starte die Weboberfläche vom IPcop und wechsel zur Rubrik VPN
- Falls noch keine Zertifikate mangels VPN Verbindung erstellt wurden, das als erstes erledigen.
WICHTIG: Die Rubrik Abteilung und Emailadresse unbedingt leer lassen. Ipsec.exe von Markus Müller hat damit wohl seine Probleme, ich habe Wochen benötigt bis ich diesen Umstand herausfand. Wenn die Eintragen OU=XXX, E=XXX vorhanden sind, erwartet es Ipcop auch – Ipsec ignoriert diese Eintragungen? Folge: Informational Exchange is for an unknown (expired?) SA – Der Cop spuckt nur Fehlermeldungen aus und das VPN wird nicht aufgebaut. Clientseitig ist der Fehler spürbar, weil kein Ping möglich ist Verbindungssicherheit wird ausgehandelt. - Erstellen einer neuen VPN Verbindung: Host zu Netz (Roadwarrior)
- Name: Beliebig
- Schnittstelle: RED
- Lokales Subnet: Wie Default (eigenes LAN)
- Remote Host/IP: Leer lassen
- Anmerkung: Beliebig
- Aktion für Dead Peer Detection: CLEAR
- Perfect Forward Secrecy (PFS): JA
- Erzeuge ein Zertifikat: Eintragungen wie gewünscht, auch hier ist weniger mehr – keine Eintragung in Abteilung und Emailadresse.
- In der VPN Übersicht ist nun der neue Eintrag vorhanden. Speicher jetzt die Zertifikate (Verbindungszertifikat, Host und Root – Diskettensymbol anklicken). Nimm dabei lieber Firefox, da der IE beim anklicken der Diskette den Text im Browserfenster auswirft.
- Notier Dir auch in der VPN Übersicht den Lokaler VPN Hostname/IP – das kann eine IP-Adresse als auch ein Dynamischer DNS Name sein (DynDNS, No-Ip, …).
- Die Modemkarte (PC-Card oder via Bluetooth) ist eingerichtet.
- UMTS Card von Eplus:
Wenn Windows das Modem nach der Installation erkannt hat und die PIN-Sicherheitsabfrage der Karte (in einem anderen Phone) ausgeschaltet wurde, könnt Ihr das DFÜ direkt erstellen – der Umstand über die Software entfällt. - Das DFÜ wie folgt erstellen:
- Modemstring eintragen. Systemsteuerung > Telefon- und Modemoptione > Modem auswählen > Modembefehle > +cgdcont=1,"IP","internet.eplus.de","0.0.0.0", eintragen.
- Erstellen einer DFÜ Verbindung. Rufnummer *99***1#, Benutzername: eplus, Kennwort gprs.
- Die beiliegenden Client Tools in das Windows\System32 Verzeichnis kopieren, die drei Zertifikate in ein Temp-Verzeichnis.
- Starte Ipsec.msc (per Doppelklick).
- Markiere Zertifikate (lokaler Computer). Rechts im Fenster Eigene Zertifikate markieren und per Kontextmenü (rechte Maustaste) Alle Tasks > importieren wählen.
- Im Zertifikatsimport-Assistent den Pfad zur cacert.pem (Root Zertifikat) eintragen.
Hinweis: Beim Dialog „durchsuchen“ ist ein Filter auf *.cer/*.crt aktiv. Wähle dort „alle Dateien“ aus, damit die Datei cacert.pem sichtbar wird. - Im nächsten Fensterdialog Zertifikatsspeicher automatisch wählen markieren.
- Fertigstellen und die Nachfrage zum Import mit Ja bestätigen.
- Den gleichen Schritt jeweils mit dem Zertifikat hostcert.pem und *.p12 Verbindungszertifikat durchführen.
- Nachdem alle drei Zertifikate installiert sind, muß die hostcert.pem ein zweites Mal importiert werden. Markier im Ipsec.msc Fenster auf der linken Seite Eigene Zertifikate. Im Kontextmenü (rechte Maustaste) Aktualisieren. Ggf. wiederholen, bis Andere Personen auf der linken Seite weiter unten erscheint. Markiere diese Rubrik. Im rechten, leeren Fenster im Kontextmenü Alle Task > importieren auswählen. Trag den Pfad zur cacert.pem ein. Bei der Auswahl des Zertifikatsspeicher nicht Zertifikatspeicher automatisch wählen sondern Alle Zertifikate in folgenden Speicher speichern > in Andere Personen und importiere.
- Öffne rechts im Fenster Zertifikate (aus Rubrik andere Personen). Du solltest das Hostzertifikat vorfinden. Öffne es (doppelklick). Unter Rubrik Details > Stellenschlüsselkennung. Kopier die Einträge aus dem Zertifikat (in meinen Fall: CN=Homeoffice CA, O=Name Homeoffice, C=DE).
- Öffne mit Notepad die ipsec.conf Datei. Füge die Einträge wie folgt hinzu:
Code:
conn firmenvpn
[FONT=Tahoma] left=%any
right=firmenvpn.dyndns.org
rightsubnet=192.168.1.0/255.255.255.0
rightca[FONT=Tahoma]= C=DE, O=Name Homeoffice, CN=Homeoffice CA[/FONT][/FONT]
[FONT=Tahoma][FONT=Tahoma]network=auto
auto=start
pfs=yes[/FONT][/FONT]- Right ist die Adresse vom Cop, das Rightsubnet die LAN Adresse hinter dem Cop. Rightca sind die markierten Einträge aus dem Zertifikat in umgekehrter Reihefolge.
- Öffne die DFÜ Verbindung zum Internet und starte die Ipsec.exe.
- Mit einem Ping auf die interne Adresse des Cops (Green) oder einem anderen PC im LAN kannst Du den Aufbau des VPNs überprüfen.
- IPsec -off beendet die VPN Sitzung.
Zuletzt bearbeitet:
