In diesem Artikel geht es darum, wie man auf einer WatchGuard Firewall einen IPsec VPN Tunnel einrichten kann.
Ein IPsec VPN Tunnel besteht aus 2 Phasen.
- In Phase 1 werden die beiden Endpunkte miteinander bekanntgemacht, daraus resultiert ein VPN Tunnel.
- In Phase 2 werden die beiden privaten Netze miteinander verbunden (routing) und der Traffic ESP verschlüsselt.
Netze für die keine expliziten Routen existiert, wird nicht weitergeleitet.ACHTUNG!! Vorsicht beim schreiben neuer Routen!
Manche Firewalls sind so restriktiv, dass sie den Tunnel abschalten, falls die Gegenstelle Traffic weiterleitet für den bei Ihnen keine Route existiert!
Vor dem Einrichten des Tunnels
Bevor der Tunnel eingerichtet werden kann, müssen beide Seiten sich auf die Technischen Details des Tunnels einigen.
ACHTUNG: Fast alle Probleme mit diesen Tunneln treten auf, weil nicht beide Parteien diese Parameter aufeinander abgestimmt haben!
Diese sind:
Allgemein:
- Tunnel Endpunkte
- Gateway IDs
- IKE Version
- Authentifizierungsalgorithmus
- Verschlüsselungsalgorithmus
- Diffie-Hellmann Gruppe
- Lifetime
- Encryption Scheme
- Negotioation Mode
- DPD traffic idle timeout
- DPD max retries
- IKE keep alive
- Verschlüsselungprotokoll
- Authentifizierungsalgorythmus
- Verschlüsselungsalgorithmus
- Encapsulation Mode
- Perfect Foreword Security
- PFS Gruppe
- Key expiration time
- Key expiration traffic
Tunnel einrichten
Als Erstes starten wir indem wir die Branch Office Tunnels Konfiguration anpassen.
Hier fügen wir einen neuen Tunnel hinzu, vergeben einen Namen und spezifizieren die Routen.
Dies sind die Netze die in Phase 2 miteinander verbunden werden.
Unter Add… geben wir die Lokalen und die Remote in CIDR Notation (z.b. /24) angeben.
Wir können später wenn der Tunnel steht diese noch erweitern.
Anschließend definieren wir ein neues Gateway, hier geben wir den PSK an.
Anschließend wechseln wir auf den Reiter Phase 1 Settings und konfigurieren:
- Die IVEv Version
- Den Modus
- Das Keep-alive Interval
- Die DPD Einstellungen
Anschließend passen wir folgendes bei den Transform Settings an:
- Authentifizierungsalgorythmus
- Verschlüsselungsalgorithmus
- SA Life
- Diffie-Hellmann Gruppe
Jetzt gehen wir zurück auf die General Settings und definieren die Tunnel Endpunkte (phase 1).
Nun welchseln wir zu dem Phase 2 Settings Reiter, aktivieren Perfect Forward Security und definieren die Diffie-Hellman Group.
Jetzt müssten wir nur noch den Phase 2 Proposal einrichten:
- Verschlüsselungprotokoll
- Authentifizierungsalgorythmus
- Verschlüsselungsalgorithmus
Den Tunnel Prüfen
Wenn beide seiten EXAKT die selben Phase 1/2 Parameter konfiguriert haben, sollte der Tunnel online kommen.
Im System Manager sieht das dann folgendermaßen aus.
Cheers,
Ori