BOVPN (IPsec) einrichten

February 26, 2018 in watchguard ‐ 2 min read

In diesem Artikel geht es darum, wie man auf einer WatchGuard Firewall einen IPsec VPN Tunnel einrichten kann. Ein IPsec VPN Tunnel besteht aus 2 Phasen.

  • In Phase 1 werden die beiden Endpunkte miteinander bekanntgemacht, daraus resultiert ein VPN Tunnel.
  • In Phase 2 werden die beiden privaten Netze miteinander verbunden (routing) und der Traffic ESP verschlüsselt. Netze für die keine expliziten Routen existiert, wird nicht weitergeleitet.ACHTUNG!! Vorsicht beim schreiben neuer Routen! Manche Firewalls sind so restriktiv, dass sie den Tunnel abschalten, falls die Gegenstelle Traffic weiterleitet für den bei Ihnen keine Route existiert!

image

Vor dem Einrichten des Tunnels

Bevor der Tunnel eingerichtet werden kann, müssen beide Seiten sich auf die Technischen Details des Tunnels einigen. ACHTUNG: Fast alle Probleme mit diesen Tunneln treten auf, weil nicht beide Parteien diese Parameter aufeinander abgestimmt haben!

Diese sind:

Allgemein:

  • Tunnel Endpunkte
  • Gateway IDs

IKEv1 / IKEv2:

  • IKE Version
  • Authentifizierungsalgorithmus
  • Verschlüsselungsalgorithmus
  • Diffie-Hellmann Gruppe
  • Lifetime
  • Encryption Scheme
  • Negotioation Mode
  • DPD traffic idle timeout
  • DPD max retries
  • IKE keep alive

IPSEC:

  • Verschlüsselungprotokoll
  • Authentifizierungsalgorythmus
  • Verschlüsselungsalgorithmus
  • Encapsulation Mode
  • Perfect Foreword Security
  • PFS Gruppe
  • Key expiration time
  • Key expiration traffic

Tunnel einrichten

Als Erstes starten wir indem wir die Branch Office Tunnels Konfiguration anpassen.

image

Hier fügen wir einen neuen Tunnel hinzu, vergeben einen Namen und spezifizieren die Routen. Dies sind die Netze die in Phase 2 miteinander verbunden werden.

Unter Add… geben wir die Lokalen und die Remote in CIDR Notation (z.b. /24) angeben. Wir können später wenn der Tunnel steht diese noch erweitern.

image

Anschließend definieren wir ein neues Gateway, hier geben wir den PSK an.

image

Anschließend wechseln wir auf den Reiter Phase 1 Settings und konfigurieren:

  • Die IVEv Version
  • Den Modus
  • Das Keep-alive Interval
  • Die DPD Einstellungen

image

Anschließend passen wir folgendes bei den Transform Settings an:

  • Authentifizierungsalgorythmus
  • Verschlüsselungsalgorithmus
  • SA Life
  • Diffie-Hellmann Gruppe

image

Jetzt gehen wir zurück auf die General Settings und definieren die Tunnel Endpunkte (phase 1).

image

Nun welchseln wir zu dem Phase 2 Settings Reiter, aktivieren Perfect Forward Security und definieren die Diffie-Hellman Group. Jetzt müssten wir nur noch den Phase 2 Proposal einrichten:

  • Verschlüsselungprotokoll
  • Authentifizierungsalgorythmus
  • Verschlüsselungsalgorithmus

image

Den Tunnel Prüfen

Wenn beide seiten EXAKT die selben Phase 1/2 Parameter konfiguriert haben, sollte der Tunnel online kommen. Im System Manager sieht das dann folgendermaßen aus.

image

 

Cheers, Ori