How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Inhalt 1 Konfiguration der Appliance ........................................................................................... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager ......................... 4 1.2 Erstellen von Firewall-Regeln .................................................................................. 5 1.3 L2TP Grundeinstellungen ........................................................................................ 6 1.4 L2TP Konfiguration.................................................................................................. 7 1.4.1 Konfiguration mit dem Assistenten ................................................................... 7 1.4.2 Konfiguration über die Layer-Ansicht ...............................................................10 1.5 2 Benutzer einrichten ................................................................................................15 Konfiguration des Windows-L2TP-VPN Roadwarriors ...................................................16 2.1 Erstellen der VPN-Verbindung ...............................................................................16 2.2 Eigenschaften der VPN-Verbindung einstellen .......................................................18 2 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 VPN mit L2TP und dem Windows VPN-Client Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt. Zielsetzung: Aufbau einer VPN-L2TP zwischen der Securepoint Appliance und einem Windows L2TP-Client. Abb. 1 VPN-Verbindungen in der Layer-Darstellung 3 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1 Konfiguration der Appliance 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager Gehen Sie folgendermaßen vor:  Wählen Sie über Firewall den Folder Netzwerkobjekte.  Legen Sie die Netzwerkobjekte wie in der folgenden Abbildung an. Abb. 2 benötigte Netzwerkobjekte 4 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1.2 Erstellen von Firewall-Regeln Gehen Sie folgendermaßen vor:  Wählen Sie über Firewall den Folder Portfilter.  Legen Sie die Firewall-Regeln wie in der nachfolgenden Abbildung an. Abb. 3 Firewall-Regeln 5 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1.3 L2TP Grundeinstellungen Gehen Sie folgendermaßen vor:  Wählen Sie im Hauptmenü VPN über die Auswahlliste VPN L2TP.  Das lokale L2TP-Interface sollte eine freie IP-Adresse aus dem internen Netz sein. Die L2TP-IP-Adressen (L2TP Adressenpool) werden im Anschluss an das L2TPInterface vergeben.  Sie können als Authentifizierungsmechanismen zwischen Radius Server und Active Directory wählen.  Bei dieser Konfiguration kann der L2TP-Client über Proxy-Arp Funktionalität mit dem internen Netz kommunizieren, da ihm eine IP-Adresse aus diesem Netz bei der Einwahl zugewiesen wird. Abb. 4 allgemein VPN-L2TP Einstellungen Abb. 5 NS/WINS VPN-L2TP Einstellungen 6 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1.4 L2TP Konfiguration Die Konfiguration kann auf zwei Weisen vorgenommen werden. Entweder über einen Assistenten geführte Konfiguration oder zeichnungsbasierte manuelle Konfiguration. 1.4.1 Konfiguration mit dem Assistenten Gehen Sie folgendermaßen vor:  Wählen Sie über VPN den Folder VPN Verbindungen.  Klicken Sie auf den Button Neu, der den Assistenten startet.  Wählen Sie im Assistenten Roadwarrior und klicken auf Weiter. Abb. 6 Konfiguration mit dem Assistenten Schritt 1 7 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3  Wählen Sie im folgenden Dialog L2TP aus und klicken Sie auf Weiter. Abb. 7 Konfiguration mit dem Assistenten Schritt 2  Geben Sie einen Namen für die Verbindung und den Preshared Key ein.  Klicken Sie auf Weiter. Abb. 8 Konfiguration mit dem Assistenten Schritt 3 8 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3  Der Assistent weist Sie daraufhin, welche Schritte noch ausgeführt werden müssen.  Klicken Sie auf Fertigstellen, um den Assistenten zu beenden. Abb. 9 Konfiguration mit dem Assistenten Schritt 4  Das Ergebnis der Konfiguration sehen Sie in der Abbildung 10. Abb. 10 Ergebnis der Konfiguration  Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung werden SERVICE_IPSEC und SERVICE_L2TP benötigt. 9 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1.4.2 Konfiguration über die Layer-Ansicht Gehen Sie folgendermaßen vor:  Wählen Sie über VPN den Folder VPN Verbindungen.  Wechsel Sie in die Layer-Ansicht durch Klicken auf den Button Ansicht.  Ziehen Sie mit der Maus das bestehende Firewall-Objekt aus dem linken Fenster auf die VPN Arbeitsfläche. Abb. 11 Firewall-Objekt auf den VPN-Layer ziehen 10 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Jetzt erstellen Sie ein neues Roadwarrior-Objekt im linken Fenster.  Klicken Sie auf das Notebook-Symbol in der Bildleiste des oberen Fensters. Im Dialog-Fenster Roadwarrior – hinzufügen wird der Roadwarrior ohne IP (0.0.0.0) angelegt, da diese sich ständig ändern kann!  Klicken Sie auf L2TP im Roadwarrior-Dialog an, um L2TP zu aktivieren. Abb. 12 L2TP Roadwarrior hinzufügen  Ziehen Sie nun das neu erstellte Roadwarrior-Objekt aus dem linken Fenster auch auf die VPN Arbeitsfläche. Abb. 13 Roadwarrior-Objekt auf den VPN-Layer ziehen 11 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3  Klicken Sie nun auf das Icon Verbinden und auf das Roadwarrior-Objekt. Es erscheint eine Fahne am Roadwarrior-Objekt mit der Information Bitte Zielobjekt anklicken.  Klicken Sie nun das Firewall-Objekt an. Abb. 14 Objekte auf dem Layer verbinden 12 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 Es erscheint jetzt automatisch ein neues Dialog-Fenster IP-Sec-Verbindungen Übernehmen.  Wählen Sie das Authentisierungsverfahren SECRET.  Weitere Einstellungen sind im Standardfall einfach zu übernehmen. Abb. 15 Verbindung konfigurieren  Wechseln Sie auf die Registerkarte mit dem Firewall-Namen.  Klicken Sie unter „Lokaler Schlüssel“ das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein. Abb. 17 Preshared Key eingeben Abb. 16 Verbindung konfigurieren 13 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3  Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen. Abb. 18 Verbindung aktualisieren  Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung werden SERVICE_IPSEC und SERVICE_L2TP benötigt. Abb. 19 Dienste Status überprüfen 14 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 1.5 Benutzer einrichten Gehen Sie folgendermaßen vor:  Das Icon Authentifizierung in der Icon-Leiste öffnet die Benutzerverwaltung.  Klicken Sie in dem Dialog Benutzer auf das Icon Neu.  Erstellen Sie einen L2TP-Benutzer mit Name, Login, Passwort etc. Abb. 20 neuen Benutzer anlegen  Wechseln Sie auf die Registerkarte Gruppenmitgliedschaft und aktivieren Sie VPNL2TP-Benutzer.  Wechseln Sie dann auf die Registerkarte VPN-Optionen und tragen Sie eine Adresse aus dem lokalen Adress-Pool ein, die dem neuen Benutzer beim Einwählen zugewiesen werden soll. Abb. 21 Gruppenmitglieschaft zuweisen Abb. 22 IP-Adresse zuweisen 15 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 2 Konfiguration des Windows-L2TP-VPN Roadwarriors 2.1 Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor:  Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPNVerbindung. (Unter Windows XP Start  Systemsteuerung  Netzwerk- und Internetverbindungen  Neue Verbindung erstellen) Abb. 23 Verbindungsassistent starten Abb. 24 Verbindungstyp auswählen Abb. 25 Art der Verbindungherstellung 16 How to: VPN mit L2TP und dem Windows VPN-Client Abb. 26 Namen vergeben Version 2007nx Release 3 Abb. 27 Servernamen oder IP angeben Abb. 28 Einrichtung abschließen 17 How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3 2.2 Eigenschaften der VPN-Verbindung einstellen Gehen Sie folgendermaßen vor:  Nach dem Fertigstellen erscheint der Dialog Verbindung herstellen. Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen.  Wählen Sie anschließend in den Eigenschaften -> Sicherheit -> IPSec-Einstellungen.  Tragen Sie den Lokalen Schlüssel (SECRET) ein. Abb. 29 Eigenschaften bearbeiten Abb. 30 Registerkarte Sicherheit Abb. 31 Schlüssel eingeben  Unter Folder Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN ein.  In den Eigenschaften -> Erweitert kann noch die Option „Standardgateway für das Remotenetzwerk verwenden“ eingestellt werden.  Jetzt können Sie die IPSec-Verbindung starten. 18 How to: VPN mit L2TP und dem Windows VPN-Client Abb. 32 Netzwerkeingenschaften bearbeiten Version 2007nx Release 3 Abb. 33 Adressen Einstellungen Abb. 34 Verwendung des Standardgateway 19