lcer00
Dec 17, 2011, updated at Jan 09, 2012 (UTC)
view10431
view8
1
Goto Top

IPSec-VPN mit Windows 2003 CA, bintec rs232bw und FEC Secure Client

GermanTipRouters, RoutingNetworks

Es folgt eine kurze Anleitung zur Konfiguration eines Funkwerk bintec rs232bw Routers als IPSec-VPN Endpunkt

Folgendes Szenario

Funkwerk bintec rs232bw V.7.10 Rev. 1 (Patch 5) IPSec from 2011/11/04 00:00:00 an zwei Standorten
Windows 2003 Enterprice mit Untergeordneter Organisations-Zertifizierungsstelle mit MSCEP
Windows 7 Client mit FEC Secure IPSec Client

Quellen:
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.andreas-buergel.com/kb/windows-server-2003/eigene-zertifikat ...
http://faq.funkwerk-ec.com/faq_bintec_201_ipsec_ncp_r3000_zertifikate_0 ...
online-hilfe auf dem Server unter http:// Zertifizierungsstellenserver /certsrv/mscep/mscephlp.htm



back-to-topTeil 0 Zertifikatvorlage ändern
Der FEC Secure IPSecClient prüft - im Gegensatz zum rs232bw - den Zweck des vom Router bereitgestellten Zertifikates auf "Serverauthentifizierung". MSCEP nutzt das Template "IPSec (Offlineanforderung)" das diesen Zweck nicht enhält. deshalb muss man:

ADSIEdit.msc: "CN=Configuration", "CN=Services", "CN=Public Key Services", "CN=Certificate Templates"
Das Template IPSECIntermediateOffline suchen.
msPKI-Template-Schema-Version ändern auf 2
certtmpl.msc öffnen
Die Vorlage IPSec (Offlineanforderung) bearbeiten: Erweiterungen:Anwendungsrichtlinien -> bearbeiten
Des Zweck Serverautentifizierung hinzufügen. bestätigen & schließen.
in ADSIEdit:
msPKI-Template-Schema-Version ändern auf 1
msPKI-Template-Minor-Revision ändern auf 1

Ohne diesen Teil funktioniert später die Einwahl mit dem FEC Client nicht.

back-to-topTeil 1 MSCEP
Über MSCEP ein Zertifikat anfordern.


back-to-topTeil 2 Verbindung der LANs an zwei Standorten:
In beiden rs232bw den Assistenten:VPN:LAN-zu-LAN-Verbindung ausführen. Es wird ein IPSec-VPN erstellt, das zunächst mit einem Preshared Key verschlüsselt wird.
ggf. die Firewalleinstellungen für ipsec anpassen.

Dann entsprechend des Workshops verfahren und die Zertifikate eintragen.
Eventuell mussen die Überprüfung der Stammzertifizerungsstellenzertifikate anhand einer Zertifikatsperrliste (CRL) sowie Vertrauenswürdigkeit des Zertifikats erzwingen gesetzt werden deaktiviert werden.

back-to-topTeil 3 Verbindung mittels des FEC IPSEC Clients
Wieder im Assistenten eine IPSEC-Einwal verbindung generieren lassen. Am ende die Konfigurationsdatei exportieren und dann im FEC Client als neues Profil importieren.
in das Verzeichnis Programme\Funkwerk Secure IPSec Client\CaCerts das Zertifizierungsstellenztertifikat exportieren certmgr.msc oder InternetExplorer:Inhalte
Format: DER-Kodiert, Dateiendung cer
irgendwoanders hin das Benutzerzertifikat kopieren: als *.pfx Dieses Benutzerzertifikat umbenennen in *.p12 (ob das erforderlich ist, weiss ich nicht.
Im Client unter Konfiguration:Zertifikate das Benutzerzertifikat hinterlegen.
Dann wieder am Router die Zertifikate analog Workshop eintragen.
Im Client die analogen Einstellungen entsprechen Workshop vornehmen

Optional: damit der Client die Standartroute des PCs in Ruhe läßt, unter "Split Tunneling" das entfernte Netzwerk eintragen.

Viel Spaß ich habe einen ganzen Tag damit verbracht.

lcer
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 177839

Url: https://administrator.de/contentid/177839

Printed on: April 19, 2024 at 01:04 o'clock

8 Comments
Latest comment
Goto Top
Member: brammer
brammer Dec 21, 2011 at 14:26:00 (UTC)
Goto Top
Hallo,

für mich gehört zu einer Anleitung aber nicht nur die Groben Schritte auflisten, wichtig wäre hier auf zu zeigen was man im einzelnen Einstellen muss.
Am besten Anhand einer Beispiel Konfiguration.

Sieh dir doch bitte mal die Anleitungen von aqui an

brammer
Member: lcer00
lcer00 Dec 22, 2011 at 15:56:46 (UTC)
Goto Top
Hallo brammer,

Danke für den Hinweis,

Erstens hatte ich nicht die Zeit alles fein in Sätzen zu schreiben. Entschuldigung. ´
Zweitens sind die 90% der Konfigurationsschritten in den verlinkten "Workshops" der Funkwerk-Seite enthalten. Wer die Links angeklickt hätte, hätte das erkannt.
Die fehlenden 10% waren Punkte, die mich viel Zeit gekostet haben und die ich deshalb hier aufgeschrieben habe, damit andere etwas schneller sein werden.
Wenn es hier um gute Literatur geht, ziehe den Beitrag gerne zurück. Wenns um Informationen & Fakten geht, würde ich ihn auch drinlassen.

Grüße

lcer

OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg das Ziel.
Member: dog
dog Jan 05, 2012 at 18:51:02 (UTC)
Goto Top
Du könntest den Beitrag ja auch einfach auf "Tipp" ändern, dann passt das wieder.
Member: lcer00
lcer00 Jan 09, 2012 at 13:06:13 (UTC)
Goto Top
wenns hilft. Dann ist es eben keine Anleitung, sondern ein Tipp. herjeh.
Member: wiesi200
wiesi200 Jan 10, 2012 at 06:18:18 (UTC)
Goto Top
Zitat von @lcer00:

OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer
gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg
das Ziel.

Morgen,

nö hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte und das wird eben für eine Anleitung höher eingestuft als für einen Tipp. Deswegen wird da auch ein unterschied gemacht.
Wie schon geschrieben, vergleich mal die Anleitung von aqui und die von dir. Du wirst einen unterschied feststellen.
Ich bin ja schon beim meiner ersten Anleitung die ich die Tage reingestellt hab skeptisch ob’s eigentlich reicht.

Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
Member: lcer00
lcer00 Jan 10, 2012 at 07:53:53 (UTC)
Goto Top
Hallo,
Zitat von @wiesi200:
Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
ist doch auch ein Imperativ - oder? Und auch ein Lexikon lebt von Verweisen auf andere Lemma. Ich habe jedenfalls alle Schritte, die für das Einrichten erforderlich sind, der Reihenfolge nach benannt und entweder konkret ausgeführt oder mittels Verweis auf ausführliche Darstellungen versehen. Das ist dann doch etwas mehr als ein Tipp. Das der Nutzer der "Anleitung" lesen kann, habe ich vorausgesetzt. Ebenso, dass ihm das Navigieren auf andere Seiten möglich ist. Und Grundkenntnisse von VPN und Zertifikat-Infrastruktur sollten auch vorhanden sein. Oder muss ich die Browserbedienungsaneitung mitliefern? "Wenn Sie am unteren Rand des Textes angelangt sind, müssen Sie nach unten scrollen. Daszu gibt es folgende Möglichkeiten:" Wo soll denn die Grenze gezogen werden? Gehört die Hardwareinstallation dazu ("das gelbe Kabel kommt in die gelbe Buchse?") Muss man bei diesem Thema subnetmasken erklären? Oder Grundzüge des Routings? Oder darf ich das voraussetzen? Und wenn ich es voraussetze, wäre es dann erforderlich, einen Verweis auf auf eine Quelle wie "Routing für Einsteiger" zu setzen, oder nicht?

Zitat von @wiesi200:
hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte
darf man denn auch einen gewissen Mindestintellekt und einen gewissen Mindestwissensstand voraussetzen?

Wie schon angedeutet, wer Prosa will, ist meiner Meinung nach bei Sachthemen fehl am Platze. Wozu dient unsere Sprache? Um Sachverhalte präzise zu bennenen. Man kann sich auch kurz fassen und gleichzeitig unzweideutig und konkret schreiben. Und wer nicht klarkommt, kann sachbezogen nachfragen.

Grüße

Christoph
Member: wiesi200
wiesi200 Jan 10, 2012 at 08:11:41 (UTC)
Goto Top
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges mehr.
Über das solltest du dir mal Gedanken machen.

Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu gebrauchen.
Member: lcer00
lcer00 Jan 10, 2012 at 11:26:36 (UTC)
Goto Top
Zitat von @wiesi200:
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges
mehr.
Über das solltest du dir mal Gedanken machen.

mach ich mir.

Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu
gebrauchen.

Vermutlich kannst Du die "Anleitung" nicht gebrauchen, weil Du keinen zertifikatabgesicherten IPSEC-Tunnel mit 2 bintec RS232bw Routern aufbauen willst. Insofern solltest Du Dir Gedanken machen, ob Du geeignet bist, den Inhalt dieses Tipps (habs übrigends schon vor 3 posts von "Anleitung" in "Tipp" geändert, was vermutlich dazu führte, dass Du hier überhaupt mitdiskutierst, da der Tipp im Portal unter "Neue Tipps" erschien) zu beurteilen.

Grüße

Christoph
GermanTipRouters, RoutingNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment