Securepoint OS v11 – L2TP-IPsec PSK und Android

Oft werden VPNs zunächst mit pre-shared keys (PSK) aufgebaut, um im ersten Schritt die generelle Funktion wie den Tunnelaufbau und das Routing zu prüfen.

Mitunter kommt es vor, das bestimmte Geräte aber auch schlicht keine Zertifikate unterstützen. Für beide Szenarien kann dieser Artikel herangezogen werden.

Konfiguration der Securepoint Appliance

Die Hauptarbeit liegt in der Konfiguration der Securepoint UTM.

L2TP konfigurieren

  • Auf „VPN – L2TP“ klicken und die notwendigen Einstellungen wie die IP-Adresse des L2TP-Interfaces der Appliance und die Größe des IP-Address-Pools vornehmen.

IPsec konfigurieren

  • Auf „VPN – IPSec“ klicken.
  • Auf die Schaltfläche „+ Roadwarrior“ klicken.
  • Bei „Step 1“ einen Namen, z.B. „VPN-L2TP“, vergeben und als Verbindungstyp „IKEv1 – L2TP“ festlegen.
  • Bei „Step 2“ kann die Voreinstellung belassen werden.
  • Bei „Step 3“ einen „Pre-Shared Key“ eingeben.
  • Bei „Step 4“ kann die Voreinstellung belassen werden.
  • Bei „Step 5“ entweder im Text auf „hier“ oder die Schaltfläche „Fertig“ klicken.

Benutzer konfigurieren

Damit sich Benutzer anmelden können, müssen Diese angelegt und entsprechend berechtigt werden.

  • Auf „Authentifizierung – Benutzer“ klicken.
  • Zur Registerkarte „Gruppen“ wechseln.
  • Entweder eine neue Gruppe anlegen oder eine bestehende Gruppe bearbeiten.
  • Auf der Registerkarte „Berechtigungen“ „VPN-L2TP“ aktivieren.
  • Neue Benutzer anlegen oder bestehende Benutzer der entsprechenden Gruppe zuteilen.

Tipp: Soll ein Benutzer eine spezifische IP-Adresse erhalten, dessen Konto bearbeiten und auf der Registerkarte „VPN“ die entsprechende Einstellung vornehmen.

Netzwerkobjekt konfigurieren

Damit die L2TP-Benutzer auf das Netzwerk zugreifen können, ist es notwendig, ein entsprechendes Netzwerkobjekt anzulegen.

  • Auf „Firewall – Portfilter“ klicken.
  • Zur Registerkarte „NETZWERKOBJEKTE“ wechseln.
  • Auf die Schaltfläche „+ Objekt hinzufügen“ klicken.
  • Einen Namen, z.B. „L2TP-Netzwerk“, eingeben.
  • Als „Typ“ „VPN-Netzwerk“ auswählen.
  • Bei „Adresse“ das IP-Netz wie unter „VPN – L2TP“ angeben, eintragen.
  • Unter „Zone“ „vpn-ppp“ auswählen.
  • Falls vorhanden oder gewünscht eine Gruppe auswählen.

Portfilter konfigurieren

Mittels Portfilter-Regeln wird festgelegt, welcher Datenverkehr vom VPN zum internen Netzwerk erlaubt ist. Für den ersten Test wird in diesem Beispiel jeglicher Datenverkehr (any) zugelassen.

  • Auf „Firewall – Portfilter“ klicken.
  • Zur Registerkarte „Portfilter“ wechseln.
  • Auf die Schaltfläche „+ Regel hinzufügen“ klicken.
  • Unter „Quelle“ das zuvor angelegte Netzwerk-Objekt oder dessen Gruppe auswählen.
  • Unter „Ziel“ „internals-network“ auswählen.
  • Unter „Dienst“ „any“ auswählen.
  • Abschließend müssen die neuen Portfilter-Regeln durch einen Klick auf die Schaltfläche „Regeln aktualisieren“ aktiviert werden.

Konfiguration von Android

Die Einrichtung unterscheidet sich etwas bei den unterschiedlichen Android-Versionen. Anbei eine grobe Richtung:

  • Unter „Einstellungen – Drahtlos und Netzwerke“ zu „VPN(-Einstellungen)“ wechseln und auf „VPN hinzufügen“ drücken.
  • Je nach Android-Version entweder „L2TP/IPSec PSK-VPN hinzufügen“ auswählen oder falls ein Dialog „VPN bearbeiten“ erscheint dort unter „Typ“ „L2TP/IPSec PSK“ auswählen.
  • Es muss mindestens ein Name für die Verbindung, die Serveradresse (entspricht der öffentlichen IP der Securepoint UTM) und der PSK eingetragen werden.

Erfolgreich getestet mit Android 2.3.6 auf einem Samsung Galaxy Ace Smartphone und Android 4.0.4 auf einem Cat Nova (aka Weltbild) Tablet.

Einsatz von Zertifikaten

Wer das Ganze mit Zertifikaten machen möchte, kann sich an den Anleitungen der Securepoint OS bzw. UTM v10 orientieren:

L2TP – Roadwarrior

Android-Geräte und L2TP mit Zertifikaten

Im Grunde muss „nur“ die Authentifizierung auf Zertifikate umgestellt und das Benutzer-Zertifikat auf Android importiert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.