UI

• IPsec wird unter dem Menü: VPN => IPsec konfiguriert
• Hierbei gibt es zwei Arten eine Verbindung zu konfigurieren
  • Connections: Einfache Methode, um schnell einen Tunnel zu erstellen. Es sind aber einige Optionen, die das Verhalten steuern nicht vorhanden
  • Tunnel Settings [legacy]: Hier werden Phase 1 und 2 separat erstellt. Diese Methode ist empfohlen, wenn man eine spezielle Konfiguration haben möchte
• Wer sich mal mit der Konfigurationsdatei von strongswan auseinander gesetzt hat, wird die Legacy-Konfigurationsmethode einfacher finden

Um die Verbindungen zu aktivieren muss der Haken unten rechts bei den IPsec Verbindungen gesetzt sein.

einen Tunnel mit Connections aufbauen

Vorraussetzung

• Damit die beiden Firewalls sich gegenseitig authentifizieren können, muss entweder eine Zertifikat oder ein PSK hinterlegt sein
• i.d.R. reicht es einen PSK mit der Gegenseite vorher auszutauschen
• Unter dem Menü VPN => IPsec => Pre-Shared Keys muss dann der Schlüssel gespeichert werden
• Dazu klickt man auf das [+]-Symbol rechts und gibt unter Local Identifier die eigene WAN IP und bei Remote Identifier die IP der Gegenseite an
• Dieser Eintrag wird dann bei Connections befragt, wenn die Identifier-Parameter mit der Verbindung übereinstimment

Konfiguration der Phase 1

• Unter VPN => IPsec => Connections kann man über das [+]-Symbol rechts eine neue Verbindung anlegen
• Fall möglich sollte man die Version auf IKEv2 beschränken
• Danach muss man für Local addresses die eigene WAN IP-Adresse angeben und für Remote addresses die IP der Gegenseite
• Das Description-Feld ist nötig, um die Verbindung zu benennen
• Wenn man auf Save drückt sollte sich ein Feld mit den Authentifizierungsparametern aufklappen
• Für Local AUthentication muss das id-Feld mit dem Local Identifier in der Vorraussetzung übereinstimmen
• Für Remote AUthentication muss das id-Feld mit dem Remote Identifier in der Vorraussetzung übereinstimmen

Konfiguration der Phase 1

• Unter VPN => IPsec => Connections kann man über das [+]-Symbol rechts eine neue Verbindung anlegen
• Fall möglich sollte man die Version auf IKEv2 beschränken
• Danach muss man für Local addresses die eigene WAN IP-Adresse angeben und für Remote addresses die IP der Gegenseite
• Das Description-Feld ist nötig, um die Verbindung zu benennen
• Wenn man auf Save drückt sollte sich ein Feld mit der Authentifizierungsmethode und der Konfiguration von Phase 2 aufklappen
• Für Local AUthentication muss das id-Feld mit dem Local Identifier in der Vorraussetzung übereinstimmen
• Für Remote AUthentication muss das id-Feld mit dem Remote Identifier in der Vorraussetzung übereinstimmen

Konfiguration der Phase 2

• Um sicherzugehen, dass die Verbindung nach dem Laden der Konfiguration aktiv wird, sollte man Start action auf "Start" setzen
• Sonst müssen nur die jeweiligen LAN-Subnetze der Standorte eingetragen werden

Aktivieren und überwachen

• Wenn bei Standorte ihre Konfiguration haben, sollte bei VPN => IPsec => Status Overview Phase 1 und 2 angezeigt werden
• Für Phase 1 wird dann ein grüner Pfeil angezeigt, wenn die Verbindung aufgebaut wurde (rotes Kreuz wenn nicht)
• Für Phase 2 sollte "INSTALLED" da stehen
• Mit dem Reload-Button rechts kann der Status automatisch in einem bestimmten Interval aktualisiert werden ohne die Seite neuzuladen

einen ausfallsicheren Tunnel mit dem Legacy-Menü aufbauen

• Für den HA-Betrieb wird angenommen, dass CARP benutzt wird