Demo ipsec windows

Aus Xinux Wiki
Version vom 6. Dezember 2025, 11:22 Uhr von Thomas.will (Diskussion | Beiträge) (→‎IPSec-Status anzeigen (PowerShell, modern))
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Demo IPSec unter Windows (modern mit PowerShell)

Erklärung: Diese Übung zeigt, wie zwei Windows-Systeme IPSec verwenden, um nur noch authentifizierten und verschlüsselten Verkehr zuzulassen. Es werden ausschließlich die modernen PowerShell-Cmdlets des Moduls NetSecurity verwendet.

Voraussetzungen: Beide Hosts müssen sich gegenseitig per IP erreichen und Windows Defender Firewall muss aktiviert sein.

Beispiel: HOSTA = 10.0.10.103 HOSTB = 10.0.10.104 Pre-Shared Key = xinux123

Vorab-Test ohne IPSec

  • ping 10.0.10.104
  • Test mit SMB:
 \\10.0.10.104\c$

Wenn die Verbindung funktioniert, ist der Testzustand korrekt.

IPSec-Regel auf HOSTA erstellen

  • New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
  • New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
  • New-NetIPsecMainModeCryptoSet -Name "IPSecMM"
  • New-NetIPsecRule -DisplayName "IPSec zu HOSTB" `
 -LocalAddress 10.0.10.103 `
 -RemoteAddress 10.0.10.104 `
 -InboundSecurity Require `
 -OutboundSecurity Require `
 -Phase1AuthSet "IPSecAuth" `
 -QuickModeCryptoSet "IPSecQM" `
 -MainModeCryptoSet "IPSecMM"

IPSec-Regel auf HOSTB erstellen

  • New-NetIPsecPhase1AuthSet -Name "IPSecAuth" -AuthenticationMethod PreSharedKey -PreSharedKey "xinux123"
  • New-NetIPsecQuickModeCryptoSet -Name "IPSecQM"
  • New-NetIPsecMainModeCryptoSet -Name "IPSecMM"
  • New-NetIPsecRule -DisplayName "IPSec zu HOSTA" `
 -LocalAddress 10.0.10.104 `
 -RemoteAddress 10.0.10.103 `
 -InboundSecurity Require `
 -OutboundSecurity Require `
 -Phase1AuthSet "IPSecAuth" `
 -QuickModeCryptoSet "IPSecQM" `
 -MainModeCryptoSet "IPSecMM"

IPSec testen

  • ping 10.0.10.104

Wenn IPSec korrekt ausgehandelt wird, funktionieren Ping und SMB weiterhin.

  • SMB-Test:
 \\10.0.10.104\c$

Wenn SMB funktioniert → IPSec aktiv. Wenn nicht → PSK oder IP falsch.

IPSec-Status anzeigen (PowerShell, modern)

    • Get-NetIPsecMainModeSA
  • verwendete Authentifizierung (PSK)
    • okale und entfernte Adressen
    • Status der Sicherheitssitzung
  • Get-NetIPsecQuickModeSA
    • aktive Verbindungen
    • verwendete Verschlüsselungsalgorithmen
    • SPI-Werte

IPSec-Regeln anzeigen

  • Get-NetIPsecRule

IPSec-Regeln entfernen

  • Remove-NetIPsecRule -DisplayName "IPSec zu HOSTA"
  • Remove-NetIPsecRule -DisplayName "IPSec zu HOSTB"

Auswertung

IPSec erzwingt verschlüsselte Kommunikation zwischen beiden Hosts. Ohne korrekte Gegenkonfiguration ist keine Verbindung möglich. PSK muss auf beiden Seiten identisch sein. PowerShell ist die moderne und empfohlene Methode zur Verwaltung von IPSec.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Demo_ipsec_windows&oldid=66056