8
IPSec-VPN mit Windows 2003 CA, bintec rs232bw und FEC Secure Client
Es folgt eine kurze Anleitung zur Konfiguration eines Funkwerk bintec rs232bw Routers als IPSec-VPN Endpunkt
Folgendes Szenario
Funkwerk bintec rs232bw V.7.10 Rev. 1 (Patch 5) IPSec from 2011/11/04 00:00:00 an zwei Standorten
Windows 2003 Enterprice mit Untergeordneter Organisations-Zertifizierungsstelle mit MSCEP
Windows 7 Client mit FEC Secure IPSec Client
Quellen:
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.andreas-buergel.com/kb/windows-server-2003/eigene-zertifikat ...
http://faq.funkwerk-ec.com/faq_bintec_201_ipsec_ncp_r3000_zertifikate_0 ...
Der FEC Secure IPSecClient prüft - im Gegensatz zum rs232bw - den Zweck des vom Router bereitgestellten Zertifikates auf "Serverauthentifizierung". MSCEP nutzt das Template "IPSec (Offlineanforderung)" das diesen Zweck nicht enhält. deshalb muss man:
ADSIEdit.msc: "CN=Configuration", "CN=Services", "CN=Public Key Services", "CN=Certificate Templates"
Das Template IPSECIntermediateOffline suchen.
msPKI-Template-Schema-Version ändern auf 2
certtmpl.msc öffnen
Die Vorlage IPSec (Offlineanforderung) bearbeiten: Erweiterungen:Anwendungsrichtlinien -> bearbeiten
Des Zweck Serverautentifizierung hinzufügen. bestätigen & schließen.
in ADSIEdit:
msPKI-Template-Schema-Version ändern auf 1
msPKI-Template-Minor-Revision ändern auf 1
Ohne diesen Teil funktioniert später die Einwahl mit dem FEC Client nicht.
Über MSCEP ein Zertifikat anfordern.
In beiden rs232bw den Assistenten:VPN:LAN-zu-LAN-Verbindung ausführen. Es wird ein IPSec-VPN erstellt, das zunächst mit einem Preshared Key verschlüsselt wird.
ggf. die Firewalleinstellungen für ipsec anpassen.
Dann entsprechend des Workshops verfahren und die Zertifikate eintragen.
Eventuell mussen die Überprüfung der Stammzertifizerungsstellenzertifikate anhand einer Zertifikatsperrliste (CRL) sowie Vertrauenswürdigkeit des Zertifikats erzwingen gesetzt werden deaktiviert werden.
Wieder im Assistenten eine IPSEC-Einwal verbindung generieren lassen. Am ende die Konfigurationsdatei exportieren und dann im FEC Client als neues Profil importieren.
in das Verzeichnis Programme\Funkwerk Secure IPSec Client\CaCerts das Zertifizierungsstellenztertifikat exportieren certmgr.msc oder InternetExplorer:Inhalte
Format: DER-Kodiert, Dateiendung cer
irgendwoanders hin das Benutzerzertifikat kopieren: als *.pfx Dieses Benutzerzertifikat umbenennen in *.p12 (ob das erforderlich ist, weiss ich nicht.
Im Client unter Konfiguration:Zertifikate das Benutzerzertifikat hinterlegen.
Dann wieder am Router die Zertifikate analog Workshop eintragen.
Im Client die analogen Einstellungen entsprechen Workshop vornehmen
Optional: damit der Client die Standartroute des PCs in Ruhe läßt, unter "Split Tunneling" das entfernte Netzwerk eintragen.
Viel Spaß ich habe einen ganzen Tag damit verbracht.
lcer
Folgendes Szenario
Funkwerk bintec rs232bw V.7.10 Rev. 1 (Patch 5) IPSec from 2011/11/04 00:00:00 an zwei Standorten
Windows 2003 Enterprice mit Untergeordneter Organisations-Zertifizierungsstelle mit MSCEP
Windows 7 Client mit FEC Secure IPSec Client
Quellen:
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.funkwerk-ec.com/portal/downloadcenter/dateien/workshops/work ...
http://www.andreas-buergel.com/kb/windows-server-2003/eigene-zertifikat ...
http://faq.funkwerk-ec.com/faq_bintec_201_ipsec_ncp_r3000_zertifikate_0 ...
online-hilfe auf dem Server unter http:// Zertifizierungsstellenserver /certsrv/mscep/mscephlp.htm
Teil 0 Zertifikatvorlage ändern
Der FEC Secure IPSecClient prüft - im Gegensatz zum rs232bw - den Zweck des vom Router bereitgestellten Zertifikates auf "Serverauthentifizierung". MSCEP nutzt das Template "IPSec (Offlineanforderung)" das diesen Zweck nicht enhält. deshalb muss man:ADSIEdit.msc: "CN=Configuration", "CN=Services", "CN=Public Key Services", "CN=Certificate Templates"
Das Template IPSECIntermediateOffline suchen.
msPKI-Template-Schema-Version ändern auf 2
certtmpl.msc öffnen
Die Vorlage IPSec (Offlineanforderung) bearbeiten: Erweiterungen:Anwendungsrichtlinien -> bearbeiten
Des Zweck Serverautentifizierung hinzufügen. bestätigen & schließen.
in ADSIEdit:
msPKI-Template-Schema-Version ändern auf 1
msPKI-Template-Minor-Revision ändern auf 1
Ohne diesen Teil funktioniert später die Einwahl mit dem FEC Client nicht.
Teil 1 MSCEP
Über MSCEP ein Zertifikat anfordern.Teil 2 Verbindung der LANs an zwei Standorten:
In beiden rs232bw den Assistenten:VPN:LAN-zu-LAN-Verbindung ausführen. Es wird ein IPSec-VPN erstellt, das zunächst mit einem Preshared Key verschlüsselt wird.ggf. die Firewalleinstellungen für ipsec anpassen.
Dann entsprechend des Workshops verfahren und die Zertifikate eintragen.
Eventuell mussen die Überprüfung der Stammzertifizerungsstellenzertifikate anhand einer Zertifikatsperrliste (CRL) sowie Vertrauenswürdigkeit des Zertifikats erzwingen gesetzt werden deaktiviert werden.
Teil 3 Verbindung mittels des FEC IPSEC Clients
Wieder im Assistenten eine IPSEC-Einwal verbindung generieren lassen. Am ende die Konfigurationsdatei exportieren und dann im FEC Client als neues Profil importieren.in das Verzeichnis Programme\Funkwerk Secure IPSec Client\CaCerts das Zertifizierungsstellenztertifikat exportieren certmgr.msc oder InternetExplorer:Inhalte
Format: DER-Kodiert, Dateiendung cer
irgendwoanders hin das Benutzerzertifikat kopieren: als *.pfx Dieses Benutzerzertifikat umbenennen in *.p12 (ob das erforderlich ist, weiss ich nicht.
Im Client unter Konfiguration:Zertifikate das Benutzerzertifikat hinterlegen.
Dann wieder am Router die Zertifikate analog Workshop eintragen.
Im Client die analogen Einstellungen entsprechen Workshop vornehmen
Optional: damit der Client die Standartroute des PCs in Ruhe läßt, unter "Split Tunneling" das entfernte Netzwerk eintragen.
Viel Spaß ich habe einen ganzen Tag damit verbracht.
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177839
Url: https://administrator.de/knowledge/ipsec-vpn-mit-windows-2003-ca-bintec-rs232bw-und-fec-secure-client-177839.html
Ausgedruckt am: 02.04.2025 um 17:04 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
für mich gehört zu einer Anleitung aber nicht nur die Groben Schritte auflisten, wichtig wäre hier auf zu zeigen was man im einzelnen Einstellen muss.
Am besten Anhand einer Beispiel Konfiguration.
Sieh dir doch bitte mal die Anleitungen von aqui an
brammer
für mich gehört zu einer Anleitung aber nicht nur die Groben Schritte auflisten, wichtig wäre hier auf zu zeigen was man im einzelnen Einstellen muss.
Am besten Anhand einer Beispiel Konfiguration.
Sieh dir doch bitte mal die Anleitungen von aqui an
brammer
Hallo brammer,
Danke für den Hinweis,
Erstens hatte ich nicht die Zeit alles fein in Sätzen zu schreiben. Entschuldigung. ´
Zweitens sind die 90% der Konfigurationsschritten in den verlinkten "Workshops" der Funkwerk-Seite enthalten. Wer die Links angeklickt hätte, hätte das erkannt.
Die fehlenden 10% waren Punkte, die mich viel Zeit gekostet haben und die ich deshalb hier aufgeschrieben habe, damit andere etwas schneller sein werden.
Wenn es hier um gute Literatur geht, ziehe den Beitrag gerne zurück. Wenns um Informationen & Fakten geht, würde ich ihn auch drinlassen.
Grüße
lcer
OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg das Ziel.
Danke für den Hinweis,
Erstens hatte ich nicht die Zeit alles fein in Sätzen zu schreiben. Entschuldigung. ´
Zweitens sind die 90% der Konfigurationsschritten in den verlinkten "Workshops" der Funkwerk-Seite enthalten. Wer die Links angeklickt hätte, hätte das erkannt.
Die fehlenden 10% waren Punkte, die mich viel Zeit gekostet haben und die ich deshalb hier aufgeschrieben habe, damit andere etwas schneller sein werden.
Wenn es hier um gute Literatur geht, ziehe den Beitrag gerne zurück. Wenns um Informationen & Fakten geht, würde ich ihn auch drinlassen.
Grüße
lcer
OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg das Ziel.
Du könntest den Beitrag ja auch einfach auf "Tipp" ändern, dann passt das wieder.
wenns hilft. Dann ist es eben keine Anleitung, sondern ein Tipp. herjeh.
Zitat von @lcer00:
OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer
gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg
das Ziel.
OFF-Topic-PS: Wegen solcher hilfreichen Hinweise habe ich aufgehört in der wikipedia mitzuschreiben. Irgendwem geht es immer
gleich um Prinzipien, nicht um die Sache. Da behielt ich meinen Kram lieber für mich - für manch einen ist halt der Weg
das Ziel.
Morgen,
nö hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte und das wird eben für eine Anleitung höher eingestuft als für einen Tipp. Deswegen wird da auch ein unterschied gemacht.
Wie schon geschrieben, vergleich mal die Anleitung von aqui und die von dir. Du wirst einen unterschied feststellen.
Ich bin ja schon beim meiner ersten Anleitung die ich die Tage reingestellt hab skeptisch ob’s eigentlich reicht.
Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
Hallo,
Wie schon angedeutet, wer Prosa will, ist meiner Meinung nach bei Sachthemen fehl am Platze. Wozu dient unsere Sprache? Um Sachverhalte präzise zu bennenen. Man kann sich auch kurz fassen und gleichzeitig unzweideutig und konkret schreiben. Und wer nicht klarkommt, kann sachbezogen nachfragen.
Grüße
Christoph
Zitat von @wiesi200:
Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
ist doch auch ein Imperativ - oder? Und auch ein Lexikon lebt von Verweisen auf andere Lemma. Ich habe jedenfalls alle Schritte, die für das Einrichten erforderlich sind, der Reihenfolge nach benannt und entweder konkret ausgeführt oder mittels Verweis auf ausführliche Darstellungen versehen. Das ist dann doch etwas mehr als ein Tipp. Das der Nutzer der "Anleitung" lesen kann, habe ich vorausgesetzt. Ebenso, dass ihm das Navigieren auf andere Seiten möglich ist. Und Grundkenntnisse von VPN und Zertifikat-Infrastruktur sollten auch vorhanden sein. Oder muss ich die Browserbedienungsaneitung mitliefern? "Wenn Sie am unteren Rand des Textes angelangt sind, müssen Sie nach unten scrollen. Daszu gibt es folgende Möglichkeiten:" Wo soll denn die Grenze gezogen werden? Gehört die Hardwareinstallation dazu ("das gelbe Kabel kommt in die gelbe Buchse?") Muss man bei diesem Thema subnetmasken erklären? Oder Grundzüge des Routings? Oder darf ich das voraussetzen? Und wenn ich es voraussetze, wäre es dann erforderlich, einen Verweis auf auf eine Quelle wie "Routing für Einsteiger" zu setzen, oder nicht?Siehst du den Sinn einer Anleitung das drinnen steht: "schau in der anderen Anleitung nach"?
Zitat von @wiesi200:
hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte
darf man denn auch einen gewissen Mindestintellekt und einen gewissen Mindestwissensstand voraussetzen?hier geht's eigentlich darum das für gewisse Sachen ein gewisses Mindestniveau gehalten werden sollte
Wie schon angedeutet, wer Prosa will, ist meiner Meinung nach bei Sachthemen fehl am Platze. Wozu dient unsere Sprache? Um Sachverhalte präzise zu bennenen. Man kann sich auch kurz fassen und gleichzeitig unzweideutig und konkret schreiben. Und wer nicht klarkommt, kann sachbezogen nachfragen.
Grüße
Christoph
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges mehr.
Über das solltest du dir mal Gedanken machen.
Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu gebrauchen.
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges mehr.
Über das solltest du dir mal Gedanken machen.
Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu gebrauchen.
Zitat von @wiesi200:
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges
mehr.
Über das solltest du dir mal Gedanken machen.
Natürlich gibt's für soetwas keine klaren Grenzen,
aber hier gibt's 3 Leute die eine andere Meinung haben als du. Und nach deiner Aussage bei Wikipedia auch noch um einiges
mehr.
Über das solltest du dir mal Gedanken machen.
mach ich mir.
Für mich ist diese "Anleitung" auf jeden Fall so nicht vollständig und deshalb auch nicht als solche zu
gebrauchen.
gebrauchen.
Vermutlich kannst Du die "Anleitung" nicht gebrauchen, weil Du keinen zertifikatabgesicherten IPSEC-Tunnel mit 2 bintec RS232bw Routern aufbauen willst. Insofern solltest Du Dir Gedanken machen, ob Du geeignet bist, den Inhalt dieses Tipps (habs übrigends schon vor 3 posts von "Anleitung" in "Tipp" geändert, was vermutlich dazu führte, dass Du hier überhaupt mitdiskutierst, da der Tipp im Portal unter "Neue Tipps" erschien) zu beurteilen.
Grüße
Christoph
