Allgemein

Auf der Registerkarte L2TP-over-IPsec > Allgemein können Sie die grundlegenden Optionen für den Fernzugriff über L2TPClosed-over-IPsecClosed konfigurieren.

Hinweis – Standardmäßig ist die 96-bit, Android-freundliche Version der L2TP-Authentifizierung aktiviert. Wenn Sie sich an die offizielle RFC halten wollen (z.B. um L2TP mit Nokia Smartphones zu verwenden), lesen Sie bitte in der Sophos Knowledgebase nach.

Um L2TP über IPsec zu konfigurieren, gehen Sie folgendermaßen vor:

  1. Aktivieren Sie L2TP über IPsec auf der Registerkarte Allgemein.

    Klicken Sie auf den Schieberegler.

    Der Schieberegler wird gelb und der Abschnitt Servereinstellungen und IP-Adressenzuweisung kann nun bearbeitet werden.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Schnittstelle: Wählen Sie die Netzwerkschnittstelle, die für den L2TP-VPNClosed-Zugang verwendet werden soll.

    Auth.-Methode: Sie können zwischen den folgenden Authentifizierungsmethoden wählen:

    • Verteilter Schlüssel: Geben Sie ein Kennwort ein, das als verteilter Schlüssel dient. Die Authentifizierung mit verteilten Schlüsseln (PSK, engl. preshared keys) erfolgt durch Schlüssel mit einem geheimen Kennwort, die vor der eigentlichen Verbindung unter den Beteiligten ausgetauscht werden. Um zu kommunizieren, weisen beide Gegenstellen nach, dass sie den vereinbarten Schlüssel kennen. Der vereinbarte Schlüssel ist ein Kennwort, das dazu benutzt wird, den Datenverkehr mit dem Verschlüsselungsalgorithmus von L2TP zu verschlüsseln. Um die höchstmögliche Sicherheit zu gewährleisten, sollten Sie sich an den gängigen Maßstäben für die Stärke des Kennwortes orientieren. Wie sicher solche vereinbarten Schlüssel sind, hängt davon ab, wie sicher das Kennwort gewählt wurde und wie sicher es übertragen wurde. Kennwörter, die aus allgemeinen Wörtern bestehen, sind sehr anfällig für Wörterbuchangriffe. Daher sollte ein Kennwort ziemlich lang sein und eine Reihe von Buchstaben, Großbuchstaben und Zahlen enthalten. Folglich sollte ein verteilter Schlüssel auch nicht als Authentifizierungsmethode verwendet, sondern durch Zertifikate ersetzt werden, wo immer dies möglich ist.

      Hinweis – Wenn Sie den Zugang für iOS-Geräte ermöglichen wollen, müssen Sie Verteilter Schlüssel wählen, da iOS-Geräte nur PSK-Authentifizierung unterstützen.

    • X.509-CA-Prüfung: Die Authentifizierung durch X.509-Zertifikate erleichtert den Austausch des öffentlichen Schlüssels in großen VPN-Installationen mit vielen Teilnehmern. Eine sogenannte CAClosed (engl. Certificate Authority, Zertifizierungsstelle) erfasst und überprüft die öffentlichen Schlüssel der VPN-Endpoints und stellt für jeden Teilnehmer ein Zertifikat aus. Dieses Zertifikat enthält Informationen zur Identität des Teilnehmers und den zugehörigen öffentlichen Schlüssel. Da das Zertifikat digital signiert ist, kann niemand anderes ein gefälschtes Zertifikat verteilen, ohne entdeckt zu werden.

      Während des Schlüsselaustauschs werden die X.509-Zertifikate ausgetauscht und mit Hilfe der lokal installierten CAs beglaubigt. Die eigentliche Authentifizierung der VPN-Endpoints wird dann durch die öffentlichen und privaten Schlüssel durchgeführt. Wenn Sie diese Authentifizierungsmethode verwenden wollen, wählen Sie ein X.509-Zertifikat.

      Beachten Sie, dass Sie für die X.509-Authentifizierungsmethode auf der Registerkarte Fernzugriff > Zertifikatverwaltung > Zertifizierungsstelle eine gültige CA konfiguriert haben müssen.

    IP-Zuweisung durch: IP-Adressen können Sie entweder aus einem festgelegen IP-Adressenpool zuweisen oder von einem DHCP-Server verteilen lassen:

    • Pool-Netzwerk: Standardmäßig ist IP-Adressenpool für die IP-Adressenzuweisung ausgewählt, wobei die Netzwerkdefinition VPN Pool (L2TP) als Pool-Netzwerk voreingestellt ist. Der VPN Pool (L2TP) ist ein zufällig generiertes Netzwerk aus dem IP-Adressbereich 10.x.x.x für private Netzwerke, für das ein Klasse-C-Subnetz verwendet wird. Üblicherweise ist es nicht notwendig, das zu ändern, da es sicherstellt, dass die Benutzer einen bestimmten Adressenpool haben, von dem aus sie Verbindungen aufbauen können. Wenn Sie ein anderes Netzwerk verwenden wollen, können Sie einfach die Definition des VPN Pools (L2TP) ändern oder hier ein anderes Netzwerk als IP-Adressenpool angeben. Beachten Sie, dass die Netzwerkmaske auf ein Minimum von 16 beschränkt ist.

      Hinweis – Wenn Sie private IP-Adressen für Ihren L2TP-VPN-Pool verwenden und wollen, dass IPsec-Hosts auf das Internet zugreifen dürfen, legen Sie entsprechende Maskierungs- oder NAT-Regeln für den IP-Adressenpool an.

    • DHCP-Server: Wenn Sie DHCP-Server auswählen, geben Sie auch die Netzwerkschnittstelle an, über die der DHCP-Server erreichbar ist. Der DHCPClosed-Server muss nicht direkt mit der Schnittstelle verbunden sein – der Zugriff ist auch über einen Router möglich. Beachten Sie, dass der lokale DHCP-Server nicht unterstützt wird; der hier gewählte DHCP-Server muss auf einem physikalisch anderen System laufen.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.

    Der Schieberegler wird grün.

Um die Konfiguration abzubrechen, klicken Sie auf den gelben Schieberegler.

Zugriffskontrolle

Authentifizierung über: L2TP-Fernzugriff unterstützt nur die lokale und RADIUS-Authentifizierung.

  • Lokal: Wenn Sie Lokal wählen, geben Sie die Benutzer und Benutzergruppen an, die sich per L2TP-Fernzugriff verbinden dürfen. Es ist nicht möglich, Backend-Benutzergruppen in das Feld zu ziehen. Lokale Benutzer müssen Sie auf dem herkömmlichen Weg hinzufügen und L2TP für sie aktivieren. Wenn keine Benutzer oder Gruppen ausgewählt sind, wird L2TP-Fernzugriff ausgeschaltet. Das Hinzufügen eines Benutzers wird auf der Seite Benutzer erläutert.

    Hinweis – Benutzername und Kennwort der gewählten Benutzer dürfen nur druckbare ASCII-Zeichen enthalten 1.

    Hinweis – Ähnlich wie bei SSLClosed-VPNClosed steht das Menü Fernzugriff des Benutzerportals nur Benutzern zur Verfügung, die im Feld Benutzer und Gruppen ausgewählt sind und für die in der UTM eine Benutzerdefinition existiert. In Abhängigkeit von der Authentifizierungsmethode liegt für autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, der verteilte Schlüssel für IPsec (Authentifizierungsmethode Verteilter Schlüssel) oder die Datei PKCS#12 (Authentifizierungsmethode X.509-CA-Prüfung) sowie ein Link zur Installationsanleitung bereit, die in der Sophos Knowledgebase zur Verfügung steht.

  • RADIUS: Wenn Sie RADIUS auswählen, werden die Authentifizierungsanfragen an den RADIUS-Server weitergeleitet. Das L2TP-Modul sendet folgende Zeichenfolge als NASClosed-IDClosed an den RADIUS-Server: l2tp.

Der Authentifizierungsalgorithmus wird automatisch zwischen dem Client und dem Server ausgehandelt. Für lokale Benutzer unterstützt Sophos UTM das Authentifizierungsprotokoll MSCHAPv2.

Für RADIUS-Benutzer unterstützt Sophos UTM folgende Authentifizierungsprotokolle:

  • MSCHAPv2Closed
  • MSCHAPClosed
  • CHAPClosed