Zertifikate und IPSec

  • Ich habe einige Fragen zu Zertifikaten allgemein sowie für IPSec over L2TP:


    Ich habe statische IPs im Haus, daran hängt eine Endian Community 2.3.0. Dahinter habe ich eine DMZ (orange) mit Webserver, Entwicklungsservern (virtuell) und einigen Server Apps auf den Desktops, die erreichbar sein müssen, sowie ein LAN (grün).


    Der Webserver ist ein w2k3, wir haben (noch) keinen DC bzw. AD. Unsere aktiven Webs laufen vor allem auf PHP, jedoch ist auch ASP Code vorhanden. Unsere Domains teilen sich auf dem Server eine einzelne IP Adresse im Privaten Bereich. Ich habe auf der roten Schnittstelle 3 IPs eingetragen, wovon ich bislang aber nur eine nutze. Bei den Nameservern verweisen alle Einträge auf die erste öffentliche Adresse. Ich habe lediglich die Ports mit Destination NAT verteilt.


    Sichere Kommunikation wäre aber gerade bei der Administration der Webs sowie bei Bestellabwicklung von den Shops unabdingbar. Auf dem Webserver habe ich ein Default Certificate, ausgestellt vom Anbieter des Hosting Panels. Wenn ich das Hosting Panel im Browser über https anfordere, kommt die Meldung: „Es besteht ein Problem mit dem Sicherheitszertifikat der Website.“… Ich kann dann aber auf laden fortsetzen klicken, und die Seite wird angezeigt.


    Daher meine Frage: Muss ich ein sündhaft teures Zertifikat kaufen, oder mieten, oder wie man das nennen will, möchte ich auf sichere Kommunikation nicht verzichten?? Kann ich das Problem mit einer eigenständigen Zertifizierungsstelle lösen, ohne dafür jährlich zu bezahlen?


    Dann zu IPSec:


    Ich versuche schon seit zwei Tagen, einen Tunnel über L2TP herzustellen. Ich habe Root und Host Zertifikat (ENDIAN-FW-hostcert.pem) erstellt, sowie unter Verbindungsstatus und –kontrolle dann das eigentliche Host Zertifikat (VPNxxx.p12) erstellt.


    VPN sollte natürlich auf rot erreichbar sein. Der Client ist ein Windows XP SP 3 mit den Support Tools. Unter http://support.microsoft.com/kb/314831 fand ich eine wilde Anleitung, wie ich eine Verbindung einrichte und debugge. Leider habe ich aber nicht ganz alles verstanden, was da steht.


    Wenn ich in der Endian Wall auf Status klicke, dann steht da VPN (IPSec) … angehalten. Auch bei dem Host Zertifikat unter Verbindungsstatus steht beendet. Nach meiner Recherche hängt das aber damit zusammen, dass ich noch keinen Tunnel erfolgreich aufgebaut habe. Ist das richtig so?


    Ich habe das VPNxxx.p12 Zertifikat importiert, und zwar nach Eigene Zertifikate und nach Vertrauenswürdige Stammzertifizierungsstellen. Mit dem XP Netzwerk Assistenten konnte ich aber partout keine Verbindung aufbauen. Ich habe beim Assistenten unter Sicherheit Erweitert gewählt, und dann EAP, smartcard oder anderes Zertifikat, und dann Zertifikat auf diesem Computer verwenden. Das Zertifikat habe ich ausgewählt, unten steht: „ Sie besitzen einen privaten Schlüssel.“


    Je nach Konfiguration bekam ich dann verschiedene Fehlermeldungen, so z.B. 798


    Es konnte kein Zertifikat gefunden werden, das mit dem Extensible Authentication-Protokoll werden kann.


    Dann habe ich es mit thegreenbow VPN Client versucht. Ich kriege aber auch damit keine Verbindung hin!


    Einstellungen der Endian Wall (IPSec):


    • Lokaler VPN Hostname/IP: hier habe ich die erste öffentliche IP Adresse eingegeben, da sich der NetBios Name Endian-Wall nicht verwenden liess.
    • Aktiviert ist markiert, ebenso VPN auf orange
    • Ich habe für die L2TP/IPSec Geschichte noch keine Ports von rot weitergeleitet, in der Annahme, Endian nimmt die Portweiterleitung selber vor. Ist das richtig?
    • Unter Verbindungsstatus und –kontrolle habe ich ein Host Zertifikat erstellt, Name: VPNxxx, aktiviert ist wieder angekreuzt. Die Schnittstelle ist RED, lokales Subnet ist 192.168.29.0/24 (orange)
    • Unter erweitert habe ich bei IKA mal alles ausgewählt, ebenso unter ESP, ESP Gruppen Typ ist Phase 1. Agressive Mode, PFS ist aktiviert und Payloadkomression habe ich deaktiviert, Inner-IP ist aktiviert.


    Einstellungen am Client:


    Phase 1:


    • Interface: alle
    • Remote Gateway: die erste öffentliche IP Adresse der Endian Wall
    • Zertifikat: hier kann ich das Host Zertifikat importieren, wenn ich es anzeige, steht nicht gültig. Nachdem ich es bei den Zertifikaten zu den vertrauenswürdigen Stammzertifizierungsstellen hinzugefügt habe, steht „Zertifikat ist gültig“. Im VPN Client selbst, wenn ich da das Zertifikat anzeige, dann fehlt aber der Hinweis „Sie besitzen einen privaten Schlüssel für dieses Zertifikat!
    • Bei IKE wähle ich unter Verschlüsselung 3DES, Authentifizierung SHA-1 und Key-Gruppe DH2


    Phase 2:


    • VPN- Client Adresse: hier 0.0.0.0 (??)
    • Adresstyp: Subnet
    • Remote LAN Adresse: 192.168.29.0
    • Subnet: 255.255.0.0
    • Verschlüsselung: 3DES
    • Autenthisierung: SHA-1
    • Modus: Tunnel
    • PFS aktiviert, Gruppe 2 (1024)


    Den IP-Sicherheitsmonitor auf dem Client kann ich leider nicht starten. Fehlermeldung: Die Bindungsnummer ist unzulässig. Ich vermute, dort könnte ich auch das Sicherheitsprotokoll einsehen (oder wäre das in der Ereignissanzeige?)


    Zu guter Letzt stellt sich die Frage, ob ich die Zertifizierungsstelle in Endian auch für die sichere Kommunikation unserer Webs benutzen kann.


    Ich bin um jede Anregung dankbar!
    Greez