Mac OS X (L2TP-IPSec VPN-Konfiguration)

L2TP-Verbindung von einem Mac OS X Rechner zum SX-GATE

Diese Anleitung beschreibt, wie Sie eine L2TP-Verbindung zwischen einem SX-GATE und einem Mac konfigurieren, die zur Authentifizierung Zertifikate verwendet. Das Beispiel orientiert sich dabei an OS X 10.9 (Mavericks) und setzt vorraus, dass auf dem SX-GATE bereits eine CA eingerichtet ist und diese auch beim VPN-Server als vertrauenswürdig hinterlegt wurde. Ebenso muss unter "Module > Netzwerk > Schnittstellen" bereits eine ipsec0-Schnittstelle existieren. Sind diese Voraussetzungen nicht gegeben, nutzen Sie bitte den Konfigurationsassistenten aus dem Menü "Assistenten > L2TP-IPSec-VPN". Dieser führt die grundlegende IPSec-L2TP-Konfiguration durch und beinhaltet bereits die meisten der nachfolgend beschriebenen Schritte.

Verbindung auf dem SX-GATE anlegen

Wechseln Sie ins Menü "Module > Netzwerk > Schnittstellen" und klicken Sie neben der ipsec-Schnittstelle auf "Verbindungen". Prüfen Sie, ob bereits eine Verbindung zu einem "L2TP Client" besteht, die auf dem Reiter "Authentifizierung" als Authentifzierungsmethode "alle Zertifikate von vertrauter CA" eingestellt hat. Legen Sie andernfalls unter beliebigem Namen eine neue Verbindung zu einem "L2TP Client" an und stellen Sie die Authentifzierungsmethode entsprechend um.

Folgende Parameter müssen in der Verbindung gesetzt werden:

  • Auf dem Reiter "Phase 2" muss Perfect Forward-Secrecy auf "optional" stehen.
  • Auf dem Reiter "Verbindung" die Option "Kompatibilität für Mac OS und iPhone".

Zertifikate ausstellen

Prüfen Sie nun das Zertifikat des SX-GATE VPN-Servers im Menü "Module > Netzwerk > Einstellungen" auf dem Reiter "VPN Zertifikat". Hier muss ein "Alternativer Bezeichner" angezeigt werden, der die IP oder den DNS-Namen enthält, der im Mac OS Client später als Servername konfiguriert wird. Ist dies nicht der Fall, muss ein neues Zertifikat für den SX-GATE VPN-Server ausgestellt werden. Wechseln Sie dazu in das Menü "System > Zertifikate > Zertifikate", wählen Sie dort das Zertifikat "VPN" aus und erstellen Sie dieses neu mit passendem alternativen Bezeichner.

Sind auch VPN-Verbindungen mit anderen VPN-Server konfiguriert, ist nicht völlig auszuschließen, dass nach dem Ausstellen eines neuen VPN-Server Zertifikats die Konfiguration auf einzelnen VPN-Servern angepasst werden muss.

Als nächstes müssen Sie ein Zertifikat für den Mac OS Client ausstellen. Dies erfolgt ebenfalls im Menü "System > Zertifikate > Zertifikate". Fügen Sie dort einen neuen Eintrag mit beliebigem Zertifikatsname hinzu. Stellen Sie dann das Zertifikat aus.
Beim Ausfüllen der Zertifikatsdaten muss für den Client kein alternativer Bezeichner angegeben werden.
Sie müssen ein Kennwort vergeben, mit dem das Zertifikat vor unberechtigtem Zugriff geschützt wird. Es wird benötigt, wenn Sie das Zertifikat später auf einem Client importieren wollen. Zudem können Sie noch festlegen wie lange das Zertifikat seine Gültigkeit behalten soll. Nach Eingabe des CA-Kennwortes und anschliessendem Drücken von "Fertigstellen" wird das neue Zertifikat signiert.
Im nächsten Schritt können Sie dann "Schlüssel und Zertifikat im PKCS#12-Format" herunterladen und den Assistenten durch Drücken von "OK" beenden.

Bevor Sie nun mit der Konfiguration des Clients beginnen, sollten Sie zunächst noch folgende Dinge sicherstellen:

  • Unter "System > Dienste" müssen die Dienste "IPSec VPN" und "L2TP-Server" gestartet sein.
  • In der Schnittstelle "l2tp0" unter "Module > Netzwerk > Schnittstellen" müssen ausreichend "Zuzuweisende IP-Adressen" eingetragen sein.
  • Für die Benutzerauthentifzierung müssen die gewünschten Benutzer unter "System > Benutzerverwaltung > Benutzer" der Gruppe "system-ras" zugeordnet sein.

OS X Client Konfigurieren

Zertifikat importieren

Übertragen Sie nun die p12-Datei auf Ihren Mac und starten Sie den Importvorgang durch Doppelklick auf die Datei. Wählen Sie in der so gestarteten Anwendung "Schlüsselbundverwaltung" als Schlüsselbund "System" und als Kategorie "Zertifikate" aus. Lassen Sie sich den privaten Schlüssel anzeigen, indem Sie vor dem Zertifikat (im Beispiel "l2tpdemo") auf den Pfeil drücken.

mac keychain-01

Doppelklicken Sie den privaten Schlüssel um dessen Einstellungen zu bearbeiten. Wechseln Sie auf den Reiter "Zugriff" und aktivieren dort die Option "Allen Programmen den Zugriff ermöglichen".

mac keychain-02

Zurück im Hauptfenster der Schlüsselbundverwaltung, müssen Sie nun auf das CA-Zertifikat klicken. Sie sehen im oberen Teil des Fensters den rot geschriebenen Hinweistext "Dieses Root-Zertifikat ist nicht vertrauenswürdig". Um dem CA-Zertifikat zu vertrauen müssen Sie in dessen Einstellungen die Option "Bei Verwendung dieses Zertifikats" "immer Vertrauen" einstellen.

mac keychain-03

Die Änderungen werden beim Schliessen des Fensters übernommen. Die Schlüsselbundverwaltung sollte danach in etwa wie folgt aussehen:

mac keychain-04

Konfiguration der Verbindung

Es sind nun alle Vorraussetzungen erfüllt um die eigentliche Verbindung zu konfigurieren. Öffnen Sie dazu die Netzwerkeinstellungen des Systems und fügen durch Drücken des "+"-Symbols einen neuen Dienst hinzu. Stellen Sie den Anschluss auf "VPN" und geben Sie einen Dienstnamen ein (z.B. den Namen der Firma zu der Sie sich verbinden wollen). Der VPN-Typ muss auf "L2TP über IPSec" stehen.

mac l2tp conf-01

Nun können Sie bei "Serveradresse" die IP-Adresse oder den DNS-Namen eingeben, welchen Sie zuvor im alternativen Bezeichner beim Erstellen des Zertifikats angegeben haben. Der angegebene Benutzername wird verwendet, um sich mit diesem am SX-GATE anzumelden. Der Benutzer muss dort vorhanden und Mitglied der Gruppe "system-ras" sein.

mac l2tp conf-02

Um die verschlüsselte Verbindung erfolgreich aufbauen zu können, müssen Sie noch angeben wie sich Benutzer und Rechner an der Gegenstelle anmelden sollen. Wechseln Sie dazu in die Authentifizierungseinstellungen und stellen die Benutzer-Authentifizierung auf "Kennwort" und die Rechner-Authentifizierung auf "Zertifikat". Hinterlegen Sie passend dazu das zugehörige Nutzerpasswort bzw. das vorhin importierte Zertifikat.

mac l2tp conf-03

Nun können Sie die Verbindung zum SX-GATE aufbauen indem Sie auf die Schaltfläche "Verbinden" drücken. Wenn Sie den Schalter "VPN-Status in der Menüleiste anzeigen" aktiviert haben, können Sie die Verbindung über ein Symbol in der Menüleiste auf- und wieder abbauen, ohne erst die Systemeinstellungen öffnen zu müssen.