Diese Anleitung beschreibt, wie Sie eine L2TP-Verbindung zwischen einem DEFENDO und einem Mac konfigurieren, die zur Authentifizierung Zertifikate verwendet. Das Beispiel orientiert sich dabei an OS X 10.9 (Mavericks) und setzt vorraus, dass auf dem DEFENDO bereits eine CA eingerichtet ist und diese auch beim VPN-Server als vertrauenswürdig hinterlegt wurde. Ebenso muss unter "Module > Netzwerk > Schnittstellen" bereits eine ipsec0-Schnittstelle existieren. Sind diese Voraussetzungen nicht gegeben, nutzen Sie bitte den Konfigurationsassistenten aus dem Menü "Assistenten > IPsec-VPN". Dieser führt die grundlegende IPSec-L2TP-Konfiguration durch und beinhaltet bereits die meisten der nachfolgend beschriebenen Schritte.

Wechseln Sie ins Menü "Module > Netzwerk > Schnittstellen" und klicken Sie neben der ipsec-Schnittstelle auf "Verbindungen". Prüfen Sie, ob bereits eine Verbindung zu einem "L2TP Client" besteht, die auf dem Reiter "Authentifizierung" als Authentifzierungsmethode "alle Zertifikate von vertrauter CA" eingestellt hat. Legen Sie andernfalls unter beliebigem Namen eine neue Verbindung zu einem "L2TP Client" an und stellen Sie die Authentifzierungsmethode entsprechend um.

Folgende Parameter müssen in der Verbindung gesetzt werden:

• Auf dem Reiter "Verschlüsselung" (vor Version 7.1-2.0 auf dem Reiter "Phase 2") muss Perfect Forward-Secrecy auf "deaktiviert" stehen.

Prüfen Sie nun das Zertifikat des DEFENDO VPN-Servers im Menü "Module > Netzwerk > Einstellungen" auf dem Reiter "VPN Zertifikat". Hier muss ein "Alternativer Bezeichner" angezeigt werden, der die IP oder den DNS-Namen enthält, der im MacOS Client später als Servername konfiguriert wird. Ist dies nicht der Fall, muss ein neues Zertifikat für den DEFENDO VPN-Server ausgestellt werden. Wechseln Sie dazu in das Menü "System > Zertifikatsverwaltung > CA Zertifikate" und klicken Sie in der zweiten Spalte auf den Link "Zertifikate" (vor Version 7.1: Menü "System > Zertifikatsverwaltung > Erstellte Zertifikate"), wählen Sie dort das Zertifikat "VPN" aus und erstellen Sie dieses neu mit passendem alternativen Bezeichner.

Als nächstes müssen Sie ein Zertifikat für den MacOS-Client ausstellen. Dies erfolgt ebenfalls im Menü "System > Zertifikatsverwaltung > CA Zertifikate" über den Link "Zertifikate" (vor Version 7.1: Menü "System > Zertifikate > Erstellte Zertifikate"). Fügen Sie dort einen neuen Eintrag mit beliebigem Zertifikatsname hinzu. Stellen Sie dann das Zertifikat aus.

Beim Ausfüllen der Zertifikatsdaten muss für den Client kein alternativer Bezeichner angegeben werden.

Sie müssen ein Kennwort vergeben, mit dem das Zertifikat vor unberechtigtem Zugriff geschützt wird. Es wird benötigt, wenn Sie das Zertifikat später auf einem Client importieren wollen. Zudem können Sie noch festlegen wie lange das Zertifikat seine Gültigkeit behalten soll. Nach Eingabe des CA-Kennwortes und anschliessendem Drücken von "Fertigstellen" wird das neue Zertifikat signiert.

Im nächsten Schritt können Sie dann "Schlüssel und Zertifikat im PKCS#12-Format exportieren (AES256, SHA256)" herunterladen und den Assistenten durch Drücken von "OK" beenden.

Bevor Sie nun mit der Konfiguration des Clients beginnen, sollten Sie zunächst noch folgende Dinge sicherstellen:

• Unter "System > Dienste" müssen die Dienste "IPSec VPN" und "L2TP-Server" gestartet sein.
• In der Schnittstelle "l2tp0" unter "Module > Netzwerk > Schnittstellen" müssen ausreichend "Zuzuweisende IP-Adressen" eingetragen sein.
• Für die Benutzerauthentifzierung müssen die gewünschten Benutzer unter "System > Benutzerverwaltung > Benutzer" der Gruppe "system-ras" zugeordnet sein.

Übertragen Sie nun die p12-Datei auf Ihren Mac und starten Sie den Importvorgang durch Doppelklick auf die Datei. Wählen Sie in der so gestarteten Anwendung "Schlüsselbundverwaltung" als Schlüsselbund "System" und als Kategorie "Zertifikate" aus. Lassen Sie sich den privaten Schlüssel anzeigen, indem Sie vor dem Zertifikat (im Beispiel "l2tpdemo") auf den Pfeil drücken.

Doppelklicken Sie den privaten Schlüssel um dessen Einstellungen zu bearbeiten. Wechseln Sie auf den Reiter "Zugriff" und aktivieren dort die Option "Allen Programmen den Zugriff ermöglichen".

Zurück im Hauptfenster der Schlüsselbundverwaltung, müssen Sie nun auf das CA-Zertifikat klicken. Sie sehen im oberen Teil des Fensters den rot geschriebenen Hinweistext "Dieses Root-Zertifikat ist nicht vertrauenswürdig". Um dem CA-Zertifikat zu vertrauen müssen Sie in dessen Einstellungen die Option "Bei Verwendung dieses Zertifikats" "immer Vertrauen" einstellen.

Die Änderungen werden beim Schliessen des Fensters übernommen. Die Schlüsselbundverwaltung sollte danach in etwa wie folgt aussehen:

Es sind nun alle Vorraussetzungen erfüllt um die eigentliche Verbindung zu konfigurieren. Öffnen Sie dazu die Netzwerkeinstellungen des Systems und fügen durch Drücken des "+"-Symbols einen neuen Dienst hinzu. Stellen Sie den Anschluss auf "VPN" und geben Sie einen Dienstnamen ein (z.B. den Namen der Firma zu der Sie sich verbinden wollen). Der VPN-Typ muss auf "L2TP über IPSec" stehen.

Nun können Sie bei "Serveradresse" die IP-Adresse oder den DNS-Namen eingeben, welchen Sie zuvor im alternativen Bezeichner beim Erstellen des Zertifikats angegeben haben. Der angegebene Benutzername wird verwendet, um sich mit diesem am DEFENDO anzumelden. Der Benutzer muss dort vorhanden und Mitglied der Gruppe "system-ras" sein.

Um die verschlüsselte Verbindung erfolgreich aufbauen zu können, müssen Sie noch angeben wie sich Benutzer und Rechner an der Gegenstelle anmelden sollen. Wechseln Sie dazu in die Authentifizierungseinstellungen und stellen die Benutzer-Authentifizierung auf "Kennwort" und die Rechner-Authentifizierung auf "Zertifikat". Hinterlegen Sie passend dazu das zugehörige Nutzerpasswort bzw. das vorhin importierte Zertifikat.

Nun können Sie die Verbindung zum DEFENDO aufbauen indem Sie auf die Schaltfläche "Verbinden" drücken. Wenn Sie den Schalter "VPN-Status in der Menüleiste anzeigen" aktiviert haben, können Sie die Verbindung über ein Symbol in der Menüleiste auf- und wieder abbauen, ohne erst die Systemeinstellungen öffnen zu müssen.