De configuratie bestaat uit drie onderdelen:
- Aanmaken certificaten
- Configureren van de Clavister
- Configureren van de diverse clients
Aanmaken certificaten
- Maak certificaat aan voor de VPN verbinding. Voorbeeld: remote.secure-online.nl. De volgende zijn nodig:
- CA cert (self-signed of commercieel)
- Certificaat voor gateway (remote.secure-online.nl)
- Private key voor gateway certificaat
Configureren Clavister
- Upload de certificaten naar de Clavister: Objects -> General -> Key Ring -> Add/Certificate
- Upload CA cert en disable CRL checks (ook wel CA bundel)
- Upload gateway certificaat + private key en disable CRL checks
- Maak IP Pool aan voor Roaming VPN clients: Objects -> General -> Address Book -> Add/IP4 Address
- Naam: Roaming_pool
- Address: x.x.x.100–x.x.x.150
- Configureer een “user database” – Local of RADIUS
- Local: System -> Users -> Local User Database
- RADIUS: Policies -> User Authentication -> User Directories -> RADIUS
- Configureer VPN interface: Network -> Interfaces and VPN -> IPsec -> Add/Roaming VPN (Simplified)
- Configureer het VPN interface
- Configureer Firewall regels voor juiste toegangen.
Configureer clients
Windows
- Importeer het CA certificaat in de “Vertrouwde basiscertificaten” (Trusted root certificates)
- Maak een nieuwe VPN connectie aan “Configuratie scherm -> Netwerkcentrum -> Een nieuwe verbinding…”
- Verbind naar de DNS naam die eerder in het gateway certificaat is gebruikt.
- Na aanmaken moet er een instelling worden veranderd in de configuratie. Ga hiervoor naar “Adapter instellingen wijzigen”
- Kies type “IKEv2” en versleuteling “Versleuteling met maximale sterkte”
MacOS / iOS
- Importeer het CA certificaat in de “keychain”.
- Maak een vpn connectie aan via “Settings -> Network”
- Server Address: DNS als in gateway certificaat
- Remote ID: DNS als in gateway certificaat (BELANGRIJK)
- Authentication Settings -> Username (vul de credentials in.)
Android
De native VPN-client van android beschikt niet over IKEv2, hiervoor dient een app te worden gebruikt: StronSwan
- Importeer het CA certificaat in StronSwan: Menu -> CA Certificates -> Import certificate
- “Add VPN profile”
- Server: DNS als in gateway certificaat
- VPN Type: IKEv2 EAP (Username/Password)
- Credentials