NetWall Roaming VPN

De configuratie bestaat uit drie onderdelen:

  1. Aanmaken certificaten
  2. Configureren van de Clavister
  3. Configureren van de diverse clients

Aanmaken certificaten

  1. Maak certificaat aan voor de VPN verbinding. Voorbeeld: remote.secure-online.nl. De volgende zijn nodig:
    1. CA cert (self-signed of commercieel)
    2. Certificaat voor gateway (remote.secure-online.nl)
    3. Private key voor gateway certificaat

Configureren Clavister

  1. Upload de certificaten naar de Clavister: Objects -> General -> Key Ring -> Add/Certificate
  2. Upload CA cert en disable CRL checks (ook wel CA bundel)
  3. Upload gateway certificaat + private key en disable CRL checks
  4. Maak IP Pool aan voor Roaming VPN clients: Objects -> General -> Address Book -> Add/IP4 Address
    • Naam: Roaming_pool
    • Address: x.x.x.100–x.x.x.150
  5. Configureer een “user database” – Local of RADIUS
    • Local: System -> Users -> Local User Database
    • RADIUS: Policies -> User Authentication -> User Directories -> RADIUS
  6. Configureer VPN interface: Network -> Interfaces and VPN -> IPsec -> Add/Roaming VPN (Simplified)
  7. Configureer het VPN interface
  8. Configureer Firewall regels voor juiste toegangen.

Configureer clients

Windows

  1. Importeer het CA certificaat in de “Vertrouwde basiscertificaten” (Trusted root certificates)
  2. Maak een nieuwe VPN connectie aan “Configuratie scherm -> Netwerkcentrum -> Een nieuwe verbinding…”
  3. Verbind naar de DNS naam die eerder in het gateway certificaat is gebruikt.
  4. Na aanmaken moet er een instelling worden veranderd in de configuratie. Ga hiervoor naar “Adapter instellingen wijzigen”
  5. Kies type “IKEv2” en versleuteling “Versleuteling met maximale sterkte”

MacOS / iOS

  1. Importeer het CA certificaat in de “keychain”.
  2. Maak een vpn connectie aan via “Settings -> Network”
    • Server Address: DNS als in gateway certificaat
    • Remote ID: DNS als in gateway certificaat (BELANGRIJK)
    • Authentication Settings -> Username (vul de credentials in.)

Android

De native VPN-client van android beschikt niet over IKEv2, hiervoor dient een app te worden gebruikt: StronSwan

  1. Importeer het CA certificaat in StronSwan: Menu -> CA Certificates -> Import certificate
  2. “Add VPN profile”
    1. Server: DNS als in gateway certificaat
    2. VPN Type: IKEv2 EAP (Username/Password)
    3. Credentials