Windows 10/11 (32/64-Bit) EAP/PEAP

Der in Windows 7 enthaltene IPSec Client unterstützt das "Mobile Pools" IPSec Gateway.  Die Installation weiterer Software ist nicht mehr notwendig! Das "Mobile Pool" IPSec Gateway verwendet dabei die OpenSource Lösung "strongSwan", auch hier kommt der neue in vielen Details verbesserte IKEv2 Standard zum Einsatz. Als Authentisierungsmethode wird EAP/PEAP verwendet.

Neben der Authentisierung mittels x509 Benutzerzertifikaten, wird jetzt auch das sichere Authentisieren mit Benutzername und Passwort unterstützt. Dazu wird das RAS-Passwort aus der Benutzerverwaltung "myAccount" der Uni-Freiburg verwendet. Alle Mitglieder der Universität Freiburg, die einen gültigen Account besitzen, können diesen Netzwerk-Zugang verwenden.

 

  • Voraussetzung
     
    • Zur Konfiguration benötigen Sie einen gültigen Account an der Benutzerverwaltung der Universität Freiburg. Dazu müssen Sie Ihr RAS-Passwort kennen, welches Sie innerhalb der Benutzerverwaltung "myAccount" setzen können.
    • Das Wurzelzertifikat der "Mobile Pools" Zertifizierungsstelle
      Darüber wird gewährleistet, dass der Windows 7 VPN Client mit dem "Mobile Pools" IPSec Gateway kommuniziert. Das Wurzelzertifikat der "MoPo CA" kann hier herunter geladen werden:
      Root Certificate (Fingerprint:SHA1 Fingerprint=22:FF:7D:0D:55:68:F9:3E:DC:C1:DA:E4:5E:22:6C:18:BA:C6:B4:D7)
  • Konfiguration
    Die Konfiguration erfolgt in zwei Schritten:

    1. Import des Wurzelzertifikats der "Mobile Pools" Zertifizierungsstelle.

    Für diesen Vorgang benötigen Sie Administratorrechte!

    "Microsoft Management Console" (mmc) starten:
    "mmc" ausführen unter: Start -> [Programme und Dateien durchsuchen]

    Microsoft Management Console
    -> Datei
    --> Snap-In hinzufügen/entfernen
      "Zertifikate" auswählen -> hinzufügen
       !wichtig!:  [x] Computerkonto wählen ->  [x] Lokaler Computer -> Fertig stellen
    Snap-In mit "ok" beenden

    In der MMC erscheint jetzt der Eintrag "Zertifikate (Lokaler Computer)
    Zertifikate (Lokaler Computer) -> Vertrauenswürdige Stammzertifikate -> Zertifikate

    Zertifikate auswählen



    Mit rechts-click auf Zertifikate -> Alle Aufgaben -> importieren

    "Zertfikatimport-Assistent" öffnet sich:
    weiter -> Dateiauswahl -> Durchsuchen -> Wurzelzertifikat "ca" auswählen und öffnen
    weiter -> weiter -> Fertigstellen

    Meldung "Der Importvorgang war erfolgreich" abwarten -> "ok"

    Das "Mobile Pool" Wurzelzertifikat erscheint jetzt in der Gruppe "Vertrauenswürdige Stammzertifikate".
    (Über die Zertifikatseigenschaften kann hier der Fingerprint des Zertifikats überprüft werden)

    Die Management Konsole kann jetzt geschlossen werden


    2. VPN einrichten

    Systemsteurung -> Netzwerk und Internet -> Internetoptionen

    Registerkarte: Verbindungen
    -> VPN hinzufügen



    Optional kann eine Abfrage über Verbindungseinrichtung erscheinen, dann folgendes auswählen:
    [ -> Internet Verbindung wird später eingerichtet ]

    Geben Sie die Internetadresse zum Herstellen einer Verbinung ein.
    Internetadresse: vpn-mopo.vpn.uni-freiburg.de
    Zielname: Mobile Pools EAP
    ....
    [x] Jetzt nicht verbinden, nur für spätere Verwendung einrichten
    ....

    -> Weiter
    hier kann der "<rz-kennung>@uni-freiburg.de" und das "RAS-Kennwort" eigegeben werden
    ist aber auch beim verbinden noch möglich.

    --> Erstellen
    ---> Schließen

    In der Registerkarte Verbindungen:
    [x] Keine Verbindung wählen

    Erstellte VPN Verbindung auswählen
    -> Einstellungen
    --> Eigenschaften




    Registerkarte Sicherheit:
    -->VPN-Typ: IKEv2
    -->Microsoft: Geschütztes EAP(PEAP)

    ---> Eigenschaften:
    [x] Verbindung mit diesem Server herstellen:
          "chap.vpm.uni-freiburg.de"

    Vertrauenswürdige Stammzertifizierungsstellen:   
    ..
    [x] Deutsche Telekom Root CA 2
    ..

    Hinweis: Falls das Stammzertifikat "Deutsche Telekom Root CA 2" hier nicht zur Auswahl steht, dann ohne Auswahl fortfahren. Beim ersten Aufbau der VPN-Verbindung kommt es dann einmalig zu einem Dialog, bei dem die Vertrauenswürdigkeit des Authentifizierungsservers mit der Auswahl "Verbinden" bestätigt werden muss!
    (siehe: Abbildung: chap.vm.uni-freiburg.de)    

    ----> 4 mal "OK"


     

    VPN-Verbindung herstellen

    - Netzwerkverbindung herstellen
    - Klick auf Netzwerk Icon unten rechts:
    Unter Wähl- und VPN Verbindungen:
    -> Mobile Pools EAP "Verbinden" bzw "Trennen"

    Benutzername und RAS-Passwort wird abgefragt



    Abbildung chap.vm.uni-freiburg.de:
    Falls beim Konfigurieren der Verbindungsbeschreibung das Stammzertifikat der "Deutsche Telekom Root CA 2" nicht zur Auswahl stand, muss einmalig die Vertrauenswürdigkeit des Authentisierungsservers beim ersten Verbindungsaufbau mit der Auswahl "Verbinden" bestätigt werden.