In diesem Blog-Artikel geht es darum, wie Sie mit dem WatchGuard IPSec Mobile VPN Client (NCP) eine sichere, leistungsstarke und flexible IKEv2-VPN-Verbindung f\u00fcr mobile Arbeitspl\u00e4tze einrichten k\u00f6nnen \u2013 inklusive Start-Before-Logon und Netzwerk-Isolation.<\/p>\n
<\/p>\n
Vorteile des WatchGuard IPSec Client<\/h2>\n\n- Integrierter Failover:<\/strong> Mehrere Ziel-IPs\/FQDNs konfigurierbar (z.B. Failover \u00fcber zweiten ISP)<\/li>\n
- Zuverl\u00e4ssige Verbindung:<\/strong> Unempfindlich gegen\u00fcber Carrier-grade NAT, kleine MTU-Sizes, \u2026 sehr gutes Fehlerlog<\/li>\n
- Integrierte Endpoint-Firewall:<\/strong> Beispielsweise f\u00fcr Home-Office-Notebooks, welche in unbekannten Netzwerken isoliert werden sollen\u00a0 -> VPN wird erzwungen und benachbarte IPs blockiert<\/li>\n
- Start-Before-Logon:<\/strong> Der VPN-Tunnel kann vor dem Windows-Logon aufgebaut werden und bietet somit keine Einschr\u00e4nkungen f\u00fcr Skripte, GPO, Netzlaufwerke, \u2026<\/li>\n
- VPN-Bypass:<\/strong> Applikationen k\u00f6nnen gezielt am VPN vorbeigeleitet werden (z.B. bei zeitkritischem Traffic wie VoIP, Video-Konferenzen, \u2026)<\/li>\n<\/ul>\n
Praxis-Beispiel: IKEv2-VPN inkl. VPN-Enforcement und Start-Before-Logon<\/h2>\n1. Test-Umgebung<\/h3>\n\n- WatchGuard Firebox T45-CW (Firmware 12.11.1 U1 -> min. 12.11.1 ben\u00f6tigt)<\/li>\n
- IKEv2 wurde auf der Firebox bereits konfiguriert (Bsp.: HOWTO: Mobile IKEv2 VPN \u2013 Client-Anbindung mit Windows 10 Boardmitteln<\/a>)<\/li>\n
- WatchGuard IPSec Mobile VPN Client for Windows (Version 15.19)<\/li>\n
- Windows 11 Professional 24H2<\/li>\n<\/ul>\n
2. Ziel<\/h3>\n
IKEv2-Anbindung inkl. VPN-Enforcement f\u00fcr unsichere Netzwerke. Der NCP-Client soll in \u00f6ffentlichen Netzen das Notebook komplett abschotten. Eine Internetkommunikation darf erst nach VPN-Einwahl m\u00f6glich sein. Zus\u00e4tzlich wird durch Start-Before-Logon sichergestellt, dass der sichere Tunnel bereits vor Windowsanmeldung ge\u00f6ffnet wird (hilfreich bei Logon-Skripte, GPO,\u2026).<\/p>\n
3. Umsetzung<\/h3>\n\n- Laden Sie den aktuellen VPN-Client von der WatchGuard Website herunter: https:\/\/software.watchguard.com<\/a> -> Firebox ausw\u00e4hlen (Bsp. T45-CW) -> Client herunterladen:
\n![\"Download](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/04\/howto-watchgaurd-ipsec-mobile-vpn-client-by-ncp-ikev2-support1.png\")
<\/li>\n- Installieren Sie den NCP-Client als Trial oder ggf. mit Ihrer vorhandenen Lizenz<\/li>\n
- Verbinden Sie sich \u00fcber den Firebox System Manager mit Ihrer Firewall, \u00f6ffnen Sie den Policy Manager und laden Sie das IKEv2-Profil herunter:
\n
Praxis-Beispiel: IKEv2-VPN inkl. VPN-Enforcement und Start-Before-Logon<\/h2>\n1. Test-Umgebung<\/h3>\n\n- WatchGuard Firebox T45-CW (Firmware 12.11.1 U1 -> min. 12.11.1 ben\u00f6tigt)<\/li>\n
- IKEv2 wurde auf der Firebox bereits konfiguriert (Bsp.: HOWTO: Mobile IKEv2 VPN \u2013 Client-Anbindung mit Windows 10 Boardmitteln<\/a>)<\/li>\n
- WatchGuard IPSec Mobile VPN Client for Windows (Version 15.19)<\/li>\n
- Windows 11 Professional 24H2<\/li>\n<\/ul>\n
2. Ziel<\/h3>\n
IKEv2-Anbindung inkl. VPN-Enforcement f\u00fcr unsichere Netzwerke. Der NCP-Client soll in \u00f6ffentlichen Netzen das Notebook komplett abschotten. Eine Internetkommunikation darf erst nach VPN-Einwahl m\u00f6glich sein. Zus\u00e4tzlich wird durch Start-Before-Logon sichergestellt, dass der sichere Tunnel bereits vor Windowsanmeldung ge\u00f6ffnet wird (hilfreich bei Logon-Skripte, GPO,\u2026).<\/p>\n
3. Umsetzung<\/h3>\n\n- Laden Sie den aktuellen VPN-Client von der WatchGuard Website herunter: https:\/\/software.watchguard.com<\/a> -> Firebox ausw\u00e4hlen (Bsp. T45-CW) -> Client herunterladen:
\n<\/li>\n- Installieren Sie den NCP-Client als Trial oder ggf. mit Ihrer vorhandenen Lizenz<\/li>\n
- Verbinden Sie sich \u00fcber den Firebox System Manager mit Ihrer Firewall, \u00f6ffnen Sie den Policy Manager und laden Sie das IKEv2-Profil herunter:
\n
- \n
- WatchGuard Firebox T45-CW (Firmware 12.11.1 U1 -> min. 12.11.1 ben\u00f6tigt)<\/li>\n
- IKEv2 wurde auf der Firebox bereits konfiguriert (Bsp.: HOWTO: Mobile IKEv2 VPN \u2013 Client-Anbindung mit Windows 10 Boardmitteln<\/a>)<\/li>\n
- WatchGuard IPSec Mobile VPN Client for Windows (Version 15.19)<\/li>\n
- Windows 11 Professional 24H2<\/li>\n<\/ul>\n
2. Ziel<\/h3>\n
IKEv2-Anbindung inkl. VPN-Enforcement f\u00fcr unsichere Netzwerke. Der NCP-Client soll in \u00f6ffentlichen Netzen das Notebook komplett abschotten. Eine Internetkommunikation darf erst nach VPN-Einwahl m\u00f6glich sein. Zus\u00e4tzlich wird durch Start-Before-Logon sichergestellt, dass der sichere Tunnel bereits vor Windowsanmeldung ge\u00f6ffnet wird (hilfreich bei Logon-Skripte, GPO,\u2026).<\/p>\n
3. Umsetzung<\/h3>\n
- \n
- Laden Sie den aktuellen VPN-Client von der WatchGuard Website herunter: https:\/\/software.watchguard.com<\/a> -> Firebox ausw\u00e4hlen (Bsp. T45-CW) -> Client herunterladen:
\n<\/li>\n- Installieren Sie den NCP-Client als Trial oder ggf. mit Ihrer vorhandenen Lizenz<\/li>\n
- Verbinden Sie sich \u00fcber den Firebox System Manager mit Ihrer Firewall, \u00f6ffnen Sie den Policy Manager und laden Sie das IKEv2-Profil herunter:
\n
![\"Mobile](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/04\/howto-watchgaurd-ipsec-mobile-vpn-client-by-ncp-ikev2-support2.png\")
![\"Mobile](\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2025\/04\/howto-watchgaurd-ipsec-mobile-vpn-client-by-ncp-ikev2-support3.png\")