Informationen zur VPN-Konfiguration in der USC
Neue Funktion zur Version: 2.0
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
- Voraussetzung
notempty
VPN-Konfigurationen erfordern eine UTM v14.0 oder höher.
Diese Version ist derzeit nur als Reseller Preview verfügbar
Diese Version ist derzeit nur als Reseller Preview verfügbar
Einleitung
- Die VPN-Konfiguration ermöglicht die einfache Vernetzung von UTMs über eine sternförmige Netzwerktopologie
- Im Zentrum steht eine Core-UTM, die als zentraler Knotenpunkt fungiert.
Von hier aus können mehrere Standorte über Satelliten-UTMs sicher miteinander verbunden werden. - Zusätzlich können Gruppen von mobilen Endgeräten als Roadwarrior angebunden werden.
Erste Konfigurationsschritte:
- Auswahl der Unternehmenszentrale als Core-UTM.
Sie bildet das Zentrum der Sterntopologie. - Anbindung weiterer UTMs anderer Standorte als Satelliten
- Konfiguration der Roadwarrior für mobile Endgeräte
Konfiguration der Core-UTM
Core-UTM hinzufügen
| Core-UTM jetzt hinzufügen Öffnet den Dialog zum Hinzufügen einer Core-UTM. |  | ||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| UTM | TTT-Point AG IV | Liste an verfügbaren UTMs, die als Core-UTM ausgewählt werden können. Es stehen ausschließlich die UTMs zur Auswahl, die über eine öffentliche IP-Adresse verfügen, mit dem Portal verbunden und online sind. UTMs, die mit dem Portal verbunden sind, aber offline sind, oder deren Version nicht kompatibel sind, werden im Listenabschnitt nicht verfügbar aufgelistet. Die nächsten Schritte werden erst nach der Auswahl einer UTM eingeblendet. | |
| Alias | LG1 | Pflichtfeld. Es muss ein Alias für die Core-UTM vergeben werden, um generierte Objekte dieser UTM zuordnen zu können. | |
| Schnittstelle | eth0 (203.113.0.113) | Die Schnittstelle der Core-UTM, die für den Verbindungsaufbau verwendet werden soll. Per Default wird die erste Schnittstelle, die mit dem Internet verbunden ist, verwendet. | |
| Hostname / Öffentliche IP-Adresse | 203.113.0.113 | Der Hostname, oder die öffentliche IP-Adresse, die für den Verbindungsaufbau verwendet wird. Per Default wird die öffentliche IP-Adresse der Internetschnittstelle der UTM verwendet. | |
| Transfernetz | 192.168.20.0/24 | Private IPv4- oder IPv6-Adresse, die als Transfernetz verwendet werden soll. | |
| Fügt die UTM als Core-UTM hinzu. Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche UTM hinzufügen aktiv. | |||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration nutzbar gemacht werden. | |||
Core-UTM bearbeiten | |||
| Eine aktive, verbundene Core-UTM lässt sich über die Schraubenschlüssel-Schaltfläche bearbeiten. | |||
| Beschriftung | Wert | Beschreibung |  |
| UTM | TTT-Point AG IV | Die UTM, die als Core-UTM dient, kann nachträglich nicht geändert werden. | |
| Alias | LG1 | Pflichtfeld. Es muss ein Alias für die Core-UTM vergeben werden, um generierte Objekte dieser UTM zuordnen zu können. | |
| Port | 51820 | Anzeige des Ports, der vom VPN-Dienst verwendet wird. Kann nicht geändert werden. | |
| Schnittstelle | eth0 (203.113.0.113) | Die Schnittstelle, die für den Verbindungsaufbau verwendet wird. | |
| Hostname / Öffentliche IP-Adresse | 203.113.0.113 | Der Hostname bzw. die öffentliche IP-Adresse, die für den Verbindungsaufbau verwendet wird. | |
| Transfernetz | 192.168.20.0/24 | IPv4- oder IPv6-Adresse, die als Transfernetz verwendet werden soll. | |
| Primärer DNS-Server (Optional) | DNS-Server hinzufügen | Es können hier DNS-Server im Netzwerk der Core-UTM ausgewählt werden, damit die Namensauflösung für die Roadwarrior-Clients funktioniert. Es werden in den Roadwarrior-Pools automatisch Regeln angelegt. |
 |
| Netzwerkobjekt | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines Netzwerkobjektes, das einem DNS-Server zugeordnet ist. Falls keines vorhanden ist, kann über die Hinzufügen-Schaltfläche ein neues angelegt werden. | |
| Dienst | Bitte wählen Sie ein Dienst aus | Auswahl des Dienstes bzw. der Dienstgruppe, die DNS ermöglicht macht. Sollte ein anderer Dienst benötigt werden, kann über die Hinzufügen-Schaltfläche ein neuer angelegt werden. | |
| Mit der Schaltfläche Add DNS wird der DNS-Server hinzugefügt. | |||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration nutzbar gemacht werden. | |||
Konfiguration der Satellite-UTMs
Satellite-UTM hinzufügen
| Um eine UTM als Satellite-UTM hinzuzufügen, wird bei einer aktiven, verbundenen Core-UTM auf die Schaltfläche Satellit / Roadwarrior geklickt. Es öffnet sich ein Dialogfenster, in dem die neue Satellite-UTM konfiguriert wird. | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Typ | Satellit | Als Typ wird Satellit ausgewählt | |||||||||||||||
| UTM | TTT-Point AG II | Auswahl der UTM, die sich über VPN mit der Core-UTM verbinden soll. Die Konfigurationen werden den UTMs zugewiesen, sobald dies veröffentlicht wird. Es stehen ausschließlich die UTMs zur Auswahl, die mit dem Portal verbunden und online sind. UTMs, die mit dem Portal verbunden sind, aber offline sind, oder deren Version nicht kompatibel sind, werden im Listenabschnitt nicht verfügbar aufgelistet. | |||||||||||||||
| Alias | LG2 | Alias für die Satellite-UTM, um generierte Objekte dieser UTM leichter zuordnen zu können.Pflichtfeld | |||||||||||||||
| Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche Hinzufügen aktiv und diese UTM wird dann darüber hinzugefügt. | |||||||||||||||||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||||||||||||||||
Satellite-UTM bearbeiten | |||||||||||||||||
| Eine aktive, verbundene Satellite-UTM lässt sich über die Schaltfläche bearbeiten. | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
| Typ | Satellit | Der Typ lässt sich bei einer Satellite-UTM nicht ändern. | |||||||||||||||
| UTM | TTT-Point AG II | Die UTM, die als Satellite-UTM verwendet wird, lässt sich nicht ändern. | |||||||||||||||
| Alias | LG2 | Einen Alias für die Satellite-UTM vergeben, um generierte Objekte auf dieser UTM leichter zuordnen zu können.Pflichtfeld | |||||||||||||||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||||||||||||||||
Satellite-UTM Regel hinzufügen | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
| Richtung | Satellite-UTM Core-UTM | Zeigt die Richtung der Paketfilterregel an, also die Quelle zum Ziel. Mit der Wechsel-Schaltfläche wird die Richtung geändert. | |||||||||||||||
| Quelle | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. Falls keines vorhanden ist, kann über die Hinzufügen-Schaltfläche ein neues angelegt werden.
| |||||||||||||||
| Ziel | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. Falls keines vorhanden ist, kann über die Hinzufügen-Schaltfläche ein neues angelegt werden.
| |||||||||||||||
| Dienst | Wählen Sie ein Dienst aus | Auswahl eines bestehenden Dienstes. Es werden bestehende Dienstgruppen und Dienste aufgelistet. Falls keiner vorhanden ist, kann über die Hinzufügen-Schaltfläche ein neuer angelegt werden.
| |||||||||||||||
Konfiguration der Roadwarrior
Roadwarrior hinzufügen
| Um einen Roadwarrior hinzuzufügen, wird bei einer aktiven, verbundenen Core-UTM auf die Schaltfläche Satellit / Roadwarrior geklickt. Es öffnet sich ein Dialogfenster, in dem der neue Roadwarrior konfiguriert wird. | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Typ | Roadwarrior | Als Typ wird Roadwarrior ausgewählt | |||||||||||||||
| Name | RW-Smartphones | Der Name, der für diesen Roadwarrior verwendet werden soll | |||||||||||||||
| Transfernetz | 10.0.2.0/24 | Private IPv4- oder IPv6-Adresse eingeben, die als Transfernetz verwendet werden soll. | |||||||||||||||
| Profil | Android RW iOS RW | Auswahl eines Profils aus dem Abschnitt bzw. . Geräte aus diesen Profilen können sich nach Veröffentlichung der Konfiguration mit diesem Netzwerk verbinden. Es können mehrere Android- und/oder iOS-Profile ausgewählt werden. | |||||||||||||||
| Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche Hinzufügen aktiv und dieser Roadwarrior wird dann darüber hinzugefügt. | |||||||||||||||||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||||||||||||||||
Roadwarrior bearbeiten | |||||||||||||||||
| Ein Roadwarrior lässt sich über die Schaltfläche bearbeiten. | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
| Typ | Roadwarrior | Der Typ lässt sich bei einem Roadwarrior nicht ändern. | |||||||||||||||
| Name | RW-Smartphones | Der Name, der für diesen Roadwarrior verwendet wird. | |||||||||||||||
| Transfernetz | 10.0.2.0/24 | IPv4- oder IPv6-Adresse, die als Transfernetz verwendet werden soll. | |||||||||||||||
| Profil | Android RW iOS RW | Geräte aus diesen Profilen können sich nach der Veröffentlichung der Konfiguration mit diesem Netzwerk verbinden. | |||||||||||||||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||||||||||||||||
Roadwarrior Regel hinzufügen | |||||||||||||||||
| Beschriftung | Wert | Beschreibung |  | ||||||||||||||
| Richtung | Roadwarrior Core-UTM | Zeigt die Richtung der Paketfilterregel an (Quelle → Ziel) | |||||||||||||||
| Quelle | Roadwarrior | 10.0.2.0/24 | Die Quelle der Paketfilterregel ist immer der Adresspool des Transfernetzes, in dem sich die Roadwarrior befinden. (Kann nicht geändert werden.) | |||||||||||||||
| Ziel | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. Falls keines vorhanden ist, kann über die Schaltfläche ein neues angelegt werden.
| |||||||||||||||
| Dienst | Wählen Sie ein Dienst aus | Auswahl eines bestehenden Dienstes. Es werden bestehende Dienstgruppen und Dienste aufgelistet. Falls keiner vorhanden ist, kann über die Schaltfläche ein neuer angelegt werden. Erst nach Auswahl eines Ziels kann ein Dienst ausgewählt werden.
| |||||||||||||||
Übersicht
Allgemeine Optionen
| Schaltfläche | Beschreibung |  | |
|---|---|---|---|
| Core-UTM | Z.Zt. ist nur 1 Core-UTM je Tenant möglich. Weitere Informationen in Abschnitt Core-UTM hinzufügen. | ||
| Änderungen verwerfen | Änderungen, die noch nicht veröffentlicht wurden sind, können wieder rückgängig gemacht werden | ||
| Veröffentlichen | Getätigte Änderungen und neue Konfigurationen werden veröffentlicht und somit aktiviert und nutzbar gemacht | ||
Konfigurationsoptionen
Die vorhandenen Konfigurationen werden dargestellt: Die Core-UTMs und ihre dazugehörigen Satellit-UTMs und Roadwarrior.
Diese werden mit ihren jeweiligen dazugehörigen Informationen dargestellt.
Je nach Objekt stehen unterschiedliche Aktionen zur Verfügung.
| Aktionen | Beschreibung |  Diese Übersicht ist erst zu sehen, wenn eine Core-UTM hinzugefügt wurde. | |
|---|---|---|---|
| Bearbeiten | Öffnet den Dialog, um das Objekt zu bearbeiten | ||
| Löschen | Löscht das jeweilige Objekt sowie alle untergeordneten Objekte Beim Löschen der Core-UTM werden auch alle Satellite-UTMs sowie Roadwarrior gelöscht | ||
| Menü öffnen Core oder Satellite |
UTM-Details | Öffnet die Detailanzeige zu dieser UTM im Menü | |
| Aktualisieren | Aktualisiert die Ansicht der hinterlegten Informationen | ||
| Websession | Öffnet den Dialog, um die administrative Weboberfläche der UTM zu starten. Weitere Informationen sind im folgendem Wiki-Artikel zu finden. | ||
| Satellit / Roadwarrior Core-UTM |
Fügt eine neue Satellite-UTM, oder einen neuen Roadwarrior hinzu. Weitere Informationen siehe Abschnitte Satellite-UTM hinzufügen und Roadwarrior hinzufügen. | ||
| Regel hinzufügen Satellite oder Roadwarrior |
Fügt eine neue Paketfilterregel hinzu. Weitere Informationen siehe Satellite-UTM Regel hinzufügen. | ||
| Fügt eine neue Paketfilterregel hinzu. Weitere Informationen siehe Roadwarrior Regel hinzufügen. | |||
Statusanzeigen | |||
| Je nach Objekt werden verschiedene Statusanzeigen dargestellt. Wird über die Statusanzeige gehovert, werden weitere Informationen angezeigt. | |||
| Statusanzeige | Beschreibung | ||
| Nicht veröffentlicht | Zeigt an, dass das Objekt neu hinzugefügt wurde, dies aber noch nicht veröffentlicht wurde | ||
| Nicht veröffentlicht | Zeigt an, dass es Änderungen bei dem Objekt gegeben hat, welche noch nicht veröffentlicht wurden | ||
| Nicht veröffentlicht | Zeigt an, dass das Objekt gelöscht wurde, dies aber noch nicht veröffentlicht wurde | ||
| Veröffentliche... | Zeigt an, dass die Konfiguration dabei ist veröffentlicht zu werden. Dieser Vorgang kann etwas dauern. | ||
| Zeigt an, dass die Core-UTM verbunden ist | |||
| Offline | Zeigt an, dass die Core-UTM nicht verbunden ist | ||
| Zeigt an, dass die Satellite-UTM verbunden ist | |||
| Offline | Zeigt an, dass die Satellite-UTM nicht verbunden ist | ||
| Dieser Adresspool ist verbunden und es existieren keine zu veröffentlichenden Änderungen | |||
| ✕ | Dieser Adresspool ist nicht verbunden | ||
| Zeigt an, zu welchenmProfiltyp, Android oder iOS, dieser Adresspool gehört. Wird über das Statuslabel gehovert, wird der Name des Profil angezeigt. Außerdem wird dem entsprechenden Profil VPNs als Teil hinzugefügt und in den Profileinstellungen unter Sicherheit lässt sich VPN on Demand aktivieren. Nur für interne Prüfzwecke | |||
Dartstellung auf der UTM
Regeln Allgemein
Allgemein werden automatisch mehrere Regeln auf betreffenden UTMs generiert. In der Spalte Modelle, der Regeln Übersicht auf der UTM, werden diese Regeln gekennzeichnet, damit nachvollziehbar ist woher sie kommen. Außerdem können diese Regeln nur mithilfe des Portals und nicht auf der UTM selbst bearbeitet, gelöscht oder kopiert werden.
Außerdem wird nach dem Prinzip gearbeitet, dass die eingehenden Daten überprüft werden. Somit werden ausgehend Any Regeln verwendet und eingehend werden anschließend unerwünschte Daten fallen gelassen.
Des Weiteren ist zu beachten, dass Dienste grundsätzlich neu angelegt werden, um mögliche Interferenzen mit bestehenden Diensten, die dann womöglich geändert werden, zu vermeiden.
Darstellung der Satellit Regeln
UTMbenutzer@firewall.name.fqdnFirewall  Generierte Regeln der Core-UTM für eine Beispielregel von einer Satellit-UTM zu der Core-UTM
|
UTMbenutzer@firewall.name.fqdnFirewall  Generierte Regeln der Satellit-UTM für eine Beispielregel von einer Satellit-UTM zu der Core-UTM
|
| Beim erzeugen einer Regel zwischen einer Satellit-UTM und der Core-UTM werden insgesamt drei Paketfilterregeln generiert. Zwei auf der Ziel UTM und eine auf der Quell UTM.
Auf der Ziel UTM (hier Core-UTM) umfasst dies eine eingehende Regel mit dem ausgewählten Dienst sowie einer Any Regel für ausgehende Daten zu der Quell UTM (hier Satellit-UTM). |
Darstellung der Roadwarrior Regeln |
UTMbenutzer@firewall.name.fqdnFirewall  Generierte Regeln auf der Core-UTM für eine Roadwarrior Regel
|
| Beim erzeugen einer Regel zwischen einem Roadwarrior Netz und der Core-UTM werden zwei Paketfilterregeln auf der Core-UTM generiert.
Diese umfassen eine eingehende Regel mit dem entsprechenden Dienst sowie eine ausgehende Regel, also einer Any Regel. |
Darstellung von Netzwerkobjekten |
UTMbenutzer@firewall.name.fqdnFirewall  Generierte Netzwerkobjekte auf der Core-UTM
|
| Es gibt zwei verschiedene Arten von Netzwerkobjekten, die durch die VPN-Konfiguration erstellt werden. Einerseits gibt es die, die sich auf ein anderes Objekt in der Konfiguration beziehen und komplett automatisch bei einer Regel Erstellung generiert werden (hier bspw. LG2-any-network-v4). Andererseits gibt es die, die auf der UTM selbst von dem Benutzer mithilfe der Schaltfläche erstellt werden (hier bspw. vpn-network). |