Informationen zur VPN-Konfiguration in der USC
Letzte Anpassung zur Version: 2.3.13 (04.2025)
Neu:
notemptyDieser Artikel bezieht sich auf eine Resellerpreview
-
Voraussetzung
notempty
VPN-Konfigurationen in der USC erfordern eine UTM v14.0 oder höher.
Einleitung
- Die VPN-Konfiguration ermöglicht die einfache Vernetzung von UTMs über eine sternförmige Netzwerktopologie
- Im Zentrum steht eine Core-UTM, die als zentraler Knotenpunkt fungiert.
Von hier aus können mehrere Standorte über Satelliten-UTMs sicher miteinander verbunden werden. - Zusätzlich können Gruppen von mobilen Endgeräten als Roadwarrior angebunden werden.
Erste Konfigurationsschritte:
- Auswahl der Unternehmenszentrale als Core-UTM.
Sie bildet das Zentrum der Sterntopologie. - Anbindung weiterer UTMs anderer Standorte als Satelliten
- Konfiguration der Roadwarrior für mobile Endgeräte
Konfiguration der Core-UTM
Core-UTM hinzufügen
| Core-UTM jetzt hinzufügen Öffnet den Dialog zum Hinzufügen einer Core-UTM. |  | ||
| notempty Neu ab: 2.2 Es ist möglich mehrere Core-UTMs zu haben. Jede Core-UTM wird in eine Topologie Topology 1 zugeordnet .
Soll eine weitere Core-UTM und damit eine weitere Topologie hinzugefügt werden geschieht dies mit der Schaltfläche Topologie hinzufügen | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Name | Name | Name der Topologie. Wird das Feld leer gelassen, erhält die Topologie die Bezeichnung Topology X mit X als entsprechende Nummerierung. | |
| UTM | TTT-Point AG V | Liste an verfügbaren UTMs, die als Core-UTM ausgewählt werden können. Es stehen ausschließlich die UTMs zur Auswahl, die über eine öffentliche IP-Adresse verfügen, mit dem Portal verbunden und online sind. UTMs, die mit dem Portal verbunden sind, aber offline sind, oder deren Version nicht kompatibel sind, werden im Listenabschnitt nicht verfügbar aufgelistet. Die nächsten Schritte werden erst nach der Auswahl einer UTM eingeblendet. | |
| Alias Pflichtfeld |
LG1 | Es muss ein Alias für die Core-UTM vergeben werden, um generierte Objekte dieser UTM zuordnen zu können. | |
| Schnittstelle | eth0 (203.113.0.113) | Die Schnittstelle der Core-UTM, die für den Verbindungsaufbau verwendet werden soll. Per Default wird die erste Schnittstelle, die mit dem Internet verbunden ist, verwendet. | |
| Hostname / Öffentliche IP-Adresse | 203.113.0.113 | Der Hostname, oder die öffentliche IP-Adresse, die für den Verbindungsaufbau verwendet wird. Per Default wird die öffentliche IP-Adresse der Internetschnittstelle der UTM verwendet. | |
| Transfernetz | 192.168.20.0/24 | Private IPv4- oder IPv6-Adresse, die als Transfernetz verwendet werden soll. | |
Primärer DNS-Server (Optional) |
DNS-Server hinzufügen | Es können hier DNS-Server im Netzwerk der Core-UTM ausgewählt werden, damit die Namensauflösung für die Roadwarrior-Clients funktioniert. Es werden in den Roadwarrior-Pools automatisch Regeln angelegt. | |
| Core-UTM als DNS | notempty Neu ab: 2.2 Die Core-UTM wird als DNS-Server verwendet
| ||
| Netzwerkobjekt | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines Netzwerkobjektes, das einem DNS-Server zugeordnet ist. | |
| Dienst |  dns |
Auswahl des Dienstes bzw. der Dienstgruppe, die DNS ermöglicht macht. | |
| Mit der Schaltfläche DNS hinzufügen wird der DNS-Server hinzugefügt. | |||
| Fügt die UTM als Core-UTM hinzu. Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche UTM hinzufügen aktiv. | |||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration nutzbar gemacht werden. | |||
Konfiguration der Satellite-UTMs
Satellite-UTM hinzufügen
| Um eine UTM als Satellite-UTM hinzuzufügen, wird bei einer aktiven, verbundenen Core-UTM auf die Schaltfläche Satellit / Roadwarrior geklickt. Es öffnet sich ein Dialogfenster, in dem die neue Satellite-UTM konfiguriert wird. | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Typ | Satellit | Als Typ wird Satellit ausgewählt | |
| UTM | TTT-Point AG II | Auswahl der UTM, die sich über VPN mit der Core-UTM verbinden soll. Die Konfigurationen werden den UTMs zugewiesen, sobald dies veröffentlicht wird. | |
| Alias Pflichtfeld |
LG2 | Alias für die Satellite-UTM, um generierte Objekte dieser UTM leichter zuordnen zu können. | |
| Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche Hinzufügen aktiv und diese UTM wird dann darüber hinzugefügt. | |||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||
Satellite-UTM Regel hinzufügen
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Richtung | Satellite-UTM Core-UTM | Zeigt die Richtung der Paketfilterregel an, also die Quelle zum Ziel. Mit der Wechsel-Schaltfläche wird die Richtung geändert. | |
| Quelle | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. | |
| Ziel | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. | |
| Dienst | Wählen Sie ein Dienst aus | Auswahl eines bestehenden Dienstes. Es werden bestehende Dienstgruppen und Dienste aufgelistet. | |
Konfiguration der Roadwarrior
Roadwarrior hinzufügen
| Um einen Roadwarrior hinzuzufügen, wird bei einer aktiven, verbundenen Core-UTM auf die Schaltfläche Satellit / Roadwarrior geklickt. Es öffnet sich ein Dialogfenster, in dem der neue Roadwarrior konfiguriert wird. | |||
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Typ | Roadwarrior | Als Typ wird Roadwarrior ausgewählt | |
| Name | RW_Allgemein | Der Name, der für diesen Roadwarrior verwendet werden soll | |
| Transfernetz | 10.0.2.0/24 | Private IPv4- oder IPv6-Adresse eingeben, die als Transfernetz verwendet werden soll. | |
| Profil | Android RW iOS RW Windows VPN RW | Auswahl der Profile. Möglich sind
Geräte aus diesen Profilen können sich nach Veröffentlichung der Konfiguration mit diesem Netzwerk verbinden. | |
| Erst wenn alle Einträge ausgefüllt sind, wird die Schaltfläche Hinzufügen aktiv und dieser Roadwarrior wird dann darüber hinzugefügt. | |||
| Anschließend muss mit der Schaltfläche Veröffentlichen diese Konfiguration übertragen werden. | |||
Roadwarrior Regel hinzufügen
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Richtung | Roadwarrior Core-UTM | Zeigt die Richtung der Paketfilterregel an (Quelle → Ziel) | |
| Quelle | Roadwarrior | 10.0.2.0/24 | Die Quelle der Paketfilterregel ist immer der Adresspool des Transfernetzes, in dem sich die Roadwarrior befinden. (Kann nicht geändert werden.) | |
| Ziel | Bitte wählen Sie ein Netzwerkobjekt aus | Auswahl eines bestehenden Netzwerkobjekts. Es werden bestehende Netzwerkgruppen und Netzwerkobjekte aufgelistet. | |
| Dienst | Wählen Sie ein Dienst aus | Auswahl eines bestehenden Dienstes. Es werden bestehende Dienstgruppen und Dienste aufgelistet. | |
Übersicht
Allgemeine Optionen
| Schaltfläche | Beschreibung |  | |
|---|---|---|---|
| notempty Neu ab: 2.2 Topology 1 |
Die Anzahl an Core-UTMs und deren Topologien. Mit Topologie hinzufügen kann eine weitere Core-UTM hinzugefügt werden. Weitere Informationen in Abschnitt Core-UTM hinzufügen. | ||
| Änderungen verwerfen | Änderungen, die noch nicht veröffentlicht wurden sind, können wieder rückgängig gemacht werden | ||
| Veröffentlichen | Getätigte Änderungen und neue Konfigurationen werden veröffentlicht und somit aktiviert und nutzbar gemacht | ||
Konfigurationsoptionen
Die vorhandenen Konfigurationen werden dargestellt: Die Core-UTMs und ihre dazugehörigen Satellit-UTMs und Roadwarrior.
Diese werden mit ihren jeweiligen dazugehörigen Informationen dargestellt.
Je nach Objekt stehen unterschiedliche Aktionen zur Verfügung.
| Aktionen | Beschreibung |  Diese Übersicht ist erst zu sehen, wenn eine Core-UTM hinzugefügt wurde. | |
|---|---|---|---|
| Bearbeiten | Öffnet den Dialog, um das Objekt zu bearbeiten | ||
| Löschen | Löscht das jeweilige Objekt sowie alle untergeordneten Objekte | ||
| Menü öffnen Core oder Satellite |
UTM-Details | Öffnet die Detailanzeige zu dieser UTM im Menü | |
| Aktualisieren | Aktualisiert die Ansicht der hinterlegten Informationen | ||
| Websession | Öffnet den Dialog, um die administrative Weboberfläche der UTM zu starten. Weitere Informationen sind im folgendem Wiki-Artikel zu finden. | ||
| Satellit / Roadwarrior Core-UTM |
Fügt eine neue Satellite-UTM, oder einen neuen Roadwarrior hinzu. Weitere Informationen siehe Abschnitte Satellite-UTM hinzufügen und Roadwarrior hinzufügen. | ||
| Regel Satellite oder Roadwarrior |
Fügt eine neue Paketfilterregel hinzu. Weitere Informationen siehe Satellite-UTM Regel hinzufügen. | ||
| Fügt eine neue Paketfilterregel hinzu. Weitere Informationen siehe Roadwarrior Regel hinzufügen. | |||
| notempty Neu ab: 2.2 Profile Roadwarrior |
Zeigt die Roadwarrior-Profile an, die an der Core-UTM angebunden sind. Per Klick auf das Profil lässt es sich bearbeiten. | ||
Statusanzeigen | |||
| Je nach Objekt werden verschiedene Statusanzeigen dargestellt. Wird über die Statusanzeige gehovert, werden weitere Informationen angezeigt. | |||
| Statusanzeige | Beschreibung | ||
| Nicht veröffentlicht | Zeigt an, dass das Objekt neu hinzugefügt wurde, dies aber noch nicht veröffentlicht wurde | ||
| Nicht veröffentlicht | Zeigt an, dass es Änderungen bei dem Objekt gegeben hat, welche noch nicht veröffentlicht wurden | ||
| Nicht veröffentlicht | Zeigt an, dass das Objekt gelöscht wurde, dies aber noch nicht veröffentlicht wurde | ||
| Veröffentliche... | Zeigt an, dass die Konfiguration dabei ist veröffentlicht zu werden. Dieser Vorgang kann etwas dauern. | ||
| Zeigt an, dass die Core-UTM verbunden ist | |||
| Offline | Zeigt an, dass die Core-UTM nicht verbunden ist | ||
| Zeigt an, dass die Satellite-UTM verbunden ist | |||
| Offline | Zeigt an, dass die Satellite-UTM nicht verbunden ist | ||
| Dieser Adresspool ist verbunden und es existieren keine zu veröffentlichenden Änderungen | |||
| ✕ | Dieser Adresspool ist nicht verbunden | ||
| Zeigt an, zu welchem Profiltyp (Android oder iOS) dieser Adresspool gehört. Wird über das Statuslabel gehovert, wird der Name des Profils angezeigt. | |||
Darstellung auf der UTM
Regeln Allgemein
Allgemein werden automatisch mehrere Regeln auf betreffenden UTMs generiert. In der Spalte Modelle, der Regeln Übersicht auf der UTM, werden diese Regeln gekennzeichnet, damit nachvollziehbar ist woher sie kommen. Außerdem können diese Regeln nur mithilfe des Portals und nicht auf der UTM selbst bearbeitet, gelöscht oder kopiert werden.
Der ausgehende Datenverkehr wird automatisch zugelassen. Eingehende Pakete auf der Core-UTM, die nicht dem konfiguriertem Dienst/Port entsprechen werden verworfen.
Des Weiteren ist zu beachten, dass Dienste grundsätzlich neu angelegt werden, um mögliche Interferenzen mit bestehenden Diensten, die dann womöglich geändert werden, zu vermeiden.
Darstellung der Satellit Regeln
| Pos. | # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Cloud | Aktiv | ||
| Generierte Regeln der Core-UTM für eine Beispielregel von einer Satellit-UTM zu der Core-UTM: | |||||||||||
 |
LG2-rules | -  |
2 | Ein | |||||||
|
 LG2-internal-networks |
 vpn-netzwerk |
default-internet |
- |
ACCEPT | Ein | |||||
|
vpn-netzwerk |
LG2-internal-networks |
 LG2-auto-service |
- |
ACCEPT | Ein | |||||
| Generierte Regeln der Satellit-UTM für eine Beispielregel von einer Satellit-UTM zu der Core-UTM: | |||||||||||
|
LG1-rules | - |
1 | Ein | |||||||
|
internal-networks |
LG1-auto-network |
LG1-auto-service |
- |
ACCEPT | Ein | |||||
| Beim erzeugen einer Regel zwischen einer Satellit-UTM und der Core-UTM werden insgesamt drei Paketfilterregeln generiert. Zwei auf der Ziel UTM und eine auf der Quell UTM.
Auf der Ziel UTM (hier Core-UTM) umfasst dies eine eingehende Regel mit dem ausgewählten Dienst sowie einer Any Regel für ausgehende Daten zu der Quell UTM (hier Satellit-UTM). | |||||||||||
Darstellung der Roadwarrior Regeln | |||||||||||
| Generierte Regeln auf der Core-UTM für eine Roadwarrior Regel: | |||||||||||
|
RW-Smartphones-rules-2 | - |
2 | Ein | |||||||
|
RW-Smartphones-address_pool |
rw-network |
default-internet |
- |
ACCEPT | Ein | |||||
|
rw-network |
RW-Smartphones-auto-network |
RW-Smartphones-auto-service |
- |
ACCEPT | Ein | |||||
| Beim erzeugen einer Regel zwischen einem Roadwarrior Netz und der Core-UTM werden zwei Paketfilterregeln auf der Core-UTM generiert.
Diese umfassen eine eingehende Regel mit dem entsprechenden Dienst sowie eine ausgehende Regel, also einer Any Regel. | |||||||||||
Darstellung von Netzwerkobjekten
| Es gibt zwei verschiedene Arten von Netzwerkobjekten, die durch die VPN-Konfiguration erstellt werden. Einerseits gibt es die, die sich auf ein anderes Objekt in der Konfiguration beziehen und komplett automatisch bei einer Regel Erstellung generiert werden (hier bspw. LG2-any-network-v4). Andererseits gibt es die, die auf der UTM selbst von dem Benutzer mithilfe der Schaltfläche erstellt werden (hier bspw. vpn-network). | UTMbenutzer@firewall.name.fqdnFirewall  Generierte Netzwerkobjekte auf der Core-UTM
|