Wechseln zu:Navigation, Suche
Wiki





































VPN Verbindungen ohne öffentliche IP Adresse: VPN-Konzentrator in der Cloud

Neuer Artikel: 05.2024

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN SSL-VPN

Vorbemerkung

Im folgenden wird die Problemstellung, dass kein Standort eine öffentliche IP-Adresse hat, aber dennoch S2S und S2E Verbindungen ermöglicht werden sollen, behandelt.
Die zwei Szenarien unterscheiden sich nur in der Konfiguration der zweiten Hardware UTM, somit muss in beiden Fällen zunächst die allgemeine Konfiguration durchgeführt werden und anschließend die spezifische Konfiguration für das Szenario S2S oder das Szenario S2E.

Cloud Konzentrator.png


Konfiguration Allgemein

Mithilfe einer weiteren UTM (im Beispiel eine virtuelle UTM in der terra Cloud) kann diese als VPN-Konzentrator die Pakete zwischen den Clients und Standorten vermittelt. Der VPN-Konzentrator verfügt dabei über eine öffentliche IP-Adresse.

Zur Umsetzung wird die Terra-Cloud-UTM als SSL-VPN Site-to-Site Server konfiguriert und die Hardware-UTM des Standort A als SSL-VPN Site-to-Site Clients.

Diese IP-Adressen werden im folgenden verwendet:

Terra-Cloud UTM öffentliche IP: 203.0.113.203
Standort A internes Netz: 192.168.174.0/24
Standort B internes Netz: 192.168.173.0/24

Terra-Cloud UTM als S2S Server

Installationsassistent

Schritt 1 Schritt 1 Terracloud UTM
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior Server
  • Site-to-Site Server
  • Site-to-Site Client

Für die Konfiguration des Site-to-Site Server wird dieser ausgewählt.

SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.2 Cloud Konzentrator Server Konfig Schritt 1.png Installationsschritt 1
Schritt 2
Schritt 2 Terracloud UTM
Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden. UTM v12.6.2 Cloud Konzentrator Server Konfig Schritt 2.png
Installationsschritt 2

Schritt 3
Schritt 3 Terracloud UTM

Lokale Einstellungen für den Site-to-Site Server

Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator Server Konfig Schritt 3.png
Installationsschritt 3
Name: S2S-server Eindeutiger Name
Protokoll: UDP Gewünschtes Protokoll wählen
Port: 1194Link= Der Port ist voreingestellt
Serverzertifikat: cs-ttt-point Auswahl des Zertifikates, mit dem der Server sich authentifiziert.
Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
  • Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen
  • Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen
    Bitte beachten: Serverzertifikat: Ein aktivieren
  • Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen

Beide Zertifikate müssen mit der selben CA erstellt werden!
Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt.
Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.

Servernetzwerke freigeben: » 192.168.173.0/24 Lokales Netzwerk von Standort B, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)

Schritt 4
Schritt 4 Terracloud UTM

Im Installationsschritt 4 wird das Transfernetz für den Site-to-Site Server eingetragen.

Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator Server Konfig Schritt 4.png
Installationsschritt 4
Transfer-Netzwerk: 192.168.190.0/24 Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
Server-Tunneladresse: 192.168.190.1/32 Die Server- und Client-Tunneladresse wird automatisch ermittelt.
IPv4 Client-Tunneladresse: 192.168.190.2/24

Schritt 5
Schritt 5 Terracloud UTM
Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator Server Konfig Schritt 5.png
Installationsschritt 5
Name: S2S-client Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
Client-Zertifikat: ssl-vpn-ClientA Zertifikat des Client-Netzwerks
Clientnetzwerke freigeben: »192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
notempty
Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.

UTM Standort A als S2S Client

Installationsassistent

Schritt 1 Schritt 1 Standort A
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
  • Roadwarrior Server
  • Site-to-Site Server
  • Site-to-Site Client

Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.

SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 1.pngInstallationsschritt 1


Schritt 2
Schritt 2 Standort A
Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden. UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 2.png
Installationsschritt 2


Schritt 3
Schritt 3 Standort A
Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 3.png
Installationsschritt 3
Name: S2S-client Eindeutiger Name
Protokoll: UDP Gewünschtes Protokoll wählen
  • Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
  • Client-Zertifikat: ssl-vpn-ClientA Auswahl des Zertifikates, mit dem der Client sich authentifiziert
    Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde.

    Aufruf mit

    • Abschnitt CA Schaltfläche CA importieren Import der CA vom
      S2S Server
    • Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem
      S2S Server
      erstellt wurde.


    Schritt 4
    Schritt 4 Standort A

    Dieser Installationsschritt entfällt beim Site-to-Site Client.


    Schritt 5
    Schritt 5 Standort A
    Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen.
    notempty
    Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.

    Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.
    UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 5.png
    Installationsschritt 5
    Netzwerkobjekte und Paketfilterregeln erstellen

    Netzwerkobjekte
    Netzwerkobjekte Standort A
    Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen erstellt werden.
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Client Netzwerkobjekt ClientB.pngNetzwerkobjekt für das Tunnelnetzwerk
    Name: sslvpn-S2S-ClientB-Network Eindeutiger Name
    Typ: VPN-Netzwerk Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
    Adresse: 192.168.173.0/24 Lokales Netzwerk von Standort B, das freigegeben werden soll.
    Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
    Zone: vpn-ssl-S2S-client Die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
    Gruppen:     Optional

    Paketfilterregeln
    Paketfilterregeln Standort A

    Eine neue Paketfilterregel kann unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden.

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Network.svg internal-network Vpn-network.svg sslvpn-S2S-ClientB-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientB-Network Network.svg internal-network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein


    Konfiguration Szenario S2S

    Terracloud UTM Konfiguration anpassen

    Zweiten Client hinzufügen
    Zweiten Client hinzufügen Terracloud UTM

    Der zweite Client muss separat erstellt werden unter VPN SSL-VPN  Schaltfläche SSL-VPN Client-Gegenstelle hinzufügen, bei der zuvor erstellten Verbindung.


    Beschriftung Wert Beschreibung SSL-VPN Client-Gegenstelle hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.2 Cloud Konzentrator Server ClientB hinzufuegen.png
    Terracloud UTM
    Name: S2S-B-client Eindeutiger Name
    Client-Zertifikat: ssl-vpn-ClientB Zertifikat des Client-Netzwerks
    IPv4 Tunnel Adresse: 192.168.190.3/24 Eine freie IPv4 Adresse angeben, die in dem Transfer-Netzwerk liegt.
    Servernetzwerke freigeben: »192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
    Clientnetzwerke freigeben: »192.168.173.0/24 Lokales Netzwerk von Standort B, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
    notempty
    Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.


    Netzwerkobjekte und Paketfilterregeln erstellen

    Netzwerkobjekte
    Netzwerkobjekte Terracloud UTM

    Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
    Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte  Schaltfläche + Objekt hinzufügen angelegt werden.
    Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.


    Beschriftung Wert Beschreibung Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Server Netzwerkobjekt ClientA.png
    Name: sslvpn-S2S-ClientA-Network Eindeutiger Name
    Typ: VPN-Netzwerk Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
    Adresse: 192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll
    Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
    Zone: vpn-ssl-S2S-server Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
    Gruppen:     Optional
    Name: sslvpn-S2S-ClientB-Network Eindeutiger Name Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Server Netzwerkobjekt ClientB.png
    Adresse: 192.168.173.0/24 Lokales Netzwerk von Standort B, das freigegeben werden soll.
    Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.

    Paketfilterregeln
    Paketfilterregeln Terracloud UTM

    Damit die Clients auf das jeweils andere Netz zugreifen können muss dies nun mithilfe von Paketfilterregeln erlaubt werden. Diese können wie folgt aussehen:


    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientB-Network Vpn-network.svg sslvpn-S2S-ClientA-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientA-Network Vpn-network.svg sslvpn-S2S-ClientB-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein

    UTM Standort B als S2S Client

    Installationsassistent

    Installationsassistent Standort B

    Schritt 1 Schritt 1
    Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
    • Roadwarrior Server
    • Site-to-Site Server
    • Site-to-Site Client

    Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.

    SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 1.pngInstallationsschritt 1


    Schritt 2
    Schritt 2 Standort B
    Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden. UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 2.png
    Installationsschritt 2


    Schritt 3
    Schritt 3 Standort B
    Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
    Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator ClientB Konfig Schritt 3.png
    Installationsschritt 3
    Name: S2S-client Eindeutiger Name
    Protokoll: UDP Gewünschtes Protokoll wählen
  • Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
  • Client-Zertifikat: ssl-vpn-ClientB Auswahl des Zertifikates, mit dem der Client sich authentifiziert
    Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde.

    Aufruf mit

    • Abschnitt CA Schaltfläche CA importieren Import der CA vom
      S2S Server
    • Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem
      S2S Server
      erstellt wurde.


    Schritt 4
    Schritt 4 Standort B

    Dieser Installationsschritt entfällt beim Site-to-Site Client.


    Schritt 5
    Schritt 5 Standort B
    Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen.
    notempty
    Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.

    Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.
    UTM v12.6.2 Cloud Konzentrator Client Konfig Schritt 5.png
    Installationsschritt 5
    Netzwerkobjekte und Paketfilterregeln erstellen

    Netzwerkobjekte
    Netzwerkobjekte Standort B
    Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen erstellt werden.
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Client Netzwerkobjekt ClientA.pngNetzwerkobjekt für das Tunnelnetzwerk
    Name: sslvpn-S2S-ClientA-Network Eindeutiger Name
    Typ: VPN-Netzwerk Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
    Adresse: 192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll.
    Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
    Zone: vpn-ssl-S2S-client Die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
    Gruppen:     Optional

    Paketfilterregeln
    Paketfilterregeln Standort B

    Eine neue Paketfilterregel kann unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden.

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Network.svg internal-network Vpn-network.svg sslvpn-S2S-ClientA-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientA-Network Network.svg internal-network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein


    Konfiguration Szenario S2E

    Terracloud UTM Konfiguration anpassen

    Netzwerkobjekte und Paketfilterregeln erstellen

    Netzwerkobjekte
    Netzwerkobjekte Terracloud UTM

    Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
    Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte  Schaltfläche + Objekt hinzufügen angelegt werden.
    Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.


    Beschriftung Wert Beschreibung Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Server Netzwerkobjekt ClientA.png
    Name: sslvpn-S2S-ClientA-Network Eindeutiger Name
    Typ: VPN-Netzwerk Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
    Adresse: 192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll
    Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
    Zone: vpn-ssl-S2S-server Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
    Gruppen:     Optional
    Name: Roadwarrior-Network Eindeutiger Name Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator Server Netzwerkobjekt Roadwarrior.png
    Adresse: 192.168.173.0/24 Lokales Netzwerk von Standort B, das freigegeben werden soll.
    Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.

    Paketfilterregeln
    Paketfilterregeln Terracloud UTM

    Damit die Clients auf das jeweils andere Netz zugreifen können muss dies nun mithilfe von Paketfilterregeln erlaubt werden. Diese können wie folgt aussehen:


    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Vpn-network.svg Roadwarrior-Network Vpn-network.svg sslvpn-S2S-ClientA-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientA-Network Vpn-network.svg Roadwarrior-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein


    UTM Standort B als Roadwarrior

    Installationsassistent

    Installationsassistent Roadwarrior

    Schritt 1 Schritt 1
    Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
    Es stehen folgende Verbindungen zur Verfügung.
    • Roadwarrior Server
    • Site to Site Server
    • Site to Site Client

    Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

    SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 1.pngEinrichtung Schritt 1
    Schritt 2
    Schritt 2 Roadwarrior
    Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 2.png
    Einrichtung Schritt 2
    Schritt 3
    Schritt 3 Roadwarrior
    Beschriftung Wert Beschreibung UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 3.png
    Einrichtung Schritt 3
    Name: Roadwarrior Eindeutiger Name
    Protokoll UDP Gewünschtes Protokoll wählen
    Port: 1194Link= Der Port ist voreingestellt
    Serverzertifikat: Roadwarrior Auswahl des Zertifikates, mit dem der Server sich authentifiziert.
    Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
    • Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen
    • Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen
      Bitte beachten: Serverzertifikat: Ein aktivieren
    • Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen

    Beide Zertifikate müssen mit der selben CA erstellt werden!
    Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt.
    Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.

    Servernetzwerke freigeben »192.168.173.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
    Schritt 4
    Schritt 4 Roadwarrior
    Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
    Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
    UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 4.png
    Einrichtung Schritt 4
    Schritt 5
    Schritt 5 Roadwarrior
    Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
    Danach kann der Einrichtungsassistent abgeschlossen werden.
    • None = Authentifizierung nur über die Zertifikate
    • Local = Lokale Benutzer und AD Gruppen
    • Radius = Radius Server
    UTM v12.6.2 Cloud Konzentrator RW Konfig Schritt 5.png
    Einrichtung Schritt 5
    Regelwerk

    Implizite Regeln
    Implizite Regeln Roadwarrior

    Unter Firewall Implizite Regeln  Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

    Im Beispiel Ein SSL-VPN UDP

    Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
    Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
    Ein User Interface Portal

    Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall UTM v12.6.2 Cloud Konzentrator RW Implizite Regeln.png
  • Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.

  • Netzwerkobjekte
    Netzwerkobjekte Roadwarrior

    Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

    Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
    Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator RW Netzwerkobjekt.pngNetzwerkobjekt für das Tunnelnetzwerk
    Name: SSL-VPN-RW-Network Eindeutiger Name
    Typ: VPN-Netzwerk Passenden Typ wählen
    Adresse: 192.168.192.0/24 Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
    Zone: vpn-ssl-Roadwarrior Die Zone auf dem Roadwarrior, über die das S2S Server-Netzwerk angesprochen wird.
    Gruppen:     Optional
    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6.2 Cloud Konzentrator RW Netzwerkobjekt ClientA.pngNetzwerkobjekt für das Tunnelnetzwerk
    Name: sslvpn-S2S-ClientA-Network Eindeutiger Name
    Typ: VPN-Netzwerk Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
    Adresse: 192.168.174.0/24 Lokales Netzwerk von Standort A, das freigegeben werden soll.
    Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
    Zone: vpn-ssl-Roadwarrior Die Zone auf dem Roadwarrior, über die das S2S Server-Netzwerk angesprochen wird.
    Gruppen:     Optional

    Paketfilterregeln
    Paketfilterregeln Roadwarrior

    Es wird eine Paketfilterregel benötigt, die den RW-Clients den Zugriff auf das internal-network erlaubt, sowie zwei Weitere, die den Zugriff vom Standort A aus erlauben:

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png Network.svg SSL-VPN-RW-Network Network.svg internal-network Tcp.svg ms-rdp
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Network.svg internal-network Vpn-network.svg sslvpn-S2S-ClientA-Network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    Dragndrop.png Vpn-network.svg sslvpn-S2S-ClientA-Network Network.svg internal-network Service-group.svg default-internet
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein