Wechseln zu:Navigation, Suche
Wiki

SSL-VPN Roadwarrior

Aus Securepoint Wiki




























































User Interface Portal

}}






































































    • Tab General → Button Add TAP }}











De.png
En.png
Fr.png





Konfiguration von SSL-VPN Roadwarrior-Verbindungen
Letzte Anpassung zur Version: 12.2.2
Neu:

Vorherige Versionen: 12.2 11.8.7 11.7.1 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 → VPN →SSL-VPN

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.

Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.


Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.

Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate


Vorbereitungen

  • Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt.
    Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.

    • Auflösung interner Hostnamen im SSL-VPN

    Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:

    DNS/WINS übermitteln

    Ermöglicht interne DNS-Adressen über einen im Tunnel erreichbaren DNS-Server aufzulösen.
    So werden interne Server nicht nur über IP-Adressen, sondern auch über DNS-Namen erreichbar.
    Die Einstellung wird im Menü → VPN →Globale VPN-Einstellungen konfiguriert und in den erweiterten Einstellungen einer SSL-VPN-Verbindung aktiviert (→ VPN →SSL-VPN Schaltfläche der gewählten Verbindung, Reiter Erweitert).

    UTM v12.2 VPN Globale VPN-Einstellungen.png
    IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen
    UTM 12.2.3 DNS-WINS aktiviert.png
    Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Reiter Erweitert aktiviert werden















    Search Domain

    Ergänzt interne Namen um eine Search Domain: tk-Server1tk-Server1.intern.ttt-point.de

    Diese Einstellung kann in den Einstellungen der VPN Verbindung im Reiter Allgemein vorgenommen werden.
    UTM v12.2 SSL-VPN Allgemein Search-Domain.png
    Search Domain vorgeben


    Block Outside DNS

    Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
    Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü  Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS  Block Outside DNS

    SSL-VPN Client Einstellungen OS.png


    Roadwarrior Konfiguration

    Einrichtungsassistent

    Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit → VPN →SSL-VPN Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.


    Schritt 1
    		 UTM v11.8.8 VPN SSL-VPN Roadwarrier Schritt1.png
    Einrichtungsschritt 1
    Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
    Es stehen folgende Verbindungen zur Verfügung.
    • Roadwarrior Server
    • Site to Site Server
    • Site to Site Client

    Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

    Schritt 2
    		 UTM v11.8.7 VPN SSLVPN S2Ss2.png
    Einrichtungsschritt 2
    Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.
    Schritt 3

    Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden.

    Beschriftung Wert Beschreibung
    Name: RW-Securepoint Eindeutige Bezeichnung, frei wählbar
    Protokoll: UDP gewünschtes Protokoll
    Port: 1194Link= Nicht belegter Port
    Serverzertifikat: Serverzertifikat Auswahl des Zertifikates, mit dem der Server sich Authentifiziert

    Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit

    • Erstellung einer CA im Reiter CA mit der Schaltfläche CA hinzufügen
    • Erstellung eines Serverzertifikates im Reiter Zertifikate mit der Schaltfläche Zertifikat hinzufügen
      Bitte beachten: Serverzertifikat: Ein aktivieren
    • Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
  • Für jeden Benutzer sollte ein eigenes User-Zertifikat erstellt werden.
  • Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden!
  • Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.

    • Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
    Servernetzwerke freigeben: »192.168.175.0/24 An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
    		UTM v11.8.8 VPN SSL-VPN Roadwarrier Schritt3.png
    Einrichtungsschritt 3
    Schritt 4
    		 UTM v11.8.8 VPN SSL-VPN Roadwarrier Schritt4.png
    Einrichtungsschritt 4
    Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.

    Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

    Schritt 5
    		 UTM v11.8.8 VPN SSL-VPN Roadwarrier Schritt5.png
    Einrichtungsschritt 5
    Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
    Danach kann der Einrichtungsassistent abgeschlossen werden.
    • None = Authentifizierung nur über die Zertifikate
    • Local = Lokale Benutzer und AD Gruppen
    • Radius = Radius Server
    Abschluss
    		 UTM v11.8.8 VPN SSL-VPN Roadwarrier Schritt 6.png
    Abschluss

    In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.

    Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten

  • Dabei werden alle SSL-VPN-Tunnel unterbrochen!
  • Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
  • Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Reiter Erweitert aktiviert werden


    • Regelwerk

    Implizite Regeln
    Implizite Regeln

    Unter → Firewall →Implizite Regeln Abschnitt VPN kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden.

    Im Beispiel Ein SSL VPN UDP

    Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei.
    Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
    Ein User Interface Portal

  • Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.


    • Netzwerkobjekte
    Netzwerkobjekt für das Tunnelnetzwerk

    Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

    Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.
    Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

    Beschriftung Wert Beschreibung
    Name: SSL-VPN-RW-Network Eindeutige Bezeichnung, frei wählbar
    Typ VPN-Netzwerk
    Adresse: 192.168.192.0/24 Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
    Zone vpn-ssl-RW-Securepoint die Zone, über die das Tunnel-Netzwerk angesprochen wird.
    Gruppen:     Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.


    Speichern


    Portfilter Regel
    Portfilter-Regel für den Roadwarrior

    Menü → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

    Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:


    Beschriftung Wert Beschreibung
    Quelle SSL-VPN-RW-Network Eingehende Regel
    Ziel internal-network
    Dienst benötigter Dienst
  • Es sollten nur tatsächlich benötigte Dienste freigegeben werden!


    • Benutzer und Gruppen anlegen

    Gruppe
    SSL-VPN Einstellungen für die Gruppe
    Unter → Authentifizierung →Benutzer muss man für die Benutzer, die auf den Roadwarrior-Server zugreifen sollen zunächst eine Gruppe hinzufügen .

    Einstellungen im Reiter Berechtigungen
    Gruppenname: RW-SSL-VPN
    Folgende Berichtigungen müssen erteilt werden:

    • Ein SSL-VPN
    • Ein Userinterface
    Einstellungen im Reiter SSL-VPN
    Client im Userinterface herunterladbar: Ein Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
    SSL-VPN Verbindung: RW-Securepoint Soeben angelegte Verbindung wählen
    Client-Zertifikat: Clientzertifikat Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
  • Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
    • Remote Gateway: 192.0.2.192 Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
    Redirect Gateway: Aus Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM
    Im Portfilter verfügbar: Ein Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN



    Benutzer
    SSL-VPN Einstellungen für die Benutzer

  • Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Reiter Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.

    • → Authentifizierung →BenutzerReiter Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .
    Allgemein

    Reiter Allgemein
    Gruppen: ×RW-SSL-VPN Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
    SSL-VPN

    Reiter SSL-VPN
    Einstellungen aus der Gruppe verwenden Ein Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
    Installer
    Portable Client
    Konfiguration     		Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
    Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.



    Der SSL-VPN Client

    Herunterladen des SSL-VPN Clients im Userinterface

    Userinterface

    Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:

    • Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
    • Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
    • Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
  • Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter → Firewall →Implizite Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

    • Der Client wird angeboten als:

    • SSL-VPN Client Installer

    Die Installation muss mit Administrator-Rechten durchgeführt werden.
  • Erforderliche Prozessorarchitektur: x86 / x64

    • SSL-VPN Portable Client

    Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.

    Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
  • Erforderliche Prozessorarchitektur: x86 / x64
    • Konfiguration und Zertifikat
      Zur Verwendung in anderen SSL-VPN-Clients
  • Die komprimierten Ordner enthalten neben dem SSL-VPN Client
    • eine Konfigurationsdatei
    • die CA- und Client-Zertifikate
    • sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
      Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

  • Ab Windows 10 können ältere SSL-VPN Clients vor V2 nicht mehr verwendet werden

    • Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client



    SSL-VPN Verbindung als Client herstellen

    Aktive SSL-VPN-Verbindung
    Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
    Starten der Verbindung mit Klick auf SSL-VPN-Client-Doppelpfeil.png


    Mehrere VPN-Server als Ziele für eine Verbindung

    In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.

    VPN-Client Remoteziele1.png
    • Rechter Mausklick auf die Verbindung
    • Kontextmenü Einstelungen
    VPN-Client Remoteziele2.png
    • Schaltfläche Erweitert
    VPN-Client Remoteziele3.png
    • IP: utm1.anyideas.de
    • Port: 1194
    Eingabe von Hostnamen oder IP und verwendeten Port
    Angaben mit  Hinzufügen  übernehmen
    Fenster mit OK schließen
    VPN-Client Remoteziele UAC.png
    UAC Benutzerkonten Meldung bestätigen.














    Mehrere VPN-Profile nutzen

    Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen

    VPN-Client Profil Import1.png
    • Linksklick auf das Zahnradsymbol im Client-Fenster
    • Kontextmenü Importieren
    VPN-Client Profil Import2.png
    • Mit Klick auf im Abschnitt ╭╴Quelldatei:╶╮ kann eine Datei im .ovpn-Format ausgewählt werden.
    • Im Abschnitt ╭╴ Importieren als:╶╮ kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
    • Abschluss mit der Schaltfläche Importieren
    SSL-VPN Client Einstellungen Allgemein.png
    • Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
      • Linksklick auf das Zahnradsymbol
      • Menü  Client Einstellungen
      • Reiter Allgemein → Schaltfläche TAP hinzufügen













    • Mit Klick auf im Abschnitt ╭╴Quelldatei:╶╮ kann eine Datei im .ovpn-Format ausgewählt werden.
    • Im Abschnitt ╭╴ Importieren als:╶╮ kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
    • Abschluss mit der Schaltfläche Importieren

    Hinweise

    Verschlüsselung

    Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

    Anpassung der default Cipher ab v12.2.2

    Ab v12.2.2 ist in der Einstellung Default der Cipher für Datenverbindung nicht mehr Blowfish-CBC enthalten.
    Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.

    Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
    Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.

    Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Reiter Allgemein im Feld Cipher für Datenverbindung
    UTM v12.2.2 SSL-VPN bearbeiten Default.png
    Cipher und Hash mit Default-Einstellungen
    Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt
    UTM v12.2.2 SSL-VPN bearbeiten Blowfisch.png
    Cipher mit Blowfish-kompatiblen Einstellungen
    Nicht empfohlen
    UTM v12.2.2 SSL-VPN bearbeiten AES128.png
    Empfohlene Einstellung
    Muss auch auf der Gegenstelle konfiguriert sein













    Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich


    Hashverfahren

    Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.

    Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich

    QoS

    Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

    Hinweis zu vorgeschalteten Routern/Modems

    Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

    Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.

    IPv6 für eingehende Verbindungen

    In den Einstellungen des Roadwarriorservers kann im Reiter Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

    Troubleshooting

    Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Roadwarrior&oldid=84072