- Anpassung der Cipher in Default-Einstellungen
- Beschreibung für mehrere VPN-Server als Ziele für eine Verbindung (v12.2)
- Beschreibung um mehrere VPN-Profile zu nutzen (v12.2)
Einleitung
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Vorbereitungen
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.
Auflösung interner Hostnamen im SSL-VPN
Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:
DNS/WINS übermitteln
Ermöglicht interne DNS-Adressen über einen im Tunnel erreichbaren DNS-Server aufzulösen.
So werden interne Server nicht nur über IP-Adressen, sondern auch über DNS-Namen erreichbar.
Die Einstellung wird im Menü konfiguriert und in den erweiterten Einstellungen einer SSL-VPN-Verbindung aktiviert ( Schaltfläche der gewählten Verbindung, Reiter Erweitert).
Search Domain
Ergänzt interne Namen um eine Search Domain: tk-Server1 → tk-Server1.intern.ttt-point.de
Block Outside DNS
Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS
Roadwarrior Konfiguration
Einrichtungsassistent
Schritt 1 |
![]() | ||||||||||||||||||
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung.
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt. | |||||||||||||||||||
Schritt 2 |
![]() | ||||||||||||||||||
Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. | |||||||||||||||||||
Schritt 3Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden. | |||||||||||||||||||
|
![]() | ||||||||||||||||||
Schritt 4 |
![]() | ||||||||||||||||||
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden. | |||||||||||||||||||
Schritt 5 |
![]() | ||||||||||||||||||
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
| |||||||||||||||||||
Abschluss |
![]() | ||||||||||||||||||
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt. Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: | |||||||||||||||||||
Regelwerk
Implizite Regeln
Unter VPN kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden.
AbschnittIm Beispiel Ein SSL VPN UDP
Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
Beschriftung | Wert | Beschreibung |
---|---|---|
Name: | SSL-VPN-RW-Network | Eindeutige Bezeichnung, frei wählbar |
Typ | ||
Adresse: | 192.168.192.0/24 | Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde. |
Zone | die Zone, über die das Tunnel-Netzwerk angesprochen wird. | |
Gruppen: | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden. |
Portfilter Regel
Menü Portfilter Schaltfläche
ReiterEine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:
Beschriftung | Wert | Beschreibung |
---|---|---|
Quelle | SSL-VPN-RW-Network | Eingehende Regel |
Ziel | internal-network | |
Dienst | benötigter Dienst |
Benutzer und Gruppen anlegen
Gruppe
Einstellungen im Reiter Berechtigungen
Gruppenname: RW-SSL-VPN
Folgende Berichtigungen müssen erteilt werden:
- Ein SSL-VPN
- Ein Userinterface
Einstellungen im Reiter SSL-VPN | ||
---|---|---|
Client im Userinterface herunterladbar: | Ein | Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar |
SSL-VPN Verbindung: | RW-Securepoint | Soeben angelegte Verbindung wählen |
Client-Zertifikat: | Clientzertifikat | Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
|
Remote Gateway: | 192.0.2.192 | Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein. |
Redirect Gateway: | Aus | Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM |
Im Portfilter verfügbar: | Ein | Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN |
Benutzer
AllgemeinReiter Allgemein | ||
Gruppen: | ×RW-SSL-VPN | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden. |
SSL-VPNReiter SSL-VPN | ||
Einstellungen aus der Gruppe verwenden | Ein | Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden. |
Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden. | ||
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden. |
Der SSL-VPN Client
Herunterladen des SSL-VPN Clients im Userinterface
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:
- Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
- Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
- Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
Der Client wird angeboten als:
SSL-VPN Client Installer
SSL-VPN Portable Client
Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
- Konfiguration und Zertifikat
Zur Verwendung in anderen SSL-VPN-Clients
- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client
SSL-VPN Verbindung als Client herstellen
Starten der Verbindung mit Klick auf

Mehrere VPN-Server als Ziele für eine Verbindung
In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.

- IP: utm1.anyideas.de
- Port: 1194
Angaben mit Hinzufügen übernehmen
Fenster mit OK schließen
Mehrere VPN-Profile nutzen
Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen

- Mit Klick auf … im Abschnitt ╭╴Quelldatei:╶╮ kann eine Datei im .ovpn-Format ausgewählt werden.
- Im Abschnitt ╭╴ Importieren als:╶╮ kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
- Abschluss mit der Schaltfläche

- Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
- Linksklick auf das Zahnradsymbol
- Menü Client Einstellungen
- Reiter Allgemein → Schaltfläche
- Mit Klick auf … im Abschnitt ╭╴Quelldatei:╶╮ kann eine Datei im .ovpn-Format ausgewählt werden.
- Im Abschnitt ╭╴ Importieren als:╶╮ kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
- Abschluss mit der Schaltfläche
Hinweise
Verschlüsselung
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.
Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.

Hashverfahren
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
QoS
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.