https://wiki.securepoint.de/api.php?action=feedcontributions&feedformat=atom&user=PascalSecurepoint Wiki - Benutzerbeiträge [de]2026-04-07T09:36:23ZBenutzerbeiträgeMediaWiki 1.43.5https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=4556UTM/VPN/SSL VPN-S2S v11.7.32013-05-30T08:11:15Z<p>Pascal: /* SSL VPN Server einrichten */</p>
<hr />
<div>{{v11}}<br />
<br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).<br />
<br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der UTMv11 haben Sie die Möglichkeit mehrere Instanzen des OpenVPN-Servers laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client über die CLI. In der UTMv11 können Sie in der GUI mit einem Klick sagen ob Sie eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/32 (x > 1, in der UTM v11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs (2^8 minus Netzadresse, minus Broadcast-Adresse, minus Adresse für den OpenVPN-Server) zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf Fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie unter Anwendungen > Anwendungsstatus ob der SSL VPN Server gestartet ist.<br />
Hat der Dienst "SSL-VPN" eine grüne "Lampe", so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktiviert ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Client-Netzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie"Netzwerk" aus.<br />
*Die Zone lautet "vpn-openvpn-<Name des Remote Client Profils>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun folgende Firewall-Regeln <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Step1]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Step2]]<br><br />
*Belassen Sie die MTU auf 1500 (Sollten Sie den Wert auf dem Server angepasst haben, muss dieser Wert mit dem auf dem Client übereinstimmen)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne "Lampe", dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktivert ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ...10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Netzwerkobjekt erstellen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist "vpn-openvpn-<Name des Openvpn Servers>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Regelwerk auf dem Client]]<br><br />
*Erstellen Sie nun das folgende Firewall-Regeln<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT<br />
<br />
===Besonderheiten===<br />
Sollte auf der Firewall, welche als Client fungiert, bereits ein Openvpn Tunnel angelegt sein und der Openvpn Server <b>NICHT</b> auf Port 1194 läuft. So muss auf Seiten des Clients die Config per Hand verändert werden.<br />
Dazu verbinden Sie sich mit Putty zur Firewall und melden sich mit einem Administrator an.<br />
* Führen Sie den Befehl "openvpn remote get" aus. <br />
* Danach den Befehel "openvpn remote set id "X" hosts andihome.spdns.de:Y" <br />
<br />
Für X tragen Sie nun die ID des passenden Eintragen vom 1. Befehl ein.<br />
Für Y tragen Sie den Port des Servers ein.<br />
<br />
Beispiel: openvpn remote set id "1" hosts securepoint_test.spdns.de:1198<br><br />
Hier wird nun der 1. Eintrag auf die Remote Adress securepoint_test.spdns.de gesetzt und die Firewall verwendet nun Port 1198.<br />
<br />
Starten Sie nach diesen Änderungen den Openvpn Server neu.</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=4555UTM/VPN/SSL VPN-S2S v11.7.32013-05-29T13:09:21Z<p>Pascal: /* Zertifikate */</p>
<hr />
<div>{{v11}}<br />
<br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).<br />
<br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der UTMv11 haben Sie die Möglichkeit mehrere Instanzen des OpenVPN-Servers laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client über die CLI. In der UTMv11 können Sie in der GUI mit einem Klick sagen ob Sie eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der UTM v11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 252 IPs (2^8 minus Netzadresse, minus Broadcast-Adresse, minus Adresse für den OpenVPN-Server) zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf Fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie unter Anwendungen > Anwendungsstatus ob der SSL VPN Server gestartet ist.<br />
Hat der Dienst "SSL-VPN" eine grüne "Lampe", so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktiviert ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Client-Netzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie"Netzwerk" aus.<br />
*Die Zone lautet "vpn-openvpn-<Name des Remote Client Profils>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun folgende Firewall-Regeln <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Step1]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Step2]]<br><br />
*Belassen Sie die MTU auf 1500 (Sollten Sie den Wert auf dem Server angepasst haben, muss dieser Wert mit dem auf dem Client übereinstimmen)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne "Lampe", dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktivert ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ...10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Netzwerkobjekt erstellen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist "vpn-openvpn-<Name des Openvpn Servers>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Regelwerk auf dem Client]]<br><br />
*Erstellen Sie nun das folgende Firewall-Regeln<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT<br />
<br />
===Besonderheiten===<br />
Sollte auf der Firewall, welche als Client fungiert, bereits ein Openvpn Tunnel angelegt sein und der Openvpn Server <b>NICHT</b> auf Port 1194 läuft. So muss auf Seiten des Clients die Config per Hand verändert werden.<br />
Dazu verbinden Sie sich mit Putty zur Firewall und melden sich mit einem Administrator an.<br />
* Führen Sie den Befehl "openvpn remote get" aus. <br />
* Danach den Befehel "openvpn remote set id "X" hosts andihome.spdns.de:Y" <br />
<br />
Für X tragen Sie nun die ID des passenden Eintragen vom 1. Befehl ein.<br />
Für Y tragen Sie den Port des Servers ein.<br />
<br />
Beispiel: openvpn remote set id "1" hosts securepoint_test.spdns.de:1198<br><br />
Hier wird nun der 1. Eintrag auf die Remote Adress securepoint_test.spdns.de gesetzt und die Firewall verwendet nun Port 1198.<br />
<br />
Starten Sie nach diesen Änderungen den Openvpn Server neu.</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_HA_-_Hotstandby,_LoadBalancing&diff=4355Quick-Step HA - Hotstandby, LoadBalancing2013-05-02T10:56:03Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto? ==<br />
<br />
Diese Quick-Step-Anleitung führt Sie in wenigen Schritten durch die Integration von High Availability und Load Balancing. Nur die NAC-Advance Lösung bietet High Avaibility an und ist nicht in der Standard-Version zu finden. Die HA-Funktion ermöglicht die Anbindung mehrerer NACs zu einem Cluster. <br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Administrationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie integriere ich HA?<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie integriere ich High Avaibility? ==<br />
<br />
Verbinden Sie gleiche NAC-Interfaces untereinander (LAN 1 mit LAN 1), rufen Sie den ersten Hauptcontroller auf und melden Sie sich an der Administrationsoberfläche [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che] an.<br />
<br />
[[Datei:Topologie.png|500px|thumb|center|User Portal]]<br />
<br />
=== Hauptcontroller Konfiguration ===<br />
<br />
Der Hauptcontroller wird unter Configuration / Multi-controllers und Primary controller konfiguriert. <br />
<br />
[[Datei:Multi-controller.png|800px|thumb|center|User Portal]] <br />
<br />
Füllen Sie die erforderlichen Felder aus:<br />
<br />
#'''Site name:''' Der Hostname identifiziert eindeutig den Hauptcontroller in einer Multicontroller-Architektur.<br />
#'''Controller name:''' Der Controllername identifiziert eindeutig den Hauptcontroller in einer Multicontroller-Architektur.<br />
#'''Controller network interface:''' Die definierte Netzwerkschnittstelle wird durch diesen Controller verwendet, um mit dem sekundären Controller zu kommunizieren.<br />
#'''HTTPS access port:''' Der HTTPS-Port wird vom sekundären Controller für die Verbindung im sicheren Modus zum Hauptcontroller Webserver verwendet.<br />
#'''LDAPS access port:''' Der LDAPS -Port wird vom sekundären Controller für die Verbindung im sicheren Modus zum Hauptcontroller LDAPS -Server verwendet.<br />
<br />
=== High Avaibility Konfiguration ===<br />
<br />
[[Datei:LB_config_1.png|800px|thumb|center|User Portal]]<br />
<br />
#'''Enable:''' High Avaibility aktivieren.<br />
#'''Communication interface between controllers:''' Wählen Sie aus dem Dropdown Menü das Interface für die Kommunikation zwischen den Controller.<br />
#'''Number of controllers:''' Anzahl der Controller. <br />
#'''IP addresses of the controllers:''' Tragen Sie hier die zweite NAC IP-Adresse ein.<br />
<br />
Speichern Sie die Konfiguration mit '''"Confirm"'''. Eine Synchronisation wird durchgeführt und die NACs arbeiten jetzt in High Avaibility Modus.</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_EAP&diff=4354Quick-Step EAP2013-05-02T10:55:57Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
= Einleitung =<br />
Die EAP-Authentifizierung ermöglcht es dem Benutzer, sich mit seinem Domänen-Konto am verschlüsselten WLAN anzumelden. Da die NAC die Authentifizeriungsdaten erhält, kann der Benutzer auch ohne eine weitere Authentifizierung (SingleSignON) am Portal angemeldet werden.<br />
<br />
Ziel dieses Howtos ist es, ein Netzwerk so einzurichten, dass sich Benutzer über das Domänenkonto an dem WLAN/NAC anmelden können.<br />
<br />
== Der Domäne beitreten ==<br />
Der erste Schritt besteht darin, die NAC in die Domäne zu integrieren. <br />
<br />
Um dies zu erreichen führen wir folgende Schritte durch:<br />
1. Wir tragen unter "Netzwerk" -> "Controller" die Domäne ein, in der sich unser Active Directory befindet. In unserem Fall ist das nac.local.<br />
<br />
[[Datei:controller_domain.png|500px|thumb|center|Name der Domäne]]<br />
<br />
<br />
2. Wir tragen unter "Authentifizierung" -> "Windows" den Domänencontroller ein.<br />
<br />
[[Datei:controller_windows.png|500px|thumb|center|Windows Domaincontroller]]<br />
<br />
<br />
Nach einem Klick auf "Bestätigen" wird die NAC in die Domäne aufgenommen.<br />
<br />
[[Datei:success.png|500px|thumb|center|Erfolgreich]]<br />
<br />
= Radius-Konfiguration mit EAP Reauthentifizierung =<br />
<br />
== erneute Authentifizierung via NAS ==<br />
Die erneute, vom NAS unterstützte, Authentifizierung wird vom NAS veranlasst, d.h. der NAS gibt den Befehl zum erneuten Anmelden. Sie können hier den Authentifizierungsintervall angeben, nach dem eine erneute Authentifizierung gefordert wird.<br />
<br />
<br />
[[Datei:eap_nas.png|500px|thumb|center|NAS]]<br />
<br />
<br />
== Erneute Authentifizierung via Controller ==<br />
Die erneute, vom Controller unterstützte, Authentifizierung wird direkt vom Controller veranlasst, d.h. es muss sich kein NAS im Netzwerk befinden, um die erneute Authentifizierung zu fordern. Auch hier können Sie den Authentifizierungsintervall einstellen.<br />
<br />
<br />
[[Datei:eap_controller.png|500px|thumb|center|Controller]]<br />
<br />
== Einstellungen am Windows-Server ==<br />
Um die EAP-Authentifizierung zu verwenden, muss der NAC in die lokale Domäne integriert werden. Daher sollte der Server extern stehen, da sonst die Domäne geändert werden muss, wodurch das Zertifikat ungültig wird.<br />
<br />
Navigieren Sie im Server-Manager nach Rollen -> Netzwerkrichtlinien- und Zugriffsdienste -> NPS (lokal) und richten Sie die folgenden Bereiche wie folgt ein. <br />
<br />
<br />
=== RADIUS-Clients und -Server ===<br />
Hier werden die Clients aufgeführt, welche an der NAC registriert sind.. Hier muss die NAC aufgeführt sein, damit eine Authentifizierung erfolgen kann. <br />
Wir sehen in der Liste die "nac" mit der IP-Adresse 192.168.176.254 aufgeführt. In den Eigenschaften der Clients wird z.B. auch der gemeinsame geheime Schlüssel aufgeführt.<br />
<br />
[[Datei:radius_server_clients.png|800px|thumb|center|Server und Clients]]<br />
<br />
<br />
=== Richtlinien ===<br />
Über die Richtlinien können Sie festlegen, unter welchen Bedingungen eine Verbindung hergestellt werden darf. <br />
<br />
[[Datei:radius_richtlinien.png|800px|thumb|center|Richtlinien]]<br />
<br />
<br />
=== Benutzereinstellungen ===<br />
In den Benutzereinstellungen des Active Directory muss in den Eigenschaften des Benutzers, unter dem Reiter "Einwählen", der Punkt "Zugriff über NPS-netzwerkrichtlienien steuern" gesetzt sein.<br />
<br />
'''Achtung: <br />
Ist dies nicht der Fall, ist eine Authentifizierung unmöglich.'''<br />
<br />
[[Datei:radius_users.png|800px|thumb|center|Benutzereinstellungen]]<br />
<br />
== Einstellungen am WLAN-Access-Point ==<br />
Damit die Authentifizierung funktioniert, müssen Sie im WLAN-Access-Point die NAC als Radius-Server eintragen. <br />
Will sich nun ein Benutzer anmelden, gleicht die NAC die Benutzerdaten mit dem Radius-Server ab, prüft die Richtlinien und der Benutzer kann sich einloggen.<br />
<br />
<br />
[[Datei:ap_auth.png|800px|thumb|center|Access Point]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_G%C3%A4ste_Authentifizierung_per_MAIL/SMS&diff=4353Quick-Step Gäste Authentifizierung per MAIL/SMS2013-05-02T10:55:51Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses How-to ==<br />
<br />
Diese Quick-Step Anleitung behandelt die Konfiguration von externen Diensten wie SMS sowie die Anmeldung per SMS für Gäste. <br />
<br />
Achtung: Dieser SMS-Modus funktioniert nur mit einem SMS-Anbieter. Weitere Informationen finden Sie in dem Installationshandbuch oder kontaktieren Sie Securepoint.<br />
<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie registriere ich mich per SMS?<br />
*SMS Konfiguration<br />
*Account konfigurieren<br />
*User Portal Konfiguration<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie registriere ich mich per SMS? ==<br />
<br />
Benutzer können sich selbst auf dem Securepoint Portal registrieren, indem Sie auf den SMS Registrierungslink klicken und das Formular ausfüllen wie z.B. die Landeskennzahl, Telefonnummer, Name und Vorname (siehe Screenshots). Die Logindaten werden an das Handy des Benutzers per SMS gesendet. Mit diesen kann der Benutzer sich dann auf dem Portal authentifizieren. <br />
<br />
Wählen Sie das Portal mit SMS-Registrierung nachdem das Konto erstellt wurde.<br />
<br />
<br />
[[Datei:Porta_SMS_Registration_1.png|500px|thumb|center|User Portal]]<br />
<br />
[[Datei:Porta_SMS_Registration_2.png|500px|thumb|center|SMS Benutzerregistrierung auf dem Securepoint Portal]]<br />
<br />
<br />
<br />
== SMS Konfiguration ==<br />
<br />
<br />
Nachdem das SMS-Konto erstellt wurde, melden Sie sich an der Administrationsoberfläche an (link) und klicken Sie den Link SMS unter Configuration / External services an. Neue Accounts werden über das Botton „Add“ eingerichtet.<br />
<br />
[[Datei:sms_admin_configuration_1.png|500px|thumb|center|Administration]]<br />
<br />
<br />
<br />
=== Account konfigurieren ===<br />
<br />
<br />
Unter SMS Account Configuration, werden Ihre Daten für die registrierte SMS Plattform eingetragen. <br />
<br />
<br />
[[Datei:sms_admin_configuration_2.png|500px|thumb|center|Administration]]<br />
<br />
'''SMS operator:''' Wählen Sie ein SMTP Operator aus dem Drop-Down Menü aus für die SMS-Messaging-Plattform. Die Registrierung mit der ausgewählten Plattform ist notwendig, um Login Informationen zu erhalten.<br />
'''Mail from:''' Geben Sie eine existierende Absenderadresse ein.<br />
'''Mail to:''' Empfänger im Betreff-Feld.<br />
'''IP address or DNS of the mail server:''' Adresse oder Name der registrierte Plattform.<br />
'''Port:''' SMTP- oder HTTP-Port.<br />
'''Use secure authentication''', Account login und Account password: Daten für die sichere Authentifizierung mit loggindaten. <br />
'''Mail subject:''' Anzeigetext für die Betreffzeile, z.B. mit +%phonenumber% wird die Telefonnummer angezeigt. <br />
<br />
<br />
=== Templates konfigurieren ===<br />
<br />
<br />
[[Datei:sms_admin_configuration_3.png|500px|thumb|center|Administration]]<br />
<br />
<br />
Es ist möglich, den SMS-Inhalt auf die Grundlage der Verwendung anzupassen. Die SMS wird als Willkommens-Nachricht aus einer Vorlage erstellt mit unterschiedlichen Versionen je nach verfügbaren Sprachen umfassen. Die Vorlage umfasst Text und Variablen. Die Variablen werden mit "%"-Zeichen eingeschlossen.<br />
Mögliche dynamischen Variablen sind Benutzer-Login (%Login%), Passwort (%Password %), Nachname (%Lastname%), Vorname (%Firstname %) und Profile (%Profil %). Login und Passwort müssen ausgefüllt werden.<br />
<br />
<br />
<br />
=== Einstellungen testen ===<br />
<br />
<br />
Verwenden Sie die Test-Einstellungen-Schaltfläche, um die Richtigkeit der eingegebenen Daten zu überprüfen.<br />
<br />
<br />
[[Datei:sms_admin_configuration_test_settings.png|500px|thumb|center|Administration]]<br />
<br />
Geben Sie die Landesvorwahl und Telefonnummer<br />
<br />
<br />
== User Portal Konfiguration ==<br />
<br />
<br />
Das User Portal kann jetzt konfiguriert werden, indem Sie das Portal mit dem Button Modify anpassen. Wählen Sie dazu den Link Captive Portal unter Configuration / Customization. <br />
<br />
[[Datei:sms_admin_configuration_captiveportal_1.png|500px|thumb|center|Administration]]<br />
<br />
Wichtige Optionen für die SMS-Anmeldung werden unter Functionning Mode je nach vorkonfigurierte SMS-Anbieter im Dropdown Menü ausgewählt.<br />
<br />
[[Datei:sms_admin_configuration_captiveportal_2.png|500px|thumb|center|Administration]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=NAC_Quick-Start_AD-Integration&diff=4352NAC Quick-Start AD-Integration2013-05-02T10:55:44Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto ==<br />
<br />
Diese Quick-Step Anleitung führt Sie in wenigen Schritten durch die Integration von Active Directory. Die Administrationsoberfläche wird verwendet, um Administrationsaufgaben wie Netzwerkkonfiguration, Dienste und Monitoring zu erledigen. Die Delegationsoberfläche bietet Ihnen die Möglichkeit, Benutzerkonten zu generieren und das Portal wird für die Anmeldung von Kunden verwendet.<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie integriere ich ein AD?<br />
*Wie logge ich mich als AD-Benutzer ein?<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie integriere ich ein AD? ==<br />
<br />
<br />
Das Securepoint NAC bietet die Möglichkeit, ein Firmen-Verzeichnis zu verwenden, um Benutzerauthentifizierung durchzuführen. Das beteiligte Verzeichnis für die Authentifizierung muss dem LDAP-Standard entsprechen (z.B. OpenLDAP, ActiveDirectory).<br />
Das lokale Securepoint Verzeichnis, das zum Speichern von Benutzerprofilen verwendet wird, kann auch bei der Authentifizierung verwendet werden. Erstellte Benutzerkonten mit dem Administrationstool Delegation (in der Regel Benutzer vom Typ Besucher), sind in der Tat in dem lokalen Securepoint Verzeichnis gespeichert. Es ist daher möglich, ein Unternehmensverzeichnis und das Lokale Securepoint Verzeichnis als Cascade einzurichten.<br />
<br />
<br />
[[Datei:Administration_ADCascade.png|800px|thumb|center|Portal]]<br />
<br />
<br />
Die Administrationsoberfläche zeigt alle benötigten Parametern für eine schnelle Integration von verschiedenen Authentifizierungen wie Active Directory, Kwartz Server und andere LDAP.<br />
<br />
== Authentication Directory Configuration ==<br />
<br />
<br />
Konfigurationseinstellungen für einen externen Active Directory. Wählen Sie unter Konfiguration/Authentifizierung den Link Verzeichnis.<br />
<br />
<br />
[[Datei:Interface_Admin_Authentication directory.png|800px|thumb|center|Portal]]<br />
<br />
<br />
Folgen Sie bitte den unteren Schritten, um ein Active Directory Verzeichnis zu konfigurieren:<br />
<br />
<br />
Allgemeine Einstellungen Panel.<br />
<br />
<br />
[[Datei:Interface_Admin_Numer_Authentication directory_2.png|800px|thumb|center|Portal]]<br />
<br />
<br />
<br />
1. '''Directory name:''' z.B. Vertrieb. Der Verzeichnisname wird verwendet, um auf das Verzeichnis zu verweisen, wenn der Cascade-Mechanismus festgelegt wird.<br />
<br />
2. '''Directory type:''' z.B. Active Directory. Das Verzeichnis kann das interne Securepoint-Verzeichnis sein, ein Active Directory, Kwartz Server oder ein anderer LDAP standard directory (OpenLDAP, Apple OpenDirectory, etc.).<br />
Hinweis: Das Securepoint-Verzeichnis ist standardmäßig konfiguriert. Es entspricht dem internen Verzeichnis im Feld Local.<br />
<br />
<br />
Verbindungeinstellungen Panel.<br />
<br />
<br />
<br />
[[Datei:Interface_Admin_Numer_Authentication directory_3.png|800px|thumb|center|Portal]]<br />
<br />
<br />
3. '''IP adress:''' z.B. 192.168.3.30. IP-Adresse des Servers<br />
<br />
4. '''Port:''' z.B. 389. Port-Nummer für das Verzeichnis ist je nach Protokoll (LDAP: 389, LDAPS: 636 als Standard)<br />
<br />
5. '''Bind DN:''' Dieses Feld stellt den "Distinguished Name" für das Administrator-Verzeichnis<br />
<br />
6. '''Password:''' Das Administratorkennwort für das Verzeichnis<br />
<br />
<br />
Klicken Sie auf den Button „Einstellungen testen“ (Test settings), um die Einstellungen zu testen.<br />
Suchparameter Panel. Konfigurieren Sie das Profil Suchparameter.<br />
Die folgenden Felder werden verwendet, um das Benutzer- (oder Gruppen-) Profil auf der Grundlage der gefundenen Daten im externen Verzeichnis zu nutzen.<br />
<br />
[[Datei:Interface_Admin_Numer_Authentication directory_4_2.png|800px|thumb|center|Portal]]<br />
<br />
<br />
7. '''Base DN:''' der "Distinguished Name" entspricht dem Verzeichniseintrag, aus dem die Suche durchgeführt wird.<br />
<br />
8. '''Search filter:''' LDAP-Filter, wird verwendet, um den Benutzer zu suchen.<br />
<br />
9. '''Profile attribute / Default profile:''' Das erste Feld "Profil-Attribut" wird den LDAP-Attribut Namen gegeben, das das Profil des Benutzers verwendet. Wenn dieses Attribut nicht angegeben wird oder in dem Verzeichnis leer ist, wird das Feld "Standard-Profil" verwendet. <br />
<br />
10. '''Name attribute:''' Attributname, wird verwendet, um den Nachnamen des Benutzers in den Securepoint Logs abzurufen und zu speichern.<br />
<br />
11. '''First name attribute:''' Attributname, wird verwendet, um den Vornamen des Benutzers in den Securepoint Logs abzurufen und zu speichern.<br />
<br />
<br />
Klicken Sie auf den Button „Einstellungen testen“ (Test settings) und melden Sie sich mit Login und Passwort an, um die Einstellungen zu testen.<br />
<br />
<br />
[[Datei:Interface_Admin_Numer_testSettings_5.png|350px|thumb|center|Portal]]<br />
<br />
<br />
<br />
Je nachdem ob Ihre Einstellungen richtig sind oder nicht, bekommen Sie eine Bestätigung, dass Ihre Verbindung funktionsfähig ist.<br />
<br />
<br />
Alle Active Directory-Benutzer und Securepoint NAC-Besucher können sich jetzt über die Benutzeroberfläche anmelden. Weitere Informationen finden Sie in dem Installationshandbuch.<br />
<br />
<br />
<br />
[[Datei:Portal_Login.png|500px|thumb|center|Portal]]<br />
<br />
[[Kategorie:NAC]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_G%C3%A4ste_Authentifizierung_per_SMS&diff=4351Quick-Step Gäste Authentifizierung per SMS2013-05-02T10:55:40Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto? ==<br />
<br />
Diese Quick-Step Anleitung behandelt die Konfiguration von externen Diensten wie SMS sowie die Anmeldung per SMS für Gäste. <br />
<br />
Achtung: Dieser SMS-Modus funktioniert nur mit einem SMS-Anbieter. Weitere Informationen finden Sie in dem Installationshandbuch oder kontaktieren Sie Securepoint.<br />
<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie registriere ich mich per SMS?<br />
*SMS Konfiguration<br />
*Account konfigurieren<br />
*User Portal Konfiguration<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie registriere ich mich per SMS? ==<br />
<br />
Benutzer können sich selbst auf dem Securepoint Portal registrieren, indem Sie ihre Handynummer bei der Registrierung angeben. Haben Sie dies gemacht, wird ihnen eine SMS, mit den Login-Daten zugesandt. Mit diesen Daten können Sie sich dann einloggen. <br />
Damit eine Registrierung per SMS überhaupt möglich ist, müssen Sie dies vorher in den Portaleinstellungen erlauben und entsprechend einrichten. Außerdem müssen Sie mindestens ein neues SMS-Konto erstellen.<br />
<br />
<br />
<br />
<br />
[[Datei:portal_sms_reg_1.png|500px|thumb|center|SMS-Einstellungen in den Portaloptionen]]<br />
<br />
[[Datei:portal_sms_reg_2.png|500px|thumb|center|Erstellung eines SMS-Kontos]]<br />
<br />
<br />
Unterstütze Provider sind:<br><br />
[http://www1.orange.ch/ Orange] <br><br />
[http://www.tm4b.com/ TM4B]<br><br />
[http://www.sms-box.de/ SMS-Box]<br><br />
[http://www.lesms.com/ leSMS]<br><br />
[http://www.smsenvoi.com/ SMSenvoi]<br><br />
[http://www.smskaufen.com/ SMSkaufen]<br><br />
[http://www.ecall.ch/ Ecall]<br><br />
[http://www.smsevents.de/ SMSEvents*]<br><br />
Andere: Hier können Sie einen SMS Provider eintragen der vorher nicht zur Auswahl stand. Da dieser nicht in unserer Liste eingetragen ist, könnte es passieren das der Provider ggf. nicht richtig mit der NAC zusammen arbeiten kann.<br />
<br />
*SMSEvents war in unseren Tests immer die erste Wahl.<br />
<br />
== SMS Konfiguration ==<br />
<br />
<br />
Nachdem das SMS-Konto erstellt wurde, melden Sie sich an der Administrationsoberfläche an (Link) und klicken Sie den Link SMS unter Configuration / External services an. Neue Accounts werden über den Button „Add“ eingerichtet.<br />
<br />
[[Datei:sms_admin_configuration_1.png|500px|thumb|center|Administration]]<br />
<br />
<br />
<br />
=== Account konfigurieren ===<br />
<br />
<br />
Unter SMS Account Configuration werden Ihre Daten für die registrierte SMS-Plattform eingetragen. <br />
<br />
<br />
[[Datei:sms_admin_configuration_2.png|500px|thumb|center|Administration]]<br />
<br />
'''SMS operator:''' Wählen Sie ein SMTP Operator aus dem Drop-Down Menü aus für die SMS-Messaging-Plattform. Die Registrierung mit der ausgewählten Plattform ist notwendig, um Login Informationen zu erhalten.<br />
'''Kontoanmeldung:''' Geben Sie hier den Namen des Kontos, den Sie auch für die Anmeldung verwenden, an.<br />
'''Konto Passwort:''' Geben Sie hier das Passwort des Kontos an.<br />
'''Kunde-ID:''' Legen Sie eine ID für den Kunden an, diese ID identifiziert den Kunden eindeutig.<br />
'''Vorlagen:''' Hier können Sie, für verschiedene Sprachen, jeweils eine SMS-Vorlage erstellen, welche der Kunde später nach seiner Registrierung erhält. In dieser SMS sind dann seine ID und sein Kennwort enthalten. Sie können Hier außerdem die Standardsprache festlegen, in der eine SMS versendet werden soll.<br />
<br />
=== Einstellungen testen ===<br />
<br />
<br />
Verwenden Sie die Test-Einstellungen-Schaltfläche, um die Richtigkeit der eingegebenen Daten zu überprüfen.<br />
<br />
<br />
[[Datei:sms_admin_configuration_test_settings.png|500px|thumb|center|Administration]]<br />
<br />
Geben Sie die Landesvorwahl und Telefonnummer ein.<br />
<br />
== User Portal Konfiguration ==<br />
<br />
<br />
Das User Portal kann jetzt konfiguriert werden, indem Sie das Portal mit dem Button Modify anpassen. Wählen Sie dazu den Link Captive Portal unter Configuration / Customization. <br />
<br />
[[Datei:sms_admin_configuration_captiveportal_1.png|500px|thumb|center|Administration]]<br />
<br />
Wichtige Optionen für die SMS-Anmeldung werden unter Functionning Mode je nach vorkonfiguriertem SMS-Anbieter im Dropdown Menü ausgewählt.<br />
<br />
[[Datei:sms_admin_configuration_captiveportal_2.png|500px|thumb|center|Administration]]<br />
<br />
<br />
Entscheiden sich die Benutzer für die SMS-Registration, sieht das anzuzeigende Portal wie folgt aus:<br />
<br />
[[Datei:sms_registration_portal.png|500px|thumb|center|Portal: SMS-Registration]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_G%C3%A4ste_Authentifizierung_per_MAIL&diff=4350Quick-Step Gäste Authentifizierung per MAIL2013-05-02T10:55:37Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto? ==<br />
<br />
Diese Quick-Step Anleitung behandelt die Konfiguration von externen Diensten wie E-Mail sowie die Anmeldung per E-Mail für Gäste. <br />
<br />
Achtung: Dieser E-Mail-Modus funktioniert nur mit einem E-Mail-Anbieter oder Mailserver. Weitere Informationen finden Sie in dem Installationshandbuch oder kontaktieren Sie Securepoint.<br />
<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie registriere ich mich per E-Mail?<br />
*MAIL Konfiguration<br />
*Account konfigurieren<br />
*User Portal Konfiguration<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie registriere ich mich per E-Mail? ==<br />
<br />
Benutzer können sich selbst auf dem Securepoint Portal registrieren, indem Sie auf den E-Mail-Registrierungslink klicken und das Formular ausfüllen wie z.B. E-Mail-Adresse, Name und Vorname (siehe Screenshots). Die Logindaten werden an die E-Mail-Adresse des Benutzers gesendet. E-Mails können sofort abgerufen werden, um sich dann auf dem Portal zu authentisieren. <br />
<br />
Wählen Sie das Portal mit E-Mail-Registrierung, nachdem das Konto erstellt wurde.<br />
<br />
<br />
[[Datei:Userportal_email.png|500px|thumb|center|User Portal]]<br />
<br />
[[Datei:Userportal_email_2.png|500px|thumb|center|E-Mail Benutzerregistrierung auf dem Securepoint Portal]]<br />
<br />
<br />
<br />
== E-Mail Konfiguration ==<br />
<br />
<br />
Nachdem das E-Mail-Konto erstellt wurde, melden Sie sich an der Administrationsoberfläche an (Link) und klicken Sie den Link Mail unter Configuration / External services an. Neue Accounts werden über den Button „Add“ eingerichtet.<br />
<br />
[[Datei:Administration_Mail.png|500px|thumb|center|Administration]]<br />
<br />
<br />
<br />
=== Account konfigurieren ===<br />
<br />
<br />
Unter Mail Account Configuration, werden Ihre Daten für die registrierte E-Mail-Plattform eingetragen. <br />
<br />
<br />
[[Datei:Administration_Mailaccount_config_1.png|500px|thumb|center|Administration]]<br />
<br />
'''IP-Adresse oder DNS des Mail-Servers:''' Adresse oder Name der registrierten Plattform.<br />
'''Port:''' SMTP-Port<br />
'''Verwenden Sie eine sichere Verbindung''' Account login und Account password: Daten für die sichere Authentifizierung mit loggindaten. <br />
'''Kontoanmeldung''' Anmeldedaten der registrierten Plattform<br />
'''Konto Passwort''' Passwort des Kontos<br />
'''Konto E-Mail-Adresse''' E-Mail-Adresse des Kontos<br />
'''E-Mai-Anwortadresse:''' Antwortadresse<br />
'''E-Mail-Betreff:''' Betreff der E-Mail (z.B. Ihr Ticket).<br />
'''Nachricht am Anfang der E-Mail:''' Text, der über den eigentlichen Zugangsdaten stehen soll.<br />
<br />
=== Einstellungen testen ===<br />
<br />
<br />
Verwenden Sie die Test-Einstellungen-Schaltfläche, um die Richtigkeit der eingegebenen Daten zu überprüfen.<br />
<br />
<br />
[[Datei:Administration_Mailtest.png|500px|thumb|center|Administration]]<br />
<br />
Geben Sie eine E-Mail-Adresse ein<br />
<br />
== User Portal Konfiguration ==<br />
<br />
<br />
Das User Portal kann jetzt konfiguriert werden, indem Sie das Portal mit dem Button Modify anpassen. Wählen Sie dazu den Link Captive Portal unter Configuration / Customization. <br />
<br />
[[Datei:Administration_captiveportal_1.png|500px|thumb|center|Administration]]<br />
<br />
Wichtige Optionen für die E-Mail-Anmeldung werden unter Functionning Mode je nach vorkonfiguriertem E-Mail-Anbieter im Dropdown Menü ausgewählt. Um die E-Mail mit Loggindaten abzurufen, wird unter „Opening access for mail checking by user“ die Zeit in Minuten eingestellt.<br />
<br />
[[Datei:Administration_captiveportal_2.png|500px|thumb|center|Administration]]<br />
<br />
Entscheiden sich die Benutzer für die E-Mail-Registration, sieht das Portal wie folgt aus:<br />
<br />
[[Datei:e_mail_registration.png|500px|thumb|center|Portal: E-Mail-Registration]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_Bezahlsysteme&diff=4349Quick-Step Bezahlsysteme2013-05-02T10:55:32Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Einleitung ==<br />
Der NAC bietet mit seinen vielen Schnittstellen auch die Möglichkeit, externe Bezahlsysteme anzubinden. Dabei arbeiten wir mit dem Anbieter PayPAL zusammen. <br />
<br />
PayPal bietet einen öffentliche API an um Artikel in deren Warenkorb/Shop zu legen. Gleichzeitig wird dem Kunden ein öffentliches Bezahlsystem zur Verfügung gestellt. Dabei kann per<br />
* Kreditkarte<br />
* PayPal<br />
* Lastschrift<br />
bezahlt werden.<br />
<br />
===Wie funktioniert das Ganze? ===<br />
Der Benutzer ruft im Browser eine Webseite auf. Statt der Webseite bekommt er das Captive Portal angezeigt. Nun kann er sich anmelden, wenn er die Anmeldedaten bereits besitzt oder aber er kann sich ein Budget entsprechend seinen Wünschen kaufen.<br />
<br />
Der Kunde gibt seine Benutzerdaten an, wählt das Profil aus und wird dann an das PayPAL-Portal weitergeletet. Dort sieht er den Warenkorb und kann die entsprechende Bezahlmethode auswählen. Nach einer erfolgreichen Transaktion steht dem Kunden das Internet zur Verfügung.<br />
<br />
=== Musterkonfiguration===<br />
In dem folgendem Howto wird gezeigt, wie Sie:<br />
<br />
* PayPal konfigurieren und in die NAC einbinden<br />
* Profile und die dazugehörigen Grundgebühren erstellen<br />
* Die Funktionen auf das Portal binden<br />
<br />
== Einstellungen ==<br />
<br />
=== PayPal einrichten ===<br />
Dies Anleitung setzt voraus, das Sie bereits über einen PayPAL-Account verfügen. <br />
<br />
Der Zugriff auf den PayPal-Server lässt sich unter "Konfiguration -> Externe Dienste -> PayPal" einrichten. Die Authentifizierung ist in 2 Bereiche unterteilt:<br />
<br />
* Der sichere Zugriff<br />
* Die Authentifizierung<br />
<br />
<br />
[[Datei:paypal-paypal1.png|800px|thumb|center|PayPal-Konfiguration auf der NAC]]<br />
<br />
Klicken Sie auf "Zertifikat exportieren", kopieren den angezeigten Inhalt in einen Texteditor und speichern es lokal ab. Melden Sie sich an der PayPal-Webseite an und importieren Sie das gerade gespeicherte Zertifikat. Gehen Sie dazu auf "Mein Konto -> Mein Profil -> Mehr" klicken Sie dann auf "Verkäufer/Händler". Im unteren Bereich unter "Einstellungen für verschlüsselte Zahlungen" lässt sich das Zertifikat importieren.<br />
<br />
[[Datei:paypal-cert1.png|400px|thumb|center|PayPal-Zertifikat importieren]]<br />
<br />
Klicken Sie im folgenden Dialog auf "Hinzufügen" und geben Sie das von der NAC exportierte Zertifikat an. Nach dem Import sollte Sie eine Zertifikats-ID bekommen die Sie in der NAC nun eintragen können:<br />
<br />
[[Datei:paypal-cert3.png|800px|thumb|center|PayPal-Zertifikat importieren]]<br />
<br />
Als nächstes muss der Zugriff auf die API freigegeben werden. Gehen Sie dazu wieder auf "Mein Profil - Verkäufer/Händler" zurück und klicken bei "API Zugriff" auf "aktualisieren". Wählen Sie die "Option 2" indem Sie auf "API-Berechtigung anfordern" klicken.<br />
<br />
[[Datei:paypal_api3.png|800px|thumb|center|PayPal-API-Konfiguration]]<br />
<br />
[[Datei:paypal_api4.png|800px|thumb|center|PayPal-API-Konfiguration]]<br />
<br />
Die nun angezeigten Daten können Sie in die NAC übertragen. Damit sind alle Einstellungen komplett.<br />
<br />
=== Profile definieren ===<br />
Als Beispiel sollen uns 3 Profile dienen:<br />
<br />
# Profil: Unbeschränkter Zugriff, gültig für den Erstellungstag<br />
# Profil: Unbeschränkter Zugriff, gültig für den Erstellungstag + 6 Tage<br />
# Profil: Web + Mail gültig für 1 Stunde<br />
<br />
Zur Einrichtung gehen Sie bitte auf "Administration -> Profile" und erstellen Sie die entsprechenden Profile.<br />
<br />
[[Datei:paypal_profil2.png|800px|thumb|center|NAC - Profile]]<br />
<br />
<br />
=== Grundgebühren anlegen ===<br />
<br />
Die Grundgebühren erstellen Sie unter "Administration -> Grundgebühren" . Sie verknüpfen jetzt das jeweilige Profil mit einer Grundgebühr.<br />
<br />
[[Datei:paypal_grundgebuehr.png|800px|thumb|center|NAC - Grundgebühren]]<br />
<br />
<br />
=== Portal editieren ===<br />
Im Anschluss müssen sie die Funktion noch auf das Portal binden. Gehen Sie dazu auf "Konfiguration -> Personalisierung -> Portal", dort die Konfiguration des Captive-Portals editieren und den Betriebsmodus "PayPal" inkl. der angelegten Gebühren aktivieren.<br />
<br />
[[Datei:paypal_portal1.png|800px|thumb|center|NAC - Portalkonfiguration]]<br />
<br />
[[Datei:paypal_portal2.png|800px|thumb|center|NAC - Portalkonfiguration]]<br />
<br />
== Anmelden ==<br />
<br />
[[Datei:paypal_uportal1.png|800px|thumb|center|Benutzeranmeldung - Schritt 1]]<br />
<br />
[[Datei:paypal_uportal2.png|800px|thumb|center|Benutzeranmeldung - Schritt 2]]<br />
<br />
[[Datei:paypal_uportal3.png|800px|thumb|center|Benutzeranmeldung - Schritt 3]]<br />
<br />
[[Datei:paypal_uportal4.png|800px|thumb|center|Benutzeranmeldung - Schritt 4 (PayPal Warenkorb)]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_MySQL-Anbindung&diff=4348Quick-Step MySQL-Anbindung2013-05-02T10:55:28Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
=== Die Anbindung von MySQL ===<br />
Sie haben die Möglichkeit auf die Datenbank der NAC zuzugreifen und diese auszulesen. Dies können Sie beispielsweise mit einer einfachen Konsole machen. In der Datenbank werden sämtliche Informationen, wie z.B. die Zugriffe festgehalten. <br />
<br />
Um auf die MySQL-Datenbank zuzugreifen, führen Sie bitte folgende Schritte durch:<br />
<br />
== Schritt 1: Verbindung ermöglichen ==<br />
Bevor Sie die Verbindung zu der Datenbank aufbauen, müssen Sie eine Einstellung vornehmen, die diese Verbindung überhaupt möglich macht.<br />
<br />
Setzen Sie unter "Konfiguration" -> "Protokollierung" -> "Konfiguration" den Haken bei "Zugriff auf die SQL-Datenbank von Log-Dateien autorisieren". Dort geben Sie außerdem die Schnittstelle an, über welche die Verbindung erlaubt werden soll.<br />
<br />
[[Datei:zugriff_sql_datenbank_einstellungen.png|500px|thumb|center|Einstellung: Zugriff erlauben]]<br />
<br />
== Schritt 2: Verbindung aufbauen ==<br />
Nachdem Sie die Voreinstellungen vorgenommen haben, können Sie nun die Verbindung aufbauen. Geben Sie hierzu den Befehl '''mysql -h <IP-Adresse der NAC> -u <Name des Benutzers> -p <Name der Datenbank>'''<br />
in Ihre Konsole ein. In unserem Beispiel geben wir "mysql -h 192.168.6.198 -u ucpreadonly -p ucpdb" ein.<br />
<br />
Sie werden nun dazu aufgefordert, das passwort einzugeben. Dies lautet standardmäßig '''„aze09rty“'''. <br />
Nach einer kurzen Wartezeit sind Sie erfolgreich mit der SQL-Datenbank verbunden.<br />
<br />
[[Datei:zugriff_sql_datenbank_erfolgreich.png|500px|thumb|center|Verbindung hergestellt]]<br />
<br />
== Schritt 3: Bedienung ==<br />
Sie können die Datenbank nun, durch die Eingabe verschiedener Befehle, auslesen. Über den Befehl "show tables" wechseln Sie in den Tabellenbereich der Datenbank. Hier geben Sie nun einfach ein Semikolon ein, um sich die verfügbaren Tabellen ausgeben zu lassen. <br />
<br />
[[Datei:sql_datenbank_tabellen.png|500px|thumb|center|Auflistung der Tabellen]]<br />
<br />
Da Sie nun wissen, welche Tabellen vorhanden sind, können Sie Sich beispielsweise die Tabelle „urls“ ausgeben lassen. Geben Sie dazu den Befehl <br />
'''select * from urls;'''<br />
ein. <br />
'''Achtung: Vergessen Sie nicht das Semikolon am Ende der Zeile.'''<br />
<br />
Nun wird Ihnen die Tabelle ausgegeben und Sie können die Daten auswerten.<br />
<br />
[[Datei:sql_datenbank_daten.png|500px|thumb|center|Daten Auswerten]]<br />
<br />
<br />
Falls Sie Ihre Datenbank exportieren, bleibt diese natürlich auf der NAC erhalten. Die exportierte Datenbank kann mit einem MySQL-Client gelesen werden.</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_Portale&diff=4347Quick-Step Portale2013-05-02T10:54:15Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto ==<br />
<br />
Diese Quick-Step Anleitung stellt Ihnen die Funktion und Konfiguration der verschiedenen Portale vor. <br />
<br />
<br />
*Was ist ein Portal?<br />
*Die Übersicht<br />
*Wie erstelle ich Vorlagen und konfiguriere diese?<br />
*Wie erstelle ich Konfigurationen und konfiguriere diese?<br />
*Wie erstelle ich Verknüpfungen und konfiguriere diese?<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
<br />
<br />
== Schritt 2: Die Übersicht ==<br />
<br />
<br />
Um ein neues Portal zu erstellen, klicken Sie im Bereich "Konfiguration/Personalisierung" auf "Portal".<br />
<br />
<br />
[[Datei:Portale_Navigation.png|800px|thumb|center|Konfiguration -> Personalisierung -> Portal]]<br />
<br />
<br />
<br />
Die Übersicht zeigt Ihnen oben nun drei verfügbare Bereiche.<br />
<br />
<br />
[[Datei:Portale_Bereiche.png|800px|thumb|center|Bereichsübersicht]]<br />
<br />
<br />
<br />
== Schritt 3: Wie erstelle ich Vorlagen und konfiguriere diese? ==<br />
<br />
<br />
Navigieren Sie zum Bereich "Vorlagen", indem Sie oben den Tab vorlagen auswählen.<br />
<br />
Über „Vorlage hinzufügen“ gelangen Sie zur Einrichtungsseite der Vorlagen.<br />
<br />
<br />
[[Datei:Vorlagen_hinzufügen.png|800px|thumb|center|Vorlagen hinzufügen]]<br />
<br />
<br />
Hier können Sie den Namen Ihrer Vorlage bestimmen und das visuelle Modell anpassen. Zu Vorführungszwecken geben wir unserer Vorlage den Namen „Test“.<br />
<br />
<br />
[[Datei:visuelle_modellparameter.png|800px|thumb|center|Vorlagen hinzufügen: visuelle Modellparameter]]<br />
Um die Einstellungen zu übernehmen klicken wir auf „Hinzufügen“.<br />
<br />
<br />
Wir sehen nun die neu erstellte Vorlage in der Liste der Vorlagen.<br />
<br />
[[Datei:vorlagen_liste.png|800px|thumb|center|Liste: Vorlagen]]<br />
<br />
<br />
Damit ist die Erstellung einer neuen Vorlage abgeschlossen.<br />
<br />
=== Der Editor ===<br />
In der Liste der Vorlagen sehen Sie rechts neben der Vorlage den "Editor" Button.<br />
<br />
[[Datei:vorlagen_editor_button.png|800px|thumb|center|Liste: Vorlagen Editor Button]]<br />
<br />
Klicken Sie auf diesen Button, öffnet sich ein Abfragefenster. Hier müssen Sie dann auswählen, welches Portal Sie bearbeiten möchten (PC, Tablet, Smartphone oder Delegation).<br />
<br />
[[Datei:vorlagen_editor_auswahl.png|800px|thumb|center|Editor Auswahl]]<br />
<br />
Haben Sie Ihre Auswahl getroffen, öffnet sich der entsprechende Editor.<br />
<br />
[[Datei:vorlagen_editor.png|800px|thumb|center|Editor]]<br />
<br />
Der Editor ermöglicht Ihnen das anpassen einer Vorlage, indem Sie beispielsweise ein Bild einfügen, die Hintergrundfarbe ändern oder einen Text einfügen.<br />
<br />
== Schritt 4: Wie erstelle ich Konfigurationen und konfiguriere diese? ==<br />
<br />
<br />
Über "Konfigurationen" können Sie für die User-Portale (Captive-Portal) und die Delegations-Portale Einstellungen festlegen. Sie können beispielsweise ein User-Portal nur für die Smartphone-Benutzer erstellen. Um eine neue Konfiguration zu erstellen, klicken Sie auf "Konfiguration hinzufügen".<br />
<br />
<br />
[[Datei:portale_konfigurationen_hinzufügen.png|800px|thumb|center|Konfiguration hinzufügen]]<br />
<br />
<br />
Nun öffnet sich das Einstellungsfenster in dem Sie sämtliche Einstellungen vornehmen können. Genaue Erklärungen zu den Einstellungsmöglichkeiten entnehmen Sie bitte dem Handbuch.<br />
<br />
<br />
[[Datei:portale_konfigurationen_editieren.png|800px|thumb|center|Konfiguration editieren]]<br />
<br />
<br />
<br />
Diese Einstellungen, können Sie später an ein oder mehrere Eingangszonen binden.<br />
<br />
Hab Sie alle gewünschten Einstellung vorgenommen und die Konfiguration erstellt, wird Ihnen Ihre neue Konfiguration in der Liste aufgeführt.<br />
<br />
<br />
[[Datei:portale_konfigurationen_liste.png|800px|thumb|center|Liste: Konfiguration]]<br />
<br />
== Schritt 5: Wie erstelle ich Verknüpfungen und konfiguriere diese? ==<br />
Durch die "Verknüpfungen" können Sie bestimmte Portale mit Konfigurationen und Vorlagen Verknüpfen. Um eine neue Verknüpfung zu erstellen, klicken Sie im Menüpunkt "Konfiguration" auf den Bereich "Personalisierung" und dann auf Portal. Hier klicken Sie nun auf "Zuordnung hinzufügen".<br />
<br />
[[Datei:portale_verknüpfungen_hinzufügen.png|800px|thumb|center|Verknüpfungen hinzufügen]]<br />
<br />
Wählen Sie nun die Zone, für welche Sie die Verknüpfung erstellen wollen. Legen Sie außerdem die gewünschte Konfiguration der Portale fest.<br />
<br />
<br />
[[Datei:portale_verknüpfungen_einstellungen.png|800px|thumb|center|Verknüpfungen Einstellungen]]<br />
<br />
<br />
Sobald Sie die Verknüpfung erstellt haben, wird diese in der Liste aufgeführt.<br />
<br />
<br />
<br />
[[Datei:portale_verknüpfungen_liste.png|800px|thumb|center|Liste: Verknüpfungen]]<br />
<br />
<br />
<br />
== Schritt 6: Exportieren und Importieren von Portalen ==<br />
Sie haben die Möglichkeit, Ihre Portale zu exportieren und auf demselben oder einem anderen Gerät wieder zu importieren. Der Export eines Portals ist vor allem dann nützlich, wenn der Texteditor, mit dem Sie z.B. den Willkommenstext eines Portals schreiben, nicht ausreicht, also wenn Ihnen der Platz ausgeht.<br />
<br />
=== Der Export ===<br />
<br />
Um ein Portal zu exportieren, klicken Sie in der Übersichtsliste auf den Button "Das Modell exportieren".<br />
<br />
<br />
[[Datei:modell_exportieren.png|800px|thumb|center|Button: Modell exportieren]]<br />
<br />
<br />
Sobald Sie auf diesen Button klicken, öffnet sich ein Downloadfenster. <br />
<br />
=== Der Import ===<br />
Sie können das Portal nun wieder importieren, indem Sie die Liste der Vorlage aufrufen, und dann auf den Einstellungsbutton einer Vorlage klicken. Hier können Sie nun "externe Vorlage" wählen, und die vorher exportierte Datei angeben.<br />
<br />
[[Datei:liste_vorlagen_importieren.png|800px|thumb|center|Liste: Vorlagen]]<br />
<br />
[[Datei:importieren_datei_angeben.png|800px|thumb|center|externe Datei angeben]]<br />
<br />
Achten Sie beim Importieren darauf, dass das zu importierende Portal den Dateinamen +1 des aktiven Portals trägt. Das heißt, wenn Sie ein Portal haben, dass den Namen "Portal_100" trägt, muss die zu importierende Datei den Namen "Portal_101.zip" tragen.<br />
<br />
=== Das Portal ===<br />
Haben Sie Ihre Portale nach Ihren Wünschen personalisiert, könnte Ihr Portal beispielsweise so aussehen: <br />
<br />
[[Datei:portal_beispiel.png|800px|thumb|center|Portal: Beispielportal]]<br />
<br />
Bei diesem Portal wurde die Registration per SMS, die Registration per E-Mail und die kostenlose Registration eingerichtet. Außerdem wird der Stil "neutral" verwendet.</div>Pascalhttps://wiki.securepoint.de/index.php?title=NAC_Quick-Start_Delegation&diff=4346NAC Quick-Start Delegation2013-05-02T10:53:57Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto ==<br />
<br />
Diese Quick-Step Anleitung führt Sie in wenigen Schritten durch die Delegationsoberfläche. Nach der Installation, stehen Ihnen drei verschiedene NAC Oberflächen zur Verfügung. Die Administrationsoberfläche wird verwendet um Administrationsaufgaben wie Netzwerkkonfiguration, Dienste und Monitoring zu erledigen. Die Delegationsoberfläche bietet Ihnen die Möglichkeit, Benutzerkonten zu generieren und das Portal wird für die Anmeldung von Kunden zu verwenden.<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie generiere ich Benutzerkonten?<br />
*Wie generiere ich mehrere Benutzerkonten?<br />
*Wie generiere ich eine Standardkonfiguration?<br />
<br />
<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
== Schritt 2: Wie rufe ich die Delegationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Delegationsoberfläche auf? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_2:_Wie_rufe_ich_die_Interfaces_auf.3F]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
== Schritt 4: Wie generiere ich Benutzerkonten? ==<br />
<br />
Die Delegationsoberfläche führt Sie durch die Generierung von Benutzerkonten oder Gruppenkonten für die spätere Anmeldung im Netzwerk. Die Menüführung erfolgt in drei Schritten. Benutzerdaten, Zugriffzeiten und Anmeldedaten übergeben.<br />
<br />
<br />
=== Benutzerdaten ===<br />
<br />
Der Gast wird anhand von Ausweispapieren eindeutig identifiziert.<br />
<br />
[[Datei:Interface_Deleg_Wizzard_1.png|500px|thumb|center|Deleg_Wizzard]]<br />
<br />
#'''Login:''' Sie können einen frei wählbaren Anmeldenamen eintragen. Beispiel: Gast.<br />
#'''Oder zufällige Anmeldung:''' Eine frei gewählte Anmeldung wird automatisch generiert.<br />
#'''Nachname:''' Der Nachname wird anhand von Ausweispapieren eingetragen, um eine genaue Identifikation und Rückverfolgung zu gewährleisten.<br />
#'''Vorname:''' Siehe Punkt 3.<br />
#'''Verwenden Sie die Standardkonfiguration:''' Eine vorkonfigurierte Benutzerkonfiguration wird verwendet, um den Vorgang zu automatisieren. Bespiel: Internetzugang ist immer für 1 Stunde gültig.<br />
<br />
<br />
<br />
=== Zugriffzeiten ===<br />
<br />
[[Datei:Interface_Deleg_Wizzard_2.png|500px|thumb|center|Deleg_Wizzard]]<br />
<br />
<br />
Die Zugriffszeiten sind unterteilt in Gültigkeitsdatum und Zeitkredit. Der Zeitkredit definiert die Zeit in Stunden und Minuten, wie lange der Gast Internetsurfen darf.<br />
<br />
<br />
#'''Gültigkeitsdatum:''' Ein Gültigkeitsdatum definiert einen Zeitraum, ab wann der Zugriff für den Gast erlaubt ist.<br />
#'''Geltungszeitraum:''' Ein Geltungszeitraum definiert einen Zeitraum, wann der Zugriff für den Gast erlaubt ist.<br />
#'''Zeitkredit:''' Der Zeitkredit definiert die Zeit in Stunden und Minuten, wie lange der Gast Internetsurfen darf.<br />
<br />
=== Anmeldedaten ===<br />
<br />
<br />
Der Gast bekommt seine Anmeldedaten ausgehändigt. Es können A4, Etiketten und RAW-Format ausgedruckt werden.<br />
<br />
<br />
[[Datei:Interface_Deleg_Wizzard_4.png|500px|thumb|center|Deleg_Wizzard]]<br />
<br />
<br />
Beispiele:<br />
<br />
<br />
[[Datei:Ticket_A4.png|500px|thumb|center|Druckoptionen]]<br />
<br />
[[Datei:Ticket_1.png|500px|thumb|center|Ticket_A4-Format]]<br />
<br />
[[Datei:Ticket_Raw.png|500px|thumb|center|Ticket_RAW-Format]]<br />
<br />
== Wie generiere ich mehrere Benutzerkonten? ==<br />
<br />
<br />
Sie können auch mehrere Konten gleichzeitig generieren. Als Beispiel werden hier 10 Benutzerkonten mit „Gast“ Präfix für die Anmeldung generiert. Ein zufälliger Anmeldename mit Passwort kann ebenfalls unter „Zufällige Anmeldung“ generiert werden.<br />
<br />
[[Datei:Deleg_Massenkonto_Menu_Button.png|500px|thumb|center|Massenkonto_Button]]<br />
[[Datei:Interface_Deleg_WizzardMK_1.png|500px|thumb|center|Massenkonto]]<br />
[[Datei:deleg_profil_wählen.png|500px|thumb|center|Massenkonto_Profil]]<br />
[[Datei:deleg_massenkonto_gültigkeit.png|500px|thumb|center|Massenkonto_Gültigkeit]]<br />
<br />
<br />
Die 10 Benutzerkonten wurden in einem Vorgang generiert und die Anmeldedaten können jetzt ausgedruckt werden.<br />
<br />
<br />
[[Datei:Interface_Deleg_WizzardMK_3.png|500px|thumb|center|Massenkonto_Bestätigung]]<br />
<br />
== Wie generiere ich eine Standardkonfiguration? ==<br />
<br />
<br />
<br />
Die Standardkonfiguration beschleunigt die Generierung von Konten und legt fest, wie lange Anwender surfen dürfen, wenn die Option „Verwenden Sie die Standardkonfiguration“ aktiviert ist.<br />
<br />
<br />
[[Datei:Deleg_Standardkonfiguration_Button.png|500px|thumb|center|Standardkonfiguration_Button]]<br />
[[Datei:Interface_Deleg_5_2.png|500px|thumb|center|Standardkonfiguration]]<br />
<br />
<br />
<br />
Ein Wizzard führt Sie durch die Konfiguration, dazu wählen Sie den Link Standardkonfiguration und klicken Sie auf „Hinzufügen“<br />
<br />
<br />
[[Datei:Standardkonfig_1_1.png|500px|thumb|center|Standardkonfiguration]]<br />
<br />
<br />
<br />
Erst wird definiert, ob ein Profil als Standardprofil für die Standardkonfiguration verwendet werden soll. Durch Klicken der Option „kein Standardprofil“ wird nur die Zugriffszeit definiert.<br />
Wählen Sie eines der beiden Profile ("guest" oder "managers"), werden Ihnen die jeweiligen Rechte des Profils unter "Sonstige Dienste" aufgelistet. User des Profils "guest" dürfen beispielsweise nur auf "Web" und "Mail" zugreifen.<br />
<br />
<br />
<br />
[[Datei:Standardkonfig_2.png|500px|thumb|center|Standardkonfiguration]]<br />
<br />
<br />
<br />
Anders wie in vorherigen Versionen der NAC, kann die Gültigkeitskonfiguration nun extern eingestellt werden.<br />
<br />
<br />
<br />
[[Datei:Gueltigkeitskonfiguration.png|500px|thumb|center|Gültigkeitskonfiguration]]<br />
<br />
Wie unter Punkt 4.2 Zugriffszeiten, wird die Internetsurfzeit unterteilt in Gültigkeitsdatum und Zeitkredit. Der Zeitkredit definiert die Zeit in Stunden und Minuten, wie lange der Gast Internetsurfen darf. Als Beispiel wird hier 1 Stunde und 0 Minuten Zeitkredit vergeben.<br />
<br />
<br />
<br />
[[Datei:Delegation_Standardkonf_2.png|500px|thumb|center|Standardkonfiguration]]<br />
<br />
<br />
Nachdem Sie Ihre Einstellungen bestätigt haben, wird Ihnen die Standardkonfiguration in einer Übersicht dargestellt.<br />
<br />
<br />
<br />
[[Datei:Interface_Deleg_WizzardMK_4.png|500px|thumb|center|Standardkonfiguration]]<br />
<br />
[[Kategorie:NAC]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_Neuinstallation&diff=4344Quick-Step Neuinstallation2013-05-02T10:53:17Z<p>Pascal: </p>
<hr />
<div>[[kategorie:NAC]]<br />
= Neuinstallation der NAC =<br />
<br />
== Was sind die Ziele dieses Howto? ==<br />
Diese Quick-Setp-Anleitung soll Ihnen lehren, wie Sie eine Neuinstallation der NAC vornehmen. Nach der Neuinstallation befindet sich die NAC im Auslieferungszustand und die Lizenz muss erneut eingespielt werden.<br />
<br />
== Schritt 1: Das Image auf einen USB-Stick brennen ==<br />
Um einen bootfähigen USB-Stick zu erstellen, benötigen Sie ein Programm, welches den USB-Stick bootbar macht und dann das gewünschte Image aufspielt. Zu diesem Zweck gibt es das Securepoint Imaging Tool.<br />
<br />
Das Securepoint Imaging Tool kann hier [http://download.securepoint.de/?d=imagingtool] heruntergeladen werden.<br />
<br />
[[Datei:imaging_tool_download.png|800px|thumb|center|Download]]<br />
<br />
<br />
<br />
Das zu installierende Image können Sie sich hier [https://my.securepoint.de/] herunterladen. Loggen Sie sich dazu einfach mit Ihren Daten ein.<br />
<br />
[[Datei:image.png|800px|thumb|center|my.securepoint.de]]<br />
<br />
<br />
<br />
Nachdem Sie das Image heruntergeladen und das Imaging Tool installiert haben, können Sie dieses starten.<br />
<br />
[[Datei:imaging_tool_program.png|800px|thumb|center|Securepoint Imaging Tool]]<br />
<br />
<br />
<br />
Geben Sie im oberen Bereich über "Select" das Image an, welches Sie auf den USB-Stick brennen möchten. <br />
'''Achtung:<br />
Der USB-Stick muss eine Größe von mindestens 2 GigaByte besitzen!'''<br />
<br />
[[Datei:imaging_tool_select_button.png|800px|thumb|center|Auswahlbutton]]<br />
<br />
<br />
[[Datei:imaging_tool_dateiexplorer.png|800px|thumb|center|Auswahl des Images]]<br />
<br />
<br />
<br />
Nun können Sie den USB-Stick auswählen, auf den das Image gebrannt werden soll. In der Mitte des Fensters sollte Ihr angeschlossener USB-Stick in der Liste zu sehen sein.<br />
<br />
[[Datei:imaging_tool_usb_select.png|800px|thumb|center|Auswahl des USB-Sticks]]<br />
<br />
<br />
<br />
Markieren Sie Ihren USB-Stick und klicken Sie unten auf "Copy Image" um den Brennvorgang zu starten.<br />
<br />
[[Datei:imaging_tool_start.png|800px|thumb|center|Brennvorgang starten]]<br />
<br />
<br />
<br />
Der Fortschritt des Vorgangs wird unten angezeigt.<br />
<br />
[[Datei:imaging_tool_process.png|800px|thumb|center|Fortschritt]]<br />
<br />
<br />
<br />
Ist der Brennvorgang abgeschlossen, verlassen Sie das Programm.<br />
<br />
== Schritt 2: Das Image auf der NAC installieren ==<br />
Um das Image auf der NAC zu installieren, brauchen Sie nur den USB-Stick an die NAC anschließen und diese einschalten. Die Installation wird automatisch gestartet.<br />
<br />
[[Datei:installation.png|800px|thumb|center|Installation]]<br />
<br />
Folgen Sie den Anweiseungen der Installation.</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_Allgemeine_Einrichtung_VLAN&diff=4343Quick-Step Allgemeine Einrichtung VLAN2013-05-02T10:52:43Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
== Was sind die Ziele dieses Howto? ==<br />
<br />
Diese Quick-Step-Anleitung führt Sie in wenigen Schritten durch die Installation von VLANs. VLANs bieten einen hohen Grad von Netzwerksicherheit und können nur mit einem VLAN fähigen Netzwerkgerät realisiert werden. Wir werden als Beispiel 3 VLANs mit 3 User Portale konfigurieren. <br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Administrationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*VLAN konfiguration<br />
*Switch Konfiguration<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
== VLAN Konfiguration ==<br />
<br />
<br />
Der NAC ist mit 3 VLANs vorkonfiguriert und jeder VLAN hat die Zone „Default“. Neue VLANs können mit dem Button „Add“ hinzugefügt werden.<br />
<br />
<br />
[[Datei:VLAN_Topologie.png|400px|thumb|center|VLAN_Topologie]]<br />
<br />
=== Zonen Konfiguration ===<br />
<br />
Die VLANs können jetzt einer Zone zugewiesen werden. Hier werden wir die Zonen (Support, Vertrieb, Gäste) als Beispiele für die Konfiguration verwenden. Dazu müssen die Zonen unter Administration / Zones eingetragen werden.<br />
<br />
<br />
[[Datei:zone_management.png|800px|thumb|center|Zone_Management]]<br />
<br />
Die Zuordnung VLANs / Zone wird unter Configuration / Incoming VLANs konfiguriert. <br />
<br />
<br />
[[Datei:incoming_vlan_zone.png|800px|thumb|center|Incoming_VLAN]] <br />
<br />
Auf der NAC sind jetzt zwei VLANs<br />
<br />
:'''VLAN ID2; 10.0.0.0/24 zone:vlan2'''<br />
<br />
:'''VLAN ID3; 192.168.10.0/24 zone:vlan1'''<br />
<br />
=== Switch Konfiguration ===<br />
<br />
Da der NAC nur eine interne NIC hat, laufen alle VLANs am Switch auf einem Port auf. Auf dem Switch müssen drei VLANs mit den IDs 2, 3 und 4 erzeugt werden. Auf manchen Switches gibt es bereits ein VLAN mit der ID=1. Dieses VLAN muss erhalten bleiben, damit die Kommunikation auf den unbeteiligten Ports weiterhin möglich ist.<br />
<br />
<br />
Der NAC steckt im Switch auf Port 11<br />
<br />
:VLan-2: hat 5 Mitglieder<br />
<br />
:VLan-3: hat 2 Mitglieder<br />
<br />
:VLan-4: hat 1 Mitgleid<br />
<br />
<br />
Konfiguration Vlan 2(U=Untagged; T=Tagged):<br />
<br />
:Port1 [U] ; PVID 2<br />
<br />
:Port2 [U] ; PVID 2<br />
<br />
:Port3 [U] ; PVID 2<br />
<br />
:Port4 [U] ; PVID 2<br />
<br />
:Port5 [U] ; PVID 2<br />
<br />
:Por11 [T] ; PVID 2<br />
<br />
<br />
Konfiguration Vlan 3(U=Untagged; T=Tagged):<br />
<br />
:Port6 [U] ; PVID 3<br />
<br />
:Port7 [U] ; PVID 3<br />
<br />
:Por11 [T] ; PVID 2<br />
<br />
<br />
Konfiguration Vlan 4(U=Untagged; T=Tagged):<br />
<br />
:Port8 [U] ; PVID 4<br />
<br />
:Por11 [T] ; PVID 2<br />
<br />
<br />
Wie erkennt jetzt das Interface 11, welche VLAN-ID es hinzufügen muss? Denn die Clients verfügen in der Regel nicht über eine VLAN-Konfig. Der Switch muss also das TAG hinzufügen bzw. bei der Antwort entfernen.<br />
<br />
<br />
Dies geschieht über die PrimaryVlanID (PVID). In den PVID-Einstellungen werden dem entsprechenden Port eine VLAN-ID zugewiesen. Wenn also ein Paket auf Port 2 ankommt und an Port 11 geht, wird es mit der VLAN-ID 2 getagged. Jeder Port kann nur eine PVID haben. Bei Port 11 ist es also egal, welche der drei IDs dort eingetragen werden.</div>Pascalhttps://wiki.securepoint.de/index.php?title=NAC_Quick-Start_Webinterfaces&diff=4342NAC Quick-Start Webinterfaces2013-05-02T10:50:31Z<p>Pascal: </p>
<hr />
<div>[[Kategorie:NAC]]<br />
<br />
== Was sind die Ziele dieses Howto ==<br />
<br />
Diese Quick-Step Anleitung führt Sie in vier Schritten Online. <br />
Nach der Installation, stehen Ihnen drei verschiedene NAC-Oberflächen zur Verfügung. Die Administrationsoberfläche wird verwendet, um Administrationsaufgaben wie Netzwerkkonfiguration, Dienste und Monitoring zu erledigen. Die Delegationsoberfläche bietet Ihnen die Möglichkeit, Benutzerkonten zu generieren und das Portal wird für die Anmeldung von Kunden verwendet.<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Interfaces auf?<br />
*Wie logge ich mich ein?<br />
*Wie rufe ich eine Webseite auf?<br />
<br />
<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Interfaces auf? ==<br />
<br />
<br />
=== Administrationsoberfläche ===<br />
<br />
<br />
Der unten stehende Link wird in der URL-Suchleiste eingegeben. Administrationsaufgaben wie Netzwerkkonfiguration, Dienste und Monitoring werden in der Administrationsoberfläche konfiguriert.<br />
<br />
<br />
*https://controller.mobile.lan/admin/ <br />
*https://192.168.100.254/admin/ <br />
<br />
<br />
[[Datei:Interface_Admin_URL.png|800px|thumb|center|Administrationsoberfläche]]<br />
<br />
<br />
<br />
=== Delegation ===<br />
<br />
<br />
Der unten stehende Link wird in der URL-Suchleiste eingegeben. Delegationsaufgaben, wie das Anlegen von Benutzerkonten, werden in der Delegationsoberfläche ausgeführt.<br />
<br />
<br />
*https://controller.mobile.lan/deleg/ <br />
*https://192.168.100.254/deleg/<br />
<br />
<br />
[[Datei:Interface_Deleg_URL.png|800px|thumb|center|Delegation]]<br />
<br />
<br />
<br />
=== Portal ===<br />
<br />
<br />
Der unten stehende Link wird in der URL-Suchleiste eingegeben. Das Portal wird für die Anmeldung von Kunden verwendet und wird automatisch geladen, wenn der User nicht angemeldet ist.<br />
<br />
<br />
*https://controller.mobile.lan/ <br />
*https://192.168.100.254/<br />
<br />
<br />
[[Datei:Interface_Portal_URL.png|800px|thumb|center|Portal]]<br />
<br />
<br />
== Schritt 3: Wie logge ich mich ein? ==<br />
<br />
<br />
Benutzerdaten für die Interfaces der Administration und Delegation sind, wie alle Securepoint Produkte, als Default Login: admin und Passwort: insecure. Nach dem Einloggen können Einstellungen und Konten konfiguriert werden.<br />
<br />
<br />
*Login: admin<br />
*Passwort: insecure<br />
<br />
<br />
[[Datei: Interface_Admin_login.png|800px|thumb|center|Administrationsoberfläche]]<br />
<br />
<br />
=== Delegationsoberfläche ===<br />
<br />
<br />
<br />
*Login: admin<br />
*Passwort: insecure<br />
<br />
[[Datei: Interface_Deleg_login.png|800px|thumb|center|Delegationsoberfläche]]<br />
<br />
<br />
== Schritt 4: Wie rufe ich eine Webseite auf? ==<br />
<br />
<br />
Der Default User „guest1“ ist vorkonfiguriert und kann zum Internetsurfen benutzt werden.<br />
<br />
<br />
*Login: guest1<br />
*Passwort: insecure<br />
<br />
<br />
[[Datei: Interface_Portal_login.png|800px|thumb|center|Login]]<br />
<br />
<br />
Internetsurfen<br />
<br />
[[Datei: Interface_Portal_google.png|800px|thumb|center|Login]]<br />
<br />
[[Kategorie:NAC]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_Handbuch&diff=4341Quick-Step Handbuch2013-05-02T10:48:52Z<p>Pascal: </p>
<hr />
<div>[[Kategorie: NAC]]<br />
<br />
'''Kostenloser, exzellenter, schneller, deutscher Support'''<br />
<br />
Bitte befolgen Sie diese Installationshilfe für die Securepoint Network Access Controller (NAC)<br />
Systeme und wenden Sie sich im Problemfall gern an den kostenlosen Support von Securepoint:<br />
<br />
<br />
'''Telefon: ++49 (0) 41 31 - 24 01 - 0''' <br />
<br />
(kostenloser Support für Fachhändler und Systemhäuser)<br />
<br />
<br />
oder schicken Sie eine E-Mail mit Angabe des Problems an:<br />
<br />
'''E-Mail: support@securepoint.de'''<br />
<br />
<br />
Sie können ebenfalls das Securepoint Support-Forum im Internet verwenden, wenn Sie Probleme<br />
oder Fragen haben:<br />
<br />
'''Securepoint Web-Support und Howtos unter dem Link Support:'''<br />
<br><br />
http://www.securepoint.de/<br />
<br />
'''Weitere Informationen, Handbücher und Howtos finden Sie online unter:<br />
<br><br />
http://download.securepoint.de -> Handbücher und Howtos:'''<br />
<br />
<br />
<br />
* Network Access Controller (NAC) Quick-Step Handbuch<br />
* Network Access Controller (NAC) Installation Guide<br />
* Network Access Controller (NAC) Administration Guide<br />
* Network Access Controller (NAC) Common Delegated Administration Guide<br />
* Network Access Controller (NAC) Common Portal Editor User Guide<br />
* Network Access Controller (NAC) Common Portal User Guide<br />
<br />
<br />
<br />
== NAC Anschließen ==<br />
<br />
Herzlichen Glückwunsch zum Erwerb einer Securepoint Network Access Controller (NAC) Lösung!<br />
<br />
===Positionierung im Netzwerk===<br />
<br />
Die Securepoint WLAN und Network Access Controller Lösungen sind Appliances, die mit zwei<br />
Ethernet-Karten zum Anschluss innerhalb Ihres Netzwerkes ausgestattet sind. Sie ermöglichen<br />
Ihnen auf einfache Weise, das LAN oder WLAN-Netzwerk zu schützen und Kunden/Mitarbeitern<br />
sehr einfach Dienste (Web, E-Mail, Zugriff auf Geschäftsprozesse) anbieten zu können.<br />
<br />
<br />
[[Datei:Topologie_QS.png|500px|thumb|center|Topologie]]<br />
<br />
<br />
<br />
Securepoint Network Access Controller NAC100, NAC200 und NAC400<br />
<br />
'''Die Default Gateway-Adresse der NAC ist 192.168.100.254'''<br />
<br />
'''DHCP ist als Default für die Interfaces LAN 1 / Eth0 (out) und LAN 2 / Eth1 (in) an.'''<br />
<br />
<br />
[[Datei:NAC100-Hardware.png|500px|thumb|center|NAC_100]]<br />
<br />
<br />
'''Hinweis:'''<br />
Beachten Sie, dass der Securepoint Network Access Controller auch zum sicheren Zugriff<br />
über verbundene Workstations zu der Securepoint UTM verwendet werden kann.<br />
<br />
Die schnelle Installation von Securepoint Network Access Controller (NAC) umfasst sieben Schritte:<br />
<br />
==Schritt 1: Installation==<br />
Die Securepoint NAC100, NAC200 und NAC400 Appliances werden zwischen dem Access Netzwerk<br />
(drahtlos oder verkabelt) und dem Unternehmens-LAN installiert. Der gesamte Datenverkehr zu<br />
oder von Benutzern wird durch die Securepoint NAC Appliance geleitet. Um dies zu erreichen, ist<br />
die Securepoint Appliance mit zwei Ethernet-Karten ausgestattet, die eine mit dem LAN, die andere<br />
auf den Access Point verbunden. Wir gehen davon aus, dass im Unternehmens-Netzwerk ein<br />
DHCP-Server verfügbar ist. (Die Default Gateway-Adresse der NAC ist 192.168.100.254. DHCP ist als<br />
Default für die Interfaces LAN 1 / Eth0 (OUT) und LAN 2 / Eth1 (IN) an.)<br />
<br />
1. Verbindung eines Ethernet-Netzwerkkabels mit der NAC Appliance Schnittstelle.<br />
LAN1 / Eth0 (out) verbunden mit dem LAN (das LAN, woran der DHCP/DNS-Server sich befindet).<br />
Siehe Abbildungen für NAC100/NAC200 und NAC400.<br />
<br />
2. Schließen Sie ein Ethernet-Kabel von der Schnittstelle LAN 2 /Eth1 (in) der Securepoint Appliance<br />
zu der drahtlosen und/oder verkabelten Access Point Infrastruktur (z. B.: der Switch, mit dem die<br />
Access Points verbunden sind).<br />
<br />
3. Stromversorgung mit 220 V oder 110 V.<br />
<br />
<br />
<br />
[[Datei:Topologie_1.png|900px|thumb|left|Nac 100, 200]]<br />
[[Datei:Topologie_Nac400.png|900px|thumb|right|Nac400]]<br />
<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br />
<br />
== Schritt 2: Anmelden an der NAC-Administrationsoberfläche ==<br />
<br />
1. Verbinden Sie Ihren Computer an der Securepoint NAC Appliance mit einer der hier<br />
beschriebenen Methoden:<br />
<br />
:a) Verbinden Sie Ihren Computer mit der Schnittstelle LAN 2 / Eth1 (in) auf der Securepoint<br />
NAC Appliance (mit einem Netzwerkkabel).<br />
<br />
:b) Verbinden Sie Ihren Computer mit einem Netzwerkkabel an den Switch, an dem der<br />
Access Point und die NAC-Appliance verbunden sind. Achtung: Wenn Ihr Switch VLAN<br />
unterstützt, muss der Computer die NAC auf den nativen VLAN erreichen können.<br />
<br />
:c) Verbinden Sie sich mit einem Access Point und Securepoint NAC Appliance mit der für<br />
den Zweck konfigurierten SSID.<br />
<br />
2. Starten Sie eine Internet-Browser-Sitzung mit der folgenden Adresse:<br />
<br />
'''https://controller.mobile.lan/admin'''<br />
<br />
Wenn Ihr DHCP-Server keine Adressen in das Firmennetzwerk (Seite LAN 1 / Eth0) verteilt, wird<br />
das Securepoint NAC System den Auto-IP-Mechanismus verwenden, um diese Aufgabe durchzuführen<br />
(die Adresse wird im Bereich 169.254.0.0/16 sein). Die Authentifizierungsseite<br />
wird angezeigt:<br />
<br />
[[Datei:NAC-Admin_login.png|500px|thumb|center|NAC_Login]]<br />
<br />
<br />
'''Hinweis:'''<br />
DHCP ist als Default für die Interfaces LAN 1 / Eth0 (out) und LAN 2 / Eth1 (in) an.<br />
<br />
==Schritt 2: Anmelden an der NAC-Administrationsoberfläche==<br />
<br />
3. Geben Sie Ihr Login und Passwort für die Authentifizierung ein. Die Standardeinstellung für das<br />
'''Login''' ist '''admin''' und das '''Kennwort''' ist '''insecure'''. Die Dokumentation um das Administratorkennwort<br />
zu ändern, finden Sie unter „Network Access Controller (NAC) Installation Guide“:<br />
<br><br />
http://faq.securepoint.de -> Handbücher und Howtos -> Network Access Controller (NAC)<br />
<br><br />
Die NAC-Willkommensseite wird angezeigt:<br />
<br />
[[Datei:NAC-Admin_no_Licence.png|500px|thumb|center|NAC_Lizenz]]<br />
<br />
4. Keine gültige Lizenz: Klicken Sie auf den roten Link:<br />
„You have no Securepoint license, or it is not valid“.<br />
<br />
<br />
'''Achtung:''' Die Webseite zeigt an, dass die Lizenz vorher installiert werden muss (siehe nächsten Abschnitt).<br />
<br />
==Schritt 3: Installation der NAC-Lizenz==<br />
<br />
Klicken Sie auf den Menüpunkt Operations in der Menüleiste, dann auf die Lizenz-Option in<br />
dem Menü links. Die Lizenz-Update-Seite wird angezeigt:<br />
<br />
[[Datei:NAC-Admin_Licence_Update.png|500px|thumb|center|NAC_Lizenz_Update]]<br />
<br />
'''Automatische Lizenz erstellen'''<br />
<br />
Sie können die Lizenz automatisch oder manuell (siehe nächste Seite) installieren. Die einfache und<br />
schnelle automatische Installation: Wenn Ihre NAC-Appliance mit dem Internet verbunden ist (mit<br />
DHCP konfiguriert oder festen Adressen), können Sie die Lizenz automatisch generieren.<br />
<br />
1. Geben Sie die Installations- und Unternehmens-Kontaktdaten ein.<br />
<br />
2. Klicken Sie auf die Button Install license. Achtung: Wenn die automatische Lizenz fehlschlägt,<br />
fahren Sie bitte mit der manuellen Installation fort (siehe die im Folgenden beschriebene manuelle<br />
Installation) und die Fehlermeldung als E-Mail-Anhang.<br />
<br />
'''Achtung:''' Die Erstellung einer manuellen Lizenz finden Sie auf der nächsten Seite!<br />
<br />
==Schritt 3: Installation der NAC-Lizenz==<br />
<br />
<br />
'''Manuelle Lizenz-Installation:'''<br />
<br />
'''Achtung:<br />
Die manuelle Lizenzinstallation kommt nur im Notfall zum Einsatz. Normalerweise wird die Lizenz online eingespielt.<br />
'''<br />
Zur manuellen Lizenz-Installation klicken Sie bitte auf das Kreuz Manual license update, siehe<br />
Screenshot. und folgen Sie den hier beschriebenen Anweisungen.<br />
<br />
[[Datei:NAC-Admin_Manual_Licence_Update.png|500px|thumb|center|NAC_Lizenz]]<br />
<br />
1. Notieren Sie sich die Seriennummer der Securepoint Appliance und senden Sie Ihre<br />
Kontaktinformationen an die Vertriebsabteilung von Securepoint per E-Mail:<br />
vertrieb@securepoint.de oder Telefon: 0049 (0) 41 31 - 24 01-0<br />
<br />
2. Securepoint stellt dann sofort eine neue Lizenzdatei für Sie aus.<br />
<br />
3. Verwenden Sie die Button Speichern, um die neue Lizenz auf dem Controller zu speichern.<br />
Nachdem die Lizenz gespeichert ist, wird eine Bestätigungsmeldung angezeigt, z. B.:<br />
Lizenz-Änderung erfolgreich. Neue Lizenz: Securepoint<br />
<br />
'''Hinweis:''' Die manuelle Lizenz-Installation benötigt einen Kontakt mit der<br />
Vertriebsabteilung, deshalb empfehlen wir die automatische Installation durchzuführen.<br />
Weitere Informationen finden Sie unter der Dokumentation „Network Access Controller<br />
(NAC) Installation Guide“:<br />
<br />
==Schritt 4: Konfiguration==<br />
<br />
Die Securepoint NAC100, NAC200 und NAC400 Modelle sind vorkonfiguriert für den sofortigen<br />
Einsatz. Die Standardeinstellung ist DHCP Modus. Die Access Point Mindestanforderungen müssen<br />
mit folgenden Informationen konfiguriert werden:<br />
<br />
1. Vergeben Sie dem „Standalone“ Access Point eine feste IP-Adresse (z. B.: 192.168.100.200).<br />
<br />
2. Definieren Sie eine SSID in Open-Zugriff für Verbindungen auf das NAC-Webportal.<br />
<br />
<br />
'''Hinweis:''' Wenn Sie die Securepoint NAC in den festen IP-Adressierungsmodus wechseln<br />
möchten, klicken Sie auf das Configuration Menü und dann Network und Outgoing<br />
VLAN. Wählen Sie VLAN 1 und klicken Sie dann auf die Button Modify.<br />
Die folgende Seite wird angezeigt:<br />
<br />
[[Datei:NAC_Outgoing_VLAN.png|500px|thumb|center|NAC_VLAN]]<br />
<br />
Sie können die Einstellungen eines ausgehenden VLANs beeinflussen, indem Sie das zu bearbeitende VLAN auswählen und dann auf "ändern" klicken.<br />
<br />
==Schritt 5: Benutzerprofil Definition==<br />
<br />
1. Klicken Sie in der Menüleiste auf den Menüpunkt Administration, um die Verwaltungsoberfläche<br />
anzuzeigen, dann im linken Menüpunkt auf Profile. Die folgende Seite wird angezeigt.<br />
<br />
[[Datei:NAC-Admin_Files_Management.png|500px|thumb|center|NAC_Files_Management]]<br />
<br />
2. Klicken Sie auf die Button Hinzufügen. Die folgende Seite wird angezeigt:<br />
<br />
[[Datei:NAC-Admin_Files_Management_2.png|500px|thumb|center|NAC_Files_Management]]<br />
<br />
==Schritt 5: Benutzerprofil Definition==<br />
<br />
3. Füllen Sie die Felder aus und bestätigen Sie das Profil durch Klicken auf die '''Button Confirm.<br />
Beispiel:''' So erstellen Sie ein Profil '''„Besucher“''' mit Zugriffsrechten auf Web- und Mail-Dienste,<br />
wie folgt:<br />
a) Geben Sie den '''„Gastnamen“''' im Feld '''Profil-ID''' (Dies ist ein Pflichtfeld).<br />
b) Wählen Sie '''Web-''' und '''Mail-'''Dienste aus der Liste der verfügbaren Dienste und fügen Sie sie<br />
durch Klicken auf die '''Button Add''' hinzu.<br />
c) Definieren Sie das Profil '''„Gültigkeit“''' im Bedienfeld '''Validity'''.<br />
d) Das Bedienfeld '''Zones''' ist optional und kann zunächst ignoriert werden.<br />
e) Bestätigen Sie das Profil durch Klicken auf die '''Button Confirm'''.<br />
<br />
==Schritt 6: Erstellen eines Benutzerkontos==<br />
<br />
1. Klicken Sie in der Menüleiste auf Administration, um die Verwaltungsoberfläche anzuzeigen,<br />
dann im linken Menüpunkt auf Users.<br />
<br />
[[Datei:NAC-Admin_Users_Management.png|500px|thumb|center|NAC_Users_Management]]<br />
<br />
2. Klicken Sie auf die Button Hinzufügen. Die folgende Seite wird angezeigt<br />
<br />
[[Datei:NAC-Admin_Users_Management_2.png|500px|thumb|center|NAC_Users_Management]]<br />
<br />
3. Füllen Sie die Felder aus und bestätigen Sie das Profil durch Klicken auf die '''Button Confirm.<br />
Beispiel:''' So erstellen Sie einen Benutzer John Smith mit einem Login „jsmith“ und ein<br />
Besucherprofil.<br />
<br />
:a) Geben Sie '''„jsmith“''' in das '''Feld Benutzer''' (Pflichtfeld) ein. Geben Sie den Nachnamen und<br />
den Vornamen des Benutzers ein. Geben Sie das Passwort für das zugehörige Konto im '''Feld<br />
Passwort''' (Pflichtfeld) ein.<br />
<br />
:b) Wählen Sie den Besucher aus der Liste der verfügbaren Profile. Das ausgewählte Profil zeigt<br />
die Informationen über die Dienste, die vom Profil autorisiert sind.<br />
<br />
:c) Der Nutzer erbt die Eigenschaften von seinem Benutzerprofil, sodass die Konto-Erstellung in<br />
dieser Phase abgeschlossen werden kann. Allerdings können Sie es mit vererbten Eigenschaften<br />
wie '''Gültigkeitsdauer, Zeit-Konto''' und '''Zeit-Kredit''' ergänzen.<br />
<br />
4. Bestätigen Sie durch Klicken auf die '''Button Confirm'''.<br />
<br />
==Schritt 7: Benutzeranmeldung==<br />
<br />
1. Sobald Sie sich mit dem WLAN-Netzwerk verbunden haben, starten Sie Ihren Web-Browser. Ganz<br />
gleich welche (gültig) Anfrage Sie durchführen, Sie werden automatisch auf das Securepoint<br />
NAC-Web-Portal weitergeleitet. Das Standard NAC-Web-Portal kann ganz einfach auf die<br />
Bedürfnisse des Kunden umgestaltet werden, um dessen Corporate Design einzuhalten.<br />
<br />
[[Datei:NAC_User_Portal.png|500px|thumb|center|NAC_User_Portal]]<br />
<br />
2. Geben Sie Ihr '''Login/ID''' und '''Passwort''' ein.<br />
<br />
3. Nachdem Sie authentifiziert wurden, wird die '''NAC-Willkommenswebseite''' Ihnen die<br />
Informationen zu Ihrem Benutzerprofil und nach dem Login die autorisierten Dienste (Web-,<br />
Email-Zugriff etc.) bereitstellen.<br />
<br />
[[Datei:NAC_User_Portal_Internet.png|500px|thumb|center|NAC_User_Portal]]<br />
<br />
4. Um die Verbindung zu trennen, schließen Sie das Fenster '''„Authentifizierung“''', oder klicken Sie<br />
auf die '''Button Trennen'''.</div>Pascalhttps://wiki.securepoint.de/index.php?title=Quick-Step_G%C3%A4ste_Authentifizierung_per_SMS&diff=3813Quick-Step Gäste Authentifizierung per SMS2013-04-03T09:14:43Z<p>Pascal: /* Wie registriere ich mich per SMS? */</p>
<hr />
<div>== Was sind die Ziele dieses Howto? ==<br />
<br />
Diese Quick-Step Anleitung behandelt die Konfiguration von externen Diensten wie SMS sowie die Anmeldung per SMS für Gäste. <br />
<br />
Achtung: Dieser SMS-Modus funktioniert nur mit einem SMS-Anbieter. Weitere Informationen finden Sie in dem Installationshandbuch oder kontaktieren Sie Securepoint.<br />
<br />
<br />
<br />
*Wie verbinde ich die NAC Appliance?<br />
*Wie rufe ich die Delegationsoberfläche auf?<br />
*Wie logge ich mich ein?<br />
*Wie registriere ich mich per SMS?<br />
*SMS Konfiguration<br />
*Account konfigurieren<br />
*User Portal Konfiguration<br />
<br />
== Schritt 1: Wie verbinde ich die NAC Appliance? ==<br />
<br />
<br />
Wie verbinde ich die NAC Appliance? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Wie_verbinde_ich_die_NAC_Appliance%3F]<br />
<br />
<br />
== Schritt 2: Wie rufe ich die Administrationsoberfläche auf? ==<br />
<br />
Wie rufe ich die Administrationsoberfläche auf?: Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Administrationsoberfl.C3.A4che]<br />
<br />
Wie logge ich mich ein? Siehe [http://wiki.securepoint.de/index.php/Quick-Step_Interface#Schritt_3:_Wie_logge_ich_mich_ein.3F]<br />
<br />
<br />
== Wie registriere ich mich per SMS? ==<br />
<br />
Benutzer können sich selbst auf dem Securepoint Portal registrieren, indem Sie ihre Handynummer bei der Registrierung angeben. Haben Sie dies gemacht, wird ihnen eine SMS, mit den Login-Daten zugesandt. Mit diesen Daten können Sie sich dann einloggen. <br />
Damit eine Registrierung per SMS überhaupt möglich ist, müssen Sie dies vorher in den Portaleinstellungen erlauben und entsprechend einrichten. Außerdem müssen Sie mindestens ein neues SMS-Konto erstellen.<br />
<br />
<br />
<br />
<br />
[[Datei:portal_sms_reg_1.png|500px|thumb|center|SMS-Einstellungen in den Portaloptionen]]<br />
<br />
[[Datei:portal_sms_reg_2.png|500px|thumb|center|Erstellung eines SMS-Kontos]]<br />
<br />
<br />
Unterstütze Provider sind:<br><br />
[http://www1.orange.ch/ Orange] <br><br />
[http://www.tm4b.com/ TM4B]<br><br />
[http://www.sms-box.de/ SMS-Box]<br><br />
[http://www.lesms.com/ leSMS]<br><br />
[http://www.smsenvoi.com/ SMSenvoi]<br><br />
[http://www.smskaufen.com/ SMSkaufen]<br><br />
[http://www.ecall.ch/ Ecall]<br><br />
[http://www.smsevents.de/ SMSEvents*]<br><br />
Andere: Hier können Sie einen SMS Provider eintragen der vorher nicht zur Auswahl stand. Da dieser nicht in unserer Liste eingetragen ist, könnte es passieren das der Provider ggf. nicht richtig mit der NAC zusammen arbeiten kann.<br />
<br />
*SMSEvents war in unseren Tests immer die erste Wahl.<br />
<br />
== SMS Konfiguration ==<br />
<br />
<br />
Nachdem das SMS-Konto erstellt wurde, melden Sie sich an der Administrationsoberfläche an (Link) und klicken Sie den Link SMS unter Configuration / External services an. Neue Accounts werden über den Button „Add“ eingerichtet.<br />
<br />
[[Datei:sms_admin_configuration_1.png|500px|thumb|center|Administration]]<br />
<br />
<br />
<br />
=== Account konfigurieren ===<br />
<br />
<br />
Unter SMS Account Configuration werden Ihre Daten für die registrierte SMS-Plattform eingetragen. <br />
<br />
<br />
[[Datei:sms_admin_configuration_2.png|500px|thumb|center|Administration]]<br />
<br />
'''SMS operator:''' Wählen Sie ein SMTP Operator aus dem Drop-Down Menü aus für die SMS-Messaging-Plattform. Die Registrierung mit der ausgewählten Plattform ist notwendig, um Login Informationen zu erhalten.<br />
'''Kontoanmeldung:''' Geben Sie hier den Namen des Kontos, den Sie auch für die Anmeldung verwenden, an.<br />
'''Konto Passwort:''' Geben Sie hier das Passwort des Kontos an.<br />
'''Kunde-ID:''' Legen Sie eine ID für den Kunden an, diese ID identifiziert den Kunden eindeutig.<br />
'''Vorlagen:''' Hier können Sie, für verschiedene Sprachen, jeweils eine SMS-Vorlage erstellen, welche der Kunde später nach seiner Registrierung erhält. In dieser SMS sind dann seine ID und sein Kennwort enthalten. Sie können Hier außerdem die Standardsprache festlegen, in der eine SMS versendet werden soll.<br />
<br />
=== Einstellungen testen ===<br />
<br />
<br />
Verwenden Sie die Test-Einstellungen-Schaltfläche, um die Richtigkeit der eingegebenen Daten zu überprüfen.<br />
<br />
<br />
[[Datei:sms_admin_configuration_test_settings.png|500px|thumb|center|Administration]]<br />
<br />
Geben Sie die Landesvorwahl und Telefonnummer ein.<br />
<br />
== User Portal Konfiguration ==<br />
<br />
<br />
Das User Portal kann jetzt konfiguriert werden, indem Sie das Portal mit dem Button Modify anpassen. Wählen Sie dazu den Link Captive Portal unter Configuration / Customization. <br />
<br />
[[Datei:sms_admin_configuration_captiveportal_1.png|500px|thumb|center|Administration]]<br />
<br />
Wichtige Optionen für die SMS-Anmeldung werden unter Functionning Mode je nach vorkonfiguriertem SMS-Anbieter im Dropdown Menü ausgewählt.<br />
<br />
[[Datei:sms_admin_configuration_captiveportal_2.png|500px|thumb|center|Administration]]<br />
<br />
<br />
Entscheiden sich die Benutzer für die SMS-Registration, sieht das anzuzeigende Portal wie folgt aus:<br />
<br />
[[Datei:sms_registration_portal.png|500px|thumb|center|Portal: SMS-Registration]]</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=3644UTM/VPN/SSL VPN-S2S v11.7.32013-02-11T14:53:58Z<p>Pascal: /* Einrichtung des Clients */</p>
<hr />
<div>{{v11}}<br />
<br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. Um das zu verhindern, müssen Sie den privaten Schlüssel aus der exportierten CA löschen.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der UTMv11 haben Sie die Möglichkeit mehrere Instanzen des OpenVPN-Servers laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client über die CLI. In der UTMv11 können Sie in der GUI mit einem Klick sagen ob Sie eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der UTM v11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 252 IPs (2^8 minus Netzadresse, minus Broadcast-Adresse, minus Adresse für den OpenVPN-Server) zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf Fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie unter Anwendungen > Anwendungsstatus ob der SSL VPN Server gestartet ist.<br />
Hat der Dienst "SSL-VPN" eine grüne "Lampe", so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktiviert ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Client-Netzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie"Netzwerk" aus.<br />
*Die Zone lautet "vpn-openvpn-<Name des Remote Client Profils>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun folgende Firewall-Regeln <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Step1]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Step2]]<br><br />
*Belassen Sie die MTU auf 1500 (Sollten Sie den Wert auf dem Server angepasst haben, muss dieser Wert mit dem auf dem Client übereinstimmen)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne "Lampe", dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktivert ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ...10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Netzwerkobjekt erstellen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist "vpn-openvpn-<Name des Openvpn Servers>"<br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Regelwerk auf dem Client]]<br><br />
*Erstellen Sie nun das folgende Firewall-Regeln<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT<br />
<br />
===Besonderheiten===<br />
Sollte auf der Firewall, welche als Client fungiert, bereits ein Openvpn Tunnel angelegt sein und der Openvpn Server <b>NICHT</b> auf Port 1194 läuft. So muss auf Seiten des Clients die Config per Hand verändert werden.<br />
Dazu verbinden Sie sich mit Putty zur Firewall und melden sich mit einem Administrator an.<br />
* Führen Sie den Befehl "openvpn remote get" aus. <br />
* Danach den Befehel "openvpn remote set id "X" hosts andihome.spdns.de:Y" <br />
<br />
Für X tragen Sie nun die ID des passenden Eintragen vom 1. Befehl ein.<br />
Für Y tragen Sie den Port des Servers ein.<br />
<br />
Beispiel: openvpn remote set id "1" hosts securepoint_test.spdns.de:1198<br><br />
Hier wird nun der 1. Eintrag auf die Remote Adress securepoint_test.spdns.de gesetzt und die Firewall verwendet nun Port 1198.<br />
<br />
Starten Sie nach diesen Änderungen den Openvpn Server neu.</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2593UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:09:12Z<p>Pascal: /* SSL VPN */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Step1]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Step2]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Netzwerkobjekt erstellen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Regelwerk auf dem Client]]<br><br />
*Erstellen Sie nun das Regelwerk<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2592UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:08:48Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Netzwerkobjekt erstellen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Regelwerk auf dem Client]]<br><br />
*Erstellen Sie nun das Regelwerk<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2591UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:07:59Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Alternativer Text]]<br><br />
*Erstellen Sie nun das Regelwerk<br><br />
NetObj_Ovpn_Server > Internal Networks > any > ACCEPT<br><br />
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2590UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:05:40Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
*Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Alternativer Text]]<br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2589UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:05:15Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
[[Datei:Client_regelwerk.png|200px|thumb|left|Alternativer Text]]<br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_regelwerk.png&diff=2588Datei:Client regelwerk.png2012-10-31T10:04:38Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2587UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:04:00Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
[[Datei:Client_NetObj.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_NetObj.png&diff=2586Datei:Client NetObj.png2012-10-31T10:03:22Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2585UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:02:50Z<p>Pascal: /* Routen */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|600px|thumb|left|Routen auf dem Client]]<br><br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2584UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T10:00:46Z<p>Pascal: /* Routen */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Client_routen.png|200px|thumb|left|Routen auf dem Client]]<br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_routen.png&diff=2583Datei:Client routen.png2012-10-31T10:00:05Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2582UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:59:33Z<p>Pascal: /* Routen */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2581UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:58:39Z<p>Pascal: /* SSL VPN */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2580UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:58:29Z<p>Pascal: /* SSL VPN */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br><br><br><br><br><br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2579UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:58:14Z<p>Pascal: /* SSL VPN */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site Client“.<br />
[[Datei:Client_step1.png|200px|thumb|left|Alternativer Text]]<br><br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br><br><br><br><br><br><br><br />
[[Datei:Client_step2.png|200px|thumb|left|Alternativer Text]]<br><br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_step2.png&diff=2578Datei:Client step2.png2012-10-31T09:57:17Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_step1.png&diff=2577Datei:Client step1.png2012-10-31T09:56:14Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2576UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:55:33Z<p>Pascal: /* Zertifikate */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br><br><br><br><br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2575UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:55:08Z<p>Pascal: /* Zertifikate */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br><br />
[[Datei:Client_ca_import.png|200px|thumb|left|CA Importieren]]<br><br />
*Importieren Sie die CA.<br />
*Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Client_ca_import.png&diff=2574Datei:Client ca import.png2012-10-31T09:53:49Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2573UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:52:11Z<p>Pascal: /* Regelwerk */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
VPN_Implizite_Regeln.png<br />
[[Datei:VPN_Implizite_Regeln.png|200px|thumb|left|Implizite Regel für Openvpn]]<br><br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
<br><br><br><br><br><br />
[[Datei:NetzObj anlegen server.png|200px|thumb|left|Netzwerkobjekt anlegen]]<br><br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br><br><br><br><br><br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
[[Datei:Ovpn Server regelwerk.png|200px|thumb|left|Regelwerk auf dem Server]]<br><br />
Erstellen Sie nun das Regelwerk <br><br />
NetObj_Ovpn_Client > Internal Networks > any > ACCEPT<br><br />
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT<br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:VPN_Implizite_Regeln.png&diff=2572Datei:VPN Implizite Regeln.png2012-10-31T09:47:04Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Ovpn_Server_regelwerk.png&diff=2571Datei:Ovpn Server regelwerk.png2012-10-31T09:43:33Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2568UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:37:19Z<p>Pascal: /* Routen */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|600px|thumb|left|Server Route]]<br />
<br><br><br><br><br><br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
Erstellen Sie nun das Regelwerk <br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT<br><br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2567UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:35:46Z<p>Pascal: /* Routen */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
Server_Route_anlegen.png<br />
[[Datei:Server_Route_anlegen.png|200px|thumb|left|Server Route]]<br />
*Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk<br />
(Sollte dies Ihre erste Openvpn Server Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1..... 10. Instanz ist tun9 etc.)<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
Erstellen Sie nun das Regelwerk <br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT<br><br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Server_Route_anlegen.png&diff=2566Datei:Server Route anlegen.png2012-10-31T09:32:25Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2565UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:31:50Z<p>Pascal: /* SSL VPN Server einrichten */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Step 1]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Step 2]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Step 3]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
Erstellen Sie nun das Regelwerk <br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT<br><br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2564UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:29:33Z<p>Pascal: /* SSL VPN Server einrichten */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN.<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
[[Datei:Server_Step1.png|200px|thumb|left|Alternativer Text]]<br />
<br><br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step2.png|200px|thumb|left|Alternativer Text]]<br />
<br><br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
<br><br><br><br><br><br><br />
[[Datei:Server_Step3.png|200px|thumb|left|Alternativer Text]]<br />
<br><br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br><br><br><br><br><br><br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
Erstellen Sie nun das Regelwerk <br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT<br><br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Server_Step3.png&diff=2563Datei:Server Step3.png2012-10-31T09:27:40Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Server_Step2.png&diff=2562Datei:Server Step2.png2012-10-31T09:27:07Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=Datei:Server_Step1.png&diff=2561Datei:Server Step1.png2012-10-31T09:25:59Z<p>Pascal: </p>
<hr />
<div></div>Pascalhttps://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S_v11.7.3&diff=2559UTM/VPN/SSL VPN-S2S v11.7.32012-10-31T09:23:41Z<p>Pascal: /* Zertifikate */</p>
<hr />
<div><br />
== Einrichtung des SSL VPN Servers ==<br />
<br />
=== Zertifikate ===<br />
Als erstes benötigen Sie Zertifikate für das Openvpn, daher ist dies der erste Schritt den wir machen.<br />
*Gehen Sie dafür auf Authentifizierung > Zertifikate.<br />
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]<br />
*Erstellen Sie ihre CA.<br />
**Klicken Sie auf "+ CA hinzufügen".<br />
**Geben Sie dem CA einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Füllen Sie die anderen Felder entsprechend aus.<br />
**Speichern Sie die CA.<br />
<br><br><br><br><br><br><br><br><br><br><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.<br />
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]<br />
*Nun erstellen Sie ein Server und ein Client Zertifikat.<br />
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).<br />
**Wähen Sie unter CA das eben erstellte CA -Zertfikat aus.<br />
**Füllen Sie die restlichen Felder aus.<br />
**Alias bleibt auf "none".<br />
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.<br />
<br><br><br><br><br><br><br><br><br><br><br />
<br />
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf den Client importiert).<br />
<br><br />
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.<br />
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.<br />
<br />
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.<br />
:Es öffnet sich ein Kontextmenü. <br />
<br><br />
<br />
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]<br />
*Klicken Sie auf ''Öffnen''.<br />
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.<br />
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.<br />
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.<br />
*Bestätigen Sie mit ''OK''.<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br />
<br />
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.<br />
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).<br />
*''Speichern'' Sie dann die Datei.<br />
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]<br />
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]<br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br><br><br><br><br />
<br />
=== SSL VPN Server einrichten ===<br />
In der Version 11 haben Sie die Möglichkeit mehrere Instanzen vom Openvpn laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client. In der V11 können Sie in der GUI mit einem Klick sagen ob Sie nun eine Client- oder eine Serverkonfiguration erstellen möchten. <br />
*Gehen Sie dafür als erstes auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site-Server“<br />
*Geben Sie dem Server einen Namen ein.<br />
*Wählen Sie das Protokoll aus.<br />
*Der Port wird automatisch selbst gesetzt.<br />
*Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.<br />
*Als letztes geben Sie dem Server die IP 192.168.250.1/24.<br />
*Klicken Sie auf weiter.<br />
Nun erstellen Sie das Client Profil<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.<br />
*Als Subnetz geben Sie das Netzwerk hinter dem Client an.<br />
*Klicken Sie auf weiter.<br />
*Die MTU lassen Sie auf 1500.<br />
*Klicken Sie auf fertig.<br />
<br />
Überprüfen Sie ob der SSL VPN Server gestartet ist.<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat der Dienst "SSL-VPN" eine grüne Lampe, so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
=== Routen ===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
<br />
=== Regelwerk ===<br />
*Gehen Sie auf Firewall > Implied Rules > VPN<br />
*Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen Sie Netzwerk aus<br />
*Die Zone lautet vpn-openvpn-<Name des Remote Client Profils><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br><br />
Erstellen Sie nun das Regelwerk <br><br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br><br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT<br><br />
<br />
== Einrichtung des Clients ==<br />
<br />
===Zertifikate===<br />
*Gehen Sie auf Authentifizierung > Zertifikate<br />
*Importieren Sie die CA und das Client Zertifikat.<br />
<br />
===SSL VPN===<br />
*Gehen Sie auf VPN > SSL VPN<br />
*Klicken Sie auf „Site-to-Site Client“<br />
*Geben Sie der Verbindungen einen Namen.<br />
*Geben Sie den Remotehost an.<br />
*Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)<br />
*Wählen Sie das Client Zertifikat aus.<br />
*Klicken Sie auf Weiter<br />
*Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)<br />
*Klicken Sie auf Fertig<br />
<br />
Überprüfen Sie ob der SSL Server gestartet ist<br />
Dies machen Sie über Anwendungen > Anwendungsstatus.<br />
Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).<br />
<br />
===Routen===<br />
*Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing<br />
*Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk<br />
<br />
===Regelwerk===<br />
*Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.<br />
*Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).<br />
*Geben Sie einen Namen an<br />
*Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.<br />
*Als Typ wählen sie Netzwerk aus<br />
*Die Zone ist vpn-openvpn-<Name des Openvpn Servers><br />
<br />
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter<br />
Erstellen Sie nun das Regelwerk<br />
<br />
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT<br />
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT</div>Pascal