|
|
(102 dazwischenliegende Versionen von 11 Benutzern werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| {{v11}} | | {{Archivhinweis|UTM/VPN/IPSec-S2S}} |
| | {{DISPLAYTITLE:IPSec Site-to-Site}} |
|
| |
|
| ==Einleitung== | | == Informationen == |
| | | Letze Anpassung zur Version: '''11.7''' |
| Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.
| |
|
| |
| Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.
| |
| | |
| Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
| |
| Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[grafische Übersicht möglicher IPSec Verbindungen| Grafische Übersicht möglicher IPSec Verbindungen]].
| |
| | |
| Die Einstellungen können entweder über das Web-Interface oder über das Securitiy Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.
| |
| | |
| == Mit der Appliance verbinden ==
| |
| | |
| Öffnen Sie einen Webbrowser und rufen Sie das Administrations-Webinterface der Securepoint Appliance auf. Die Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Haben Sie die Grundeinstellungen beibehalten, lautet die Adresse:
| |
| | |
| https://192.168.175.1:11115
| |
| Beachten Sie, dass Sie das Protokoll HTTPS verwenden müssen.
| |
| | |
| Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, werden Sie von Ihrem Webbrowser gefragt, ob Sie den Ladevorgang fortsetzen möchten.
| |
| | |
| Bestätigen Sie diese Sicherheitsabfrage.
| |
| | |
| Loggen Sie sich auf der Startseite mit Ihrem Benutzernamen und Ihrem Kennwort ein.
| |
| | |
| Werkseinstellung:
| |
| | |
| Benutzername: admin <br>
| |
| Kennwort: insecure
| |
| | |
| [[Datei:login.png|none|thumb|300px|Login]]
| |
| | |
| == Das Anlegen von Netzwerkobjekten ==
| |
| Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.
| |
| | |
| Wenn Sie eine dynamische Adresse benutzen und einen DynDNS Dienst nutzen, stellen Sie sicher, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. Ist diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.
| |
| | |
| === Netzwerkobjekt anlegen ===
| |
| Klicken Sie auf der Navigationsleise auf den Punkt Firewall und wählen Sie den Eintrag Portfilter vom Dropdownmenü. Anschließen wählen Sie im Fenster den Tab Netzwerkobjekte.
| |
| | |
| Folgende Objekte sind vorkonfiguriert:
| |
| | |
| External Interface, Internal Interface, Internet, Internal Network, internal-network, dmz1-interface, dmz1-network
| |
| | |
| * Legen Sie ein Netzwerkobjekt für das IPSec Netzwerk an, indem Sie auf den Button Objekt hinzufügen klicken.
| |
| * Tragen Sie im Feld Name eine Bezeichnung für das IPSec-Netzwerk ein
| |
| * Wählen Sie als Typ VPN-Netzwerk und tragen Sie unter IP-Adresse die IP-Adresse des IPSec Netzwerkes ein.
| |
| * Als Zone wählen Sie vpn-ipsec aus.
| |
| * Sichern Sie die Einstellungen mit dem Button Speichern.
| |
| | |
| | |
| [[Datei:netzwerkobjekt.png|none|thumb|300px|Netzwerkobjekt]]
| |
| | |
| === VPN-Verbindung anlegen ===
| |
| | |
| Zum Erstellen der IPSec-VPN-Verbindung nutzen Sie den Assistenten, der Sie durch den Erstellungsvorgang führt.
| |
| <br><br>
| |
| * Klicken Sie in der Navigationsleiste auf den Punkt VPN und im Dropdownmenü auf den Eintrag IPSec Assistent.
| |
| * Klicken Sie nun unten auf den Button Site-to-Site.
| |
| :Der Site-to-Site-Assistent öffnet sich
| |
| * Tragen Sie in das Feld den Namen für die IPSec-Verbidung ein.
| |
| * Tragen Sie in das Feld Remote Gateway die IP-Adresse oder den Hostnamen des entfernten Gateways ein.
| |
| * Klicken Sie auf Weiter.
| |
| | |
| :[[Datei:ipsec_wiz_step1.png|none|thumb|350px|Assistent 1 - Name+Gateway]] | |
| <br>
| |
| * Wählen Sie nun Ihre gewünschte Authentifizierung. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
| |
| * Tragen Sie den Pre-Shared-Key ein.
| |
| * Wählen Sie nun zwischen IKE v1 und IKE v2
| |
| :Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel. Die Komplexität dieses Protokolls erschwert die Konfiguration einer IPSec-Verbindung gerade mit verschiedenen Endgeräten.
| |
| Die neue Version des IKE-Protokolls (IKEv2) entschärft diese Komplexität, ermöglicht einen schnelleren Verbindungsaufbau und eine stabilere Verbindung. Mittlerweile wird diese Version von vielen Programmen unterstützt und ist auch in Microsoft Windows 7 implementiert.
| |
| Es wird empfohlen, IKEv2 zu benutzen, außer wenn die Gegenstelle diese Version nicht unterstützt.
| |
| * Klicken Sie auf weiter.
| |
| | |
| :[[Datei:ipsec_wiz_step2.png|none|thumb|350px|Assitent 2 -Authentifizierung]]
| |
| | |
| Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.
| |
| <br> | | <br> |
| * Geben Sie im Feld Local Gateway ID den zu benutzenden Wert für die lokale Appliance ein. Wählen Sie diesen entweder aus dem Dropdownfeld oder klicken Sie auf den Werkzeugschlüssel und tippen den gewünschten Wert in das Feld ein.
| | Bemerkung: Funktions- und Designanpassung |
| * Geben Sie im Feld Remote Gateway ID den zu benutzenden Wert für die Gegenstelle ein. Wählen Sie diesen entweder aus dem Dropdownfeld oder klicken Sie auf den Werkzeugschlüssel und tippen den gewünschten Wert in das Feld ein.
| |
| :[[Datei:ipsec_wiz_step3.png|none|thumb|350px| Assistent 3 - Gateway ID]]
| |
| | |
| <br> | | <br> |
| Im letzten Schritt geben Sie noch die Netzwerke an, die miteinander verbunden werden sollen.
| | Vorherige Versionen: [[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]] |
| <br> | | <br> |
| * Geben Sie im Feld Lokales Netzwerk die IP-Adresse des lokalen Netzwerkes, welches über die VPN-Verbindung erreichbar sein soll an.
| |
| * Geben Sie die IP-Adresse des entfernten Netzwerkes im Feld Remote-Netzwerk an. .
| |
| * Klicken Sie dann auf Fertig.
| |
|
| |
|
| :[[Datei:ipsec_wiz_step4_2.png|none|thumb|350px|Assistent 4 - zu verbindende Netze]]
| | ==Einleitung== |
|
| |
|
| === Regeln erstellen ===
| | Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander. |
| Es muss mit einer Regel erlaubt werden, dass das externe Interface aus dem Internet per VPN erreichbar ist und dass die IPSec-VPN-Clienten mit dem internen Netzwerk kommunizieren dürfen. Erstere Regel ist schon ab Werk voreingestellt. Die Erstellung wird trotzdem beschrieben.
| | Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle. |
| | |
| | Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden. |
|
| |
|
| | == Konfiguration einer IPSec Site-to-Site Verbindung == |
| | Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden. |
| | <div> |
| | </div> |
| | <div style="clear: both;"></div> |
| | ===Einrichtungsassistent=== |
| | ====Schritt 1==== |
| | [[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]] |
| | <br> |
| | Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung. |
| | *Roadwarrior |
| | *'''Site to Site''' |
| | Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt. |
| | <div style="clear: both;"></div> |
|
| |
|
| * Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdownmenü auf den Eintrag Portfilter.
| | ====Schritt 2==== |
| * Klicken Sie im Portfilterdialog auf den Button Regel hinzufügen.
| | [[Datei:IPSec_S2S_Schritt_2.png |350px|thumb|right| Einrichtungsschritt 2]] |
| * Wählen Sie in der Liste Quelle das Netzwerkobjekt Internet, in der Liste Ziel das External Interface und als Dienst den Eintrag ipsec.
| |
| * Als Aktion muss der Eintrag ACCEPT gewählt werden.
| |
| * Die Checkbox Aktiv muss ebenfalls aktiviert sein.
| |
| * Wählen Sie im Feld Logging zwischen den Protokollierungsmethoden NONE, MEDIUM und ALL.
| |
| * Im Feld Quality of Service (QoS) können Sie die Bandbreite für die Regel beschränken bzw. zusichern.
| |
| * Im Feld Rule routing können Sie die Regeln an ein bestimmtes Interface binden.
| |
| | |
| Dies ist nötig, wenn Sie mehrere Internetverbindungen nutzen. Zur korrekten Funktion müssen die VPN-Pakete immer über das gleiche Interface versendet und empfangen werden, damit kein Datenpaket verworfen wird.
| |
| | |
| * Auf der Registerkarte Zeit, können Sie den Geltungszeitraum pro Tag einschränken.
| |
| * Auf der Registerkarte Beschreibung können Sie eine Beschreibung für die Regel eintragen.
| |
| * Beim Überfahren der Netzwerkobjekte mit der Maus, wird Ihnen die zugehörigen Netzwerkobjekte und deren IP-Adressen und Zonen angezeigt.
| |
| * Klicken Sie auf Speichern.
| |
| | |
| | |
| * Für die zweite Regel klicken Sie ein weiteres Mal auf den Button Regel hinzufügen.
| |
| * Wählen Sie diesmal als Quelle das IPSec-Netz.
| |
| * Suchen Sie als Ziel das interne Netzwerk aus.
| |
| * Als Dienst verwenden Sie any.
| |
| * Klicken Sie auf Speichern.
| |
| | |
| === Einstellungen === | |
| Stellen Sie jetzt die globalen Einstellungen für IPSec-Verbindungen ein. Sie finden diese in der Navigationsleiste unter dem Punkt VPN über den Eintrag globale IPSec Einstellungen.
| |
| | |
| Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.
| |
| | |
| Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten Sie keinen eigenen DNS-Server betreiben, können Sie auch öffentliche DNS-Server verwenden, die Sie über eine Suchmaschine im Internet finden können.
| |
| | |
| [[Datei:ipsec_global_allgemein.png|left|thumb|300px|globale IPSec Einstellungen]] | |
| [[Datei:ipsec_global_IKEv2.png|right|thumb|300px|globale Nameserver Einstellungen]]
| |
| | |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br> | | <br> |
| | Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. |
| | Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen. |
| | Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll. |
| | <div style="clear: both;"></div> |
| | ====Schritt 3==== |
| | [[Datei:IPSec S2S Schritt 3.png |350px|thumb|right| Einrichtungsschritt 3]] |
| <br> | | <br> |
| | Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden. |
| | Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll. |
| | Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. |
| | <div style="clear: both;"></div> |
| | ====Schritt 4==== |
| | [[Datei:IPSec_Schritt_4_Gegenstelle.png |350px|thumb|right| Einrichtungsschritt 4]] |
| <br> | | <br> |
| <br>
| | Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen. |
| <br>
| | Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben. |
| <br>
| | Danach kann der Einrichtungsassistent abgeschlossen werden. |
| <br> | | <div style="clear: both;"></div> |
| <br>
| | ===Regelwerk=== |
| <br> | |
| | |
| === Anpassen der IPSec Verbindung === | |
| | |
| IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.
| |
| | |
| * Klicken Sie in der Navigationsleiste auf den Punkt VPN und in dem Dropdownmenü auf den Eintrag IPSec.
| |
| :Es erscheint der Dialog IPSec Verbindungen.
| |
| | |
| :Hier sind alle angelegten IPSec-Verbindungen ausgelistet.
| |
| [[Datei:ipsec_connections.png|right|thumb|300px|Auflistung der IPSec-Verbindungen]]
| |
| | |
| | |
| * Von hier aus gelangen Sie zu den Parametern der Phase 1 und 2. Außerdem könnenSie am Ende jeder Zeile den Status der Verbindung einsehen und die Verbindung Löschen.
| |
| * Mit dem Button Laden werden die Verbindungsparameter neu geladen.
| |
| * Der Button Initiieren startet die Verbindung.
| |
|
| |
|
| | [[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizite Regeln]] |
| <br> | | <br> |
| | Unter Firewall -> Implizite Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Impliziten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. |
| | <div style="clear: both;"></div> |
| | [[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizite Regeln]] |
| <br> | | <br> |
| <br>
| | Unter Implizite Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus. |
| <br>
| | <div style="clear: both;"></div> |
| <br> | |
| <br>
| |
| <br>
| |
| <br>
| |
| <br> | |
|
| |
|
| === Phase 1 ===
| |
| Unter den allgemeinen Einstellungen der Phase 1 sind die Werte für den ersten Verbindungsaufbau eingetragen. Die Art der Authentifizierung und die dazu gehörigen Angaben sind ebenfalls hier abgelegt. Es können noch allgemeine Einstellungen zur Verbindung gemacht werden (Initiator, Dead Peer Detection, Rekeying).
| |
|
| |
|
| [[Datei:tabelle_phase1.png|left|thumb|450px]]
| | ==== Netzwerkobjekt anlegen ==== |
| [[Datei:phase1_allgemein_2.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]] | | [[Datei:IPSec_Netzwerkobjekt_anlegen.png|thumb|300px|Netzwerkobjekt]] |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br> | | <br> |
| | Sollte unter dem Punkt Implizite Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. |
| | Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden. |
| | * Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird. |
| | * Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen. |
| | * Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen. |
| | * Als Zone wird vpn-ipsec ausgewählt. |
| | <div style="clear: both;"></div> |
| | ==== Portfilterregel anlegen ==== |
| | [[Datei:IPSec Regel erstellen.png|thumb|350px|Portfilterregel]] |
| <br> | | <br> |
| | Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen. |
| | * Als Quelle wird das interne Netzwerk ausgewählt. |
| | * Als Ziel wird das IPSec-Netzwerk ausgewählt. |
| | * Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt. |
| | * Falls unter den impliziten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt. |
| | <div style="clear: both;"></div> |
| | ====Regeln und Routing==== |
| | [[Datei:UTM_v11.8.5_Firewall_Regel-IPSEC.png|center|700px|IPSec-Regeln]] |
| <br> | | <br> |
| | <div style="clear: both;"></div> |
| | <div> |
| | <div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div> |
| | <div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Als Dienst muss der benötigte Dienst ausgewählt werden.</span></div> |
| | </div> |
| | <div style="clear: both;"></div> |
|
| |
|
| | === Konfiguration des zweiten Gateways === |
| | <div> |
| | <div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-red.png]] </div> |
| | <div style="display: flex;"><span style="background-color: #bc1b18;padding:10px;border-radius:4px;font-weight:bold;color:white">Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.</span></div> |
| | </div> |
| | <div style="clear: both;"></div> |
|
| |
|
| Auf der Registerkarte IKEv1 werden die Daten für die Verschlüsselung gespeichert. Ist für die Verbindung die zweite Version von IKE gewählt, ändert sich lediglich der Titel des Dialogs zu IKEv2. Standardmäßig ist der Algorithmus 3DES ausgewählt. Diese Verschlüsselung sollte allerdings nicht mehr gewählt werden. Er ist nur ausgewählt, um die Verbindung zu Gegenstellen zu ermöglichen, die die anderen Verschlüsselungsalgorithmen nicht unterstützen.
| |
|
| |
|
| [[Datei:tabelle2_phase1.png|left|thumb|450px]]
| | Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden. |
| [[Datei:phase1_ike.png|right|thumb|350px|Allgemeine Einstellungen für Phase 1]]
| | * Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt. |
| <br>
| | * Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt. |
| <br>
| | * Portfilterregeln werden erstellt. |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
|
| |
|
| === Phase 2 ===
| |
| In der Phase zwei werden die Daten zu der Verschlüsselung des eigentlichen Verbindungsschlüssels gespeichert.
| |
|
| |
|
| [[Datei:tabelle_phase2.png|left|thumb|450px]]
| | Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. |
| [[Datei:phase2_allgemein.png|right|thumb|350px|Allgemeine Einstellungen der Phase 2]]
| | Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.). |
| <br>
| | Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. |
| <br>
| | Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen. |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
| <br>
| |
|
| |
|
| === Konfiguration des zweiten Gateways === | | ===Hinweise=== |
| | | ====Der transparente HTTP-Proxy==== |
| Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.
| | Wenn von der aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtern. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss ein '''Exclude''' mit der Quelle '''internal-network'''' zum Ziel '''name-vpn-netzwerk-objekt'''' und dem Protokoll '''HTTP''' erstellt werden. |
|
| |
| * Erstellen Sie ein Netzwerkobjekt für das IPSec-Netzwerk.
| |
| * Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die gleiche IKE-Version zu benutzen.
| |
| * Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.
| |
| * Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung einstellen.
| |
| :Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.
| |
| * Starten Sie anschließend den IPSec Dienst neu, damit die Änderungen wirksam werden.
| |
|
| |
|
| |
| Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
| |
| Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
| |
| Die Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen.
| |
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty Der Artikel für die neueste Version steht hier
notempty Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
Informationen
Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.12
Einleitung
Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.
Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.
Konfiguration einer IPSec Site-to-Site Verbindung
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.
Einrichtungsassistent
Schritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
Für die Konfiguration einer Site to Site Verbindung wird diese ausgewählt.
Schritt 2
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt.
Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
Außerdem wird hier ebenfalls die IKE Version bestimmt, die genutzt werden soll.
Schritt 3
Lokale Einstellungen für die Site to Site Verbindung können im Schritt 3 getätigt werden.
Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
Schritt 4
Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen.
Hier wird das Remote Gateway, die Remote Gateway ID sowie das lokale Netzwerk der Gegenstelle angegeben.
Danach kann der Einrichtungsassistent abgeschlossen werden.
Regelwerk
Unter Firewall -> Implizite Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Impliziten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.
Unter Implizite Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
Netzwerkobjekt anlegen
Sollte unter dem Punkt Implizite Regeln -> IPSec -> Accept nicht aktiviert sein, so müssen Portfilterregeln erstellt werden um den Traffic zwischen den zu verbindenden Netzen zu erlauben. Dafür muss zuerst ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden.
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
- Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
- Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
- Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite eingetragen.
- Als Zone wird vpn-ipsec ausgewählt.
Portfilterregel anlegen
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem lokalen Netzwerk in das IPSec-Netzwerk zuzulassen.
- Als Quelle wird das interne Netzwerk ausgewählt.
- Als Ziel wird das IPSec-Netzwerk ausgewählt.
- Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
- Falls unter den impliziten Regeln nicht schon aktiviert, wird hier noch der Eintrag NAT auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehende Interface ausgewählt.
Regeln und Routing
Als Dienst muss der benötigte Dienst ausgewählt werden.
Konfiguration des zweiten Gateways
Hierbei ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.
Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.
- Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt.
- Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt.
- Portfilterregeln werden erstellt.
Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen.
Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.
Hinweise
Der transparente HTTP-Proxy
Wenn von der aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtern. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit das nicht passiert, muss ein Exclude mit der Quelle internal-network' zum Ziel name-vpn-netzwerk-objekt' und dem Protokoll HTTP erstellt werden.