Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(47 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/VPN/SSL_VPN-Roadwarrior}}
{{Set_lang}}
{{Set_lang}}


Zeile 13: Zeile 14:
|w=40px}}
|w=40px}}
<br>
<br>
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]], [[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]]
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]] '''|''' [[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]] '''|''' [[UTM/VPN/SSL VPN-Roadwarrior_v11.7.1 | 11.7.1]]
<br>
<br>


Zeile 26: Zeile 27:
=== Roadwarrior Konfiguration ===
=== Roadwarrior Konfiguration ===


{{Hinweis| !! Für die Einrichtung des Roadwarrior wird eine CA, ein Server-
{{Hinweis| !! Für die Einrichtung des Roadwarrior wird eine CA, ein Server- und ein User-Zertifikat benötigt. }}
und ein User-Zertifikat benötigt. }}




Zeile 93: Zeile 93:
<p>In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.</p>
<p>In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.</p>
<p>Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: {{Button| Neustarten|renew}}<br>
<p>Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: {{Button| Neustarten|renew}}<br>
{{Hinweis|!|r}} Dabei werden alle SSL-VPN Tunnel unterbrochen!</p>
{{Hinweis|!|r}} Dabei werden alle SSL-VPN-Tunnel unterbrochen!</p>
<p>{{Hinweis| !|gr}} Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!</p>
<p>{{Hinweis| !|gr}} Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!</p>


<div style="clear: both;"></div>
<div style="clear: both;"></div>
 
----


==== Regelwerk ====
==== Regelwerk ====
[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|240px|Implizite Regeln]]
===== Implizite Regeln =====
<br>
{{pt3| UTM_v11.8.8_SSL-VPN_RW-Implied-Rules.png | Implizite Regeln }}
Unter Firewall -> Implizite Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizite Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden. Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
<p>Unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic| Vpn |tr-odd}} kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. </p>
<p>Im Beispiel {{ButtonAn|{{#var:ein|Ein}} }} SSL VPN UDP</p>
<p>Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei. <br>
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:<br>
{{ButtonAn|{{#var:ein|Ein}} }} {{ic| User Interface Portal | tr-odd}}</p>
<p>{{Hinweis|!|g}} Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.</p>
<div style="clear: both;"></div>
<div style="clear: both;"></div>
====Regeln====
 
[[Datei:Utm ssl-vpn-rw regel.png|center|1100px|SSLVPN Regeln für eine Roadwarrior Verbindung]]
===== Netzwerkobjekte =====
{{pt3| UTM_v11.8.8_Firewall_Netzwerkobjekt_SSL-VPN-RW.png | Netzwerkobjekt für das Tunnelnetzwerk }}
<p>Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".  <P>
<p>Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.<br>
Um den Roadwarriern den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.</p>
 
{| class="sptable2"
! Beschriftung || Wert !! Beschreibung
|-
| {{b| Name: }} || {{ic|SSL-VPN-RW-Network}} || Frei wählbarer Name
|-
| {{b| Typ: }} || {{Button| VPN-Netzwerk | dr}} ||
|-
| {{b| Adresse: }} || {{ic| 192.168.192.0/24}} || Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.<br>
|-
| {{b|Zone:}} || {{Button | vpn-ssl-RW-Securepoint | dr }} || die Zone, über die das Tunnel-Netzwerk angesprochen wird.
|-
| {{b| Gruppe: }} || {{Button | &emsp;&emsp;&emsp;|dr}} || Optional
|}
<br>
<br>
Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.
{{Button| Speichern }}
 
 
===== Portfilter Regel =====
{{pt3| UTM_v11.8.8_Firewall_Portfilter_SSL-VPN-RW.png | hochkant=2.5 | Portfilter-Regel für den Roadwarrier }}
<p>Menü {{Menu | Firewall | Portfilter | Portfilter | Regel hinzufügen |+}}</p>
<p>Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:</p>
<br clear=all>
{| class="sptable2"
! Beschriftung || Wert !! Beschreibung
|-
| class="Leerzeile" | 1. Regel
|-
| {{b| Quelle }} || {{ic| SSL-VPN-RW-Network}} || Eingehende Regel
|-
| {{b| Ziel }} || {{ic| internal-network }} ||
|-
| {{b| Dienst }} || {{ic | benötigter Dienst}} || {{Hinweis|!|gelb}} Es sollten nur tatsächlich benötigte Dienste freigegeben werden !
|}
 
<div style="clear: both;"></div>
<div style="clear: both;"></div>
<div>
----
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
 
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Ein Netzwerkobjekt für das Tunnelnetzwerk muss vorab erstellt werden.</span></div>
==== Benutzer und Gruppen anlegen ====
</div>
 
===== Gruppe =====
{{pt3| UTM_v11.8.8_Authentifizierung_Benutzer_Gruppen_RW_Berechtigung.png | SSL-VPN Einstellungen für die Gruppe }}
<p>Unter {{Menu| Authentifizierung | Benutzer }} muss man für die Benutzer, die auf den Roadwarrior-Server zugreifen sollen zunächst eine {{Button | Gruppe hinzufügen |+}}.<br>
 
 
Einstellungen im Reiter {{Reiter| Berechtigungen }}<br>
 
{{b| Gruppenname: }} {{ic| RW-SSL-VPN }}<br>
Folgende Berichtigungen müssen erteilt werden:
* {{ButtonAn| {{#var:ein|Ein}} }} {{ic| SSL-VPN |tr-even}}
* {{ButtonAn| {{#var:ein|Ein}} }} {{ic| Userinterface | tr-odd}}</p>
 
 
Einstellungen im Reiter {{Reiter| SSL-VPN }}<br>
{| class="sptable0 pd5"
|-
| {{b| Client im Userinterface herunterladbar: }} || {{ButtonAn| {{#var:ein|Ein}} }} || Per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki> erreichbar
|-
| {{b|SSL-VPN Verbindung: }} || {{ic| RW-Securepoint |dr}} || Soeben angelegte Verbindung wählen
|-
| {{b| Client-Zertifikat: }} || {{ic| &emsp;&emsp;&emsp; |dr}} || Auswahl des Client-Zertifikates, das in [[#Schritt 3 | Schritt 3]] des Einrichtungsassistenten beschrieben wurde.<br>
{{Hinweis|!|gelb}} Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
|-
| {{b| Remote Gateway: }} || {{ic| 192.0.2.192 |dr}} || Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
|-
| {{b| Redirect Gateway }} || {{ButtonAus| {{#var:aus|Aus}} }} || Bei Aktivierung werden auch Anfragen der Roadwarrier-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen  vom Schutz der UTM
|-
| {{b| Im Portfilter verfügbar: }} ||  {{ButtonAn| {{#var:ein|Ein}} }} || Ermöglicht [[UTM/RULE/ibf | Identity-Based Firewall (IBF) für SSL-VPN ]]
|}
<div style="clear: both;"></div>
<div style="clear: both;"></div>




<div>
===== Benutzer =====
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
{{pt3| UTM_v11.8.8_Authentifizierung_Benutzer_RW.png | SSL-VPN Einstellungen für die Benutzer }}
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Als Dienst muss der benötigte Dienst ausgewählt werden.</span></div>
<p>{{Hinweis| !|g}} Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Reiter {{Reiter| Verzeichnis Dienst}} keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.</p>
</div>
{{Menu| Authentifizierung | Benutzer | Benutzer | Benutzer hinzufügen |+}} oder Benutzer bearbeiten {{Button| |w}}.<br>
{| class="sptable2 pd5"
|-
| class="Leerzeile" | {{h6| Allgemein }}<br>{{Reiter| Allgemein }}
|-
| {{b| Gruppen:}} || style="min-width: 150px;" | {{ic| {{cb|RW-SSL-VPN|-}} | cb}} || Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
|-
| class="Leerzeile" | {{h6| SSL-VPN}} <br>{{Reiter | SSL-VPN }}
|-
| {{b| Einstellungen aus der Gruppe verwenden: }} || {{ButtonAn| {{#var:ein|Ein}} }} ||
|-
| {{Button| Installer |d}}<br>{{Button| Partable Client |d}}<br>{{Button| Konfiguration |d}} ||  colspan="2" |Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
|}
Weitere Angaben zu Benutzern können dem Artikel zur [[UTM/AUTH/Benutzerverwaltung | Benutzerverwaltung]] entnommen werden.
 
<div style="clear: both;"></div>
<div style="clear: both;"></div>


===Benutzer und Gruppen anlegen===
----
====Gruppe====
 
[[Datei:Utm_ssl-vpn_roadwarrior12.png|thumb|240px|SSL-VPN Einstellungen für die Gruppe]]
 
<br>
=== Herunterladen des SSL-VPN Clients im Userinterface ===
Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine '''Gruppe''' hinzugefügt werden. Die Gruppe muss die Berechtigung '''SSL-VPN''' erhalten.
{{pt3| UTM_v11.8.8_Userinterface_RW.png | Userinterface }}
<div style="clear: both;"></div>
<p>Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. <br>
====Benutzer====
Anmeldung im Userinterface per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki><br>
[[Datei:Utm_ssl-vpn_roadwarrior13.png|thumb|240px|SSL-VPN Einstellungen für die Benutzer]]
Erreicht wird das Userinterface über das '''interne Interface''' der Securepoint Appliance. Ein Zugriff von ''externen'' Benutzern ist nur möglich, wenn die Implizite SSL Regel unter {{Menu| Firewall | Implizite Regeln}} aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
<br>
</p>
Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstellte Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstellte SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
 
Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der '''SSL-VPN Client Download''' aktiviert werden.
<p>Der Client wird angeboten als:
<div style="clear: both;"></div>
* <p>SSL-VPN Client Installer</p>
:{{Hinweis| !  Die Installation muss mit Administrator-Rechten durchgeführt werden.|gelb| c=graul}}<br>{{Hinweis|!|g}} Erforderliche Prozessorarchitektur: x86 / x64<br>
* SSL-VPN Portable Client<br>
:Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. <br>{{Hinweis|!|g}} Erforderliche Prozessorarchitektur: x86 / x64<br>
:{{Hinweis| ! Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. |gelb| c=graul}}<br>
* Konfiguration und Zertifikat<br>Zur Verwendung in anderen SSL-VPN-Clients
{{Hinweis | !|g}} Die komprimierten Ordner enthalten neben dem SSL-VPN Client
 
* eine Konfigurationsdatei
* die CA- und Client-Zertifikate
* sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.<br>
Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. </p>
{{Hinweis | !|g}} Ab Windows 10 können ältere SSL-VPN Clients < V2 nicht mehr verwendet werden.<br>


===SSL-VPN Verbindung als Client herstellen===
{{ Hinweis | ! |gr}} Der Tap-Treiber für Windows wird nun durch Securepoint GmbH signiert. [[UTM/VPN/SSL-VPN-Tap-Signierung2019|Weitere Hinweise hier.]]
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Installation muss mit Administratoren-Rechten durchgeführt werden.</span></div>
</div>
<div style="clear: both;"></div>


<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Ab Windows 10 muss der SSL-VPN Client >V2 genutzt werden.</span></div>
</div>
<div style="clear: both;"></div>
<div style="clear: both;"></div>


==== Herunterladen des SSL-VPN Clients im Userinterface====
----


[[Datei:Utm_ssl-vpn_roadwarrior14.png|thumb|240px|User-Interface]]
==== SSL-VPN Verbindung als Client herstellen ====
<br>
{{pt3| SSL-VPN-v2 Verbunden.png | Aktive SSL-VPN-Verbindung }}
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Ein Doppelklick auf das Schloss-Symbol <i class="fas fa-lock-alt"></i> in der Taskleiste öffnet den SSL-VPN-Client.<br>
<br>
Starten der Verbindung mit Klick auf [[Datei:SSL-VPN-Client-Doppelpfeil.png|x20px]]
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:443 https://192.168.175.1:443]) kann unter SSL-VPN Client Download der Client heruntergeladen werden.
<br clear=all>
*SSL-VPN Client Installer
----
*SSL-VPN Portable Client
*Konfiguration und Zertifikat
<div style="clear: both;"></div>
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Konfiguration und Zertifikate sind in den Client Versionen bereits vorhanden.</span></div>
</div>
<div style="clear: both;"></div>
{{ Hinweis | Bitte beachten: |rot}} Der Tap-Treiber für Windows wird nun durch Securepoint GmbH signiert. [[UTM/VPN/SSL-VPN-Tap-Signierung2019|Weitere Hinweise hier.]]


===Hinweise===
=== Hinweise ===
====Verschlüsselung====
==== Verschlüsselung ====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.<br>
<div>
{{Hinweis| ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich | g| c=graul}}
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
----
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich</span></div>
==== Hashverfahren ====
</div>
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.<br>
<div style="clear: both;"></div>
{{Hinweis | ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich| g| c=graul}}
====Hashverfahren====
----
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
==== QoS ====
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich</span></div>
</div>
<div style="clear: both;"></div>
====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Search Domain====
----
==== Search Domain ====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
----
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
==== DNS/WINS übermitteln ====
==== Hinweis zu vorgeschalteten Routern/Modems====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. <br>
Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
----
==== Hinweis zu vorgeschalteten Routern/Modems ====
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität  [[Drittgeräte-Firewalls|deaktivieren]].
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität  [[Drittgeräte-Firewalls|deaktivieren]].
<div>
{{Hinweis | ! Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.| g| c=graul}}
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
----
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.</span></div>
==== IPv6 für eingehende Verbindungen ====
</div>
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.
<div style="clear: both;"></div>
 
=== Troubleshooting ===


====IPv6 für eingehende Verbindungen====
[https://download.securepoint.de/s/NdtmQwK5j79f2ob?path=%2FSSL-VPN Troubleshooting Guide SSL-VPN ]
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

Aktuelle Version vom 18. Juni 2021, 12:21 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























Konfiguration von SSL-VPN Roadwarrior-Verbindungen

Letzte Anpassung zur Version: 11.8.7


Neu:

  • Defaultwert für Verschlüsselungs-Algorithmus geändert
  • Defaultwert für Hashverfahren geändert


Vorherige Versionen: 11.6.12 | 11.7 | 11.7.1

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Mit einer SSL-VPN Roadwarrior-Verbindung können mehrere Clients angebunden werden.


Roadwarrior Konfiguration

Für die Einrichtung des Roadwarrior wird eine CA, ein Server- und ein User-Zertifikat benötigt.


Einrichtungsassistent

Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit → VPN →SSL-VPN Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.


Schritt 1

Einrichtungsschritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.

  • Roadwarrior Server
  • Site to Site Server
  • Site to Site Client

Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

Schritt 2

Einrichtungsschritt 2


Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.

Schritt 3

Einrichtungsschritt 3

Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden.

Beschriftung Wert Beschreibung
Name: RW-Securepoint Eindeutige Bezeichnung
Protokoll: UDP gewünschtes Protokoll
Port: 1194    Nicht belegter Port
Serverzertifikat: Server-Zertifikat Auswahl des Zertifikates, mit dem der Server sich Authentifiziert

Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit

  • Erstellung einer CA im Reiter CA mit der Schaltfläche CA hinzufügen
  • Erstellung eines Serverzertifikates im Reiter Zertifikate mit der Schaltfläche Zertifikat hinzufügen
    Bitte beachten: Serverzertifikat: Ein aktivieren
  • Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
    Für jeden Benutzer sollte ein eigenes User-Zertifikat erstellt werden.
    Beide Zertifikate müssen mit der selben CA erstellt werden!
    Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.

Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.

Servernetzwerke freigeben: »192.168.175.0/24 An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
Schritt 4

Einrichtungsschritt 4

Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

Schritt 5

Einrichtungsschritt 5

Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.

  • None = Authentifizierung nur über die Zertifikate
  • Local = Lokale Benutzer und AD Gruppen
  • Radius = Radius Server
Abschluss

Abschluss

In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.

Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten
Dabei werden alle SSL-VPN-Tunnel unterbrochen!

Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!


Regelwerk

Implizite Regeln

Implizite Regeln

Unter → Firewall →Implizite Regeln Abschnitt Vpn kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden.

Im Beispiel Ein SSL VPN UDP

Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal

Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.

Netzwerkobjekte

Netzwerkobjekt für das Tunnelnetzwerk

Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriern den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

Beschriftung Wert Beschreibung
Name: SSL-VPN-RW-Network Frei wählbarer Name
Typ: VPN-Netzwerk
Adresse: 192.168.192.0/24 Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
Zone: vpn-ssl-RW-Securepoint die Zone, über die das Tunnel-Netzwerk angesprochen wird.
Gruppe:     Optional


Speichern


Portfilter Regel

Portfilter-Regel für den Roadwarrier

Menü → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:


Beschriftung Wert Beschreibung
1. Regel
Quelle SSL-VPN-RW-Network Eingehende Regel
Ziel internal-network
Dienst benötigter Dienst Es sollten nur tatsächlich benötigte Dienste freigegeben werden !

Benutzer und Gruppen anlegen

Gruppe

SSL-VPN Einstellungen für die Gruppe

Unter → Authentifizierung →Benutzer muss man für die Benutzer, die auf den Roadwarrior-Server zugreifen sollen zunächst eine Gruppe hinzufügen .
Einstellungen im Reiter Berechtigungen
Gruppenname: RW-SSL-VPN
Folgende Berichtigungen müssen erteilt werden:

  • Ein SSL-VPN
  • Ein Userinterface

Einstellungen im Reiter SSL-VPN

Client im Userinterface herunterladbar: Ein Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
SSL-VPN Verbindung: RW-Securepoint Soeben angelegte Verbindung wählen
Client-Zertifikat:     Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.

Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!

Remote Gateway: 192.0.2.192 Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Redirect Gateway Aus Bei Aktivierung werden auch Anfragen der Roadwarrier-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM
Im Portfilter verfügbar: Ein Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN


Benutzer

SSL-VPN Einstellungen für die Benutzer

Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Reiter Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.

→ Authentifizierung →BenutzerReiter Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .

Allgemein

Allgemein
Gruppen: RW-SSL-VPN Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
SSL-VPN

SSL-VPN
Einstellungen aus der Gruppe verwenden: Ein
Installer
Partable Client
Konfiguration
Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.

Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.



Herunterladen des SSL-VPN Clients im Userinterface

Userinterface

Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung.
Anmeldung im Userinterface per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter → Firewall →Implizite Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

Der Client wird angeboten als:

  • SSL-VPN Client Installer

Die Installation muss mit Administrator-Rechten durchgeführt werden.
Erforderliche Prozessorarchitektur: x86 / x64
  • SSL-VPN Portable Client
Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
Erforderliche Prozessorarchitektur: x86 / x64
Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
  • Konfiguration und Zertifikat
    Zur Verwendung in anderen SSL-VPN-Clients

Die komprimierten Ordner enthalten neben dem SSL-VPN Client

  • eine Konfigurationsdatei
  • die CA- und Client-Zertifikate
  • sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.

Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

Ab Windows 10 können ältere SSL-VPN Clients < V2 nicht mehr verwendet werden.

Der Tap-Treiber für Windows wird nun durch Securepoint GmbH signiert. Weitere Hinweise hier.


SSL-VPN Verbindung als Client herstellen

Aktive SSL-VPN-Verbindung

Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf SSL-VPN-Client-Doppelpfeil.png


Hinweise

Verschlüsselung

Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich


Hashverfahren

Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich


QoS

Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.


Search Domain

Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.


DNS/WINS übermitteln

Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.


Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren. Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.


IPv6 für eingehende Verbindungen

In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

Troubleshooting

Troubleshooting Guide SSL-VPN