KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
(13 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
Zeile 4: | Zeile 4: | ||
{{:UTM/VPN/SSL VPN-Roadwarrior.lang}} | {{:UTM/VPN/SSL VPN-Roadwarrior.lang}} | ||
{{var | neu-- | {{var | neu--Benutzerauthentisierung Local OTP | ||
| [[# | | Neue Benutzerauthentisierung: ''[[#Schritt 5|Local OTP]]'' | ||
| New user authentication: ''[[#Schritt 5|Local OTP]]'' }} | |||
</div>{{TOC2}}{{Select_lang}} | </div><div class="new_design"></div>{{TOC2|toclevel=2}}{{Select_lang}} | ||
{{Header|12. | {{Header|12.7.3| | ||
* {{#var:neu-- | * {{#var:neu--Benutzerauthentisierung Local OTP}} | ||
|[[UTM/VPN/SSL_VPN-Roadwarrior_v12.6.2 | 12.6.2]] | |||
[[UTM/VPN/SSL_VPN-Roadwarrior_v12.5.1 | 12.5.1]] | |||
[[UTM/VPN/SSL_VPN-Roadwarrior_v12.4 | 12.4]] | |||
[[UTM/VPN/SSL_VPN-Roadwarrior_v12.2.2 | 12.2.2]] | |||
[[UTM/VPN/SSL_VPN-Roadwarrior_v12.2 | 12.2]] | [[UTM/VPN/SSL_VPN-Roadwarrior_v12.2 | 12.2]] | ||
[[UTM/VPN/SSL_VPN-Roadwarrior_v11.8.7 | 11.8.7]] | [[UTM/VPN/SSL_VPN-Roadwarrior_v11.8.7 | 11.8.7]] | ||
Zeile 29: | Zeile 20: | ||
[[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]] | [[UTM/VPN/SSL_VPN-Roadwarrior_v11.7 | 11.7]] | ||
[[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]] | [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]] | ||
|{{Menu|VPN|SSL-VPN}} | |{{Menu-UTM|VPN|SSL-VPN}} | ||
}} | }} | ||
---- | ---- | ||
Zeile 37: | Zeile 28: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Einleitung--desc}}<br> | {{#var:Einleitung--desc}}<br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Einleitung--Hinweis}}|g|fs__icon=em2}}<br> | ||
{{#var:Roadwarrior Konfiguration--Zertifikate-Link}} | {{#var:Roadwarrior Konfiguration--Zertifikate-Link}} | ||
</div> | </div> | ||
Zeile 44: | Zeile 35: | ||
=== {{#var:Vorbereitungen}} === | === {{#var:Vorbereitungen}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<li class="list--element__alert list--element__hint">{{#var:Roadwarrior Konfiguration--Hinweis}}</li> | |||
</div> | </div> | ||
Zeile 54: | Zeile 45: | ||
==== {{#var:DNS WINS übermitteln}} ==== | ===== {{#var:DNS WINS übermitteln}} ===== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:DNS WINS übermitteln--desc}} | {{#var:DNS WINS übermitteln--desc}} | ||
{{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=DNS}} | {{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=DNS}} | ||
{{Gallery3 | {{#var:Globale VPN Einstellungen für DNS/WINS--Bild}} | {{#var:Globale VPN Einstellungen für DNS/WINS--cap}} | {{Gallery3 | {{#var:Globale VPN Einstellungen für DNS/WINS--Bild}} | {{#var:Globale VPN Einstellungen für DNS/WINS--cap}} | ||
| {{#var:DNS WINS übermitteln--Bild}} | {{#var:DNS WINS übermitteln--desc}} | |||
| Abb1-header={{Dialog-header|{{#var:Globale VPN Einstellungen}}|VPN|icon=fa-save}} | |||
| Abb2-header={{Dialog-header|{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|i=3}} | |||
</div></div></span> | </div></div></span> | ||
</div> | </div><br clear=all> | ||
==== Search Domain ==== | ===== Search Domain ===== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Search Domain--desc}} | {{#var:Search Domain--desc}} | ||
{{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=Search}} {{ | {{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=Search}} | ||
{{Gallery3 | {{#var:Search Domain--Bild}} | {{#var:Search Domain--cap}} | |||
| Abb1-header={{Dialog-header|{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| i=3}} | |||
</div></div></span> | </div></div></span> | ||
</div> | </div><br clear=all> | ||
==== Block Outside DNS ==== | ===== Block Outside DNS ===== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Block Outside DNS-neu--desc}} | {{#var:Block Outside DNS-neu--desc}} | ||
{{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=DNS}} {{Bild|{{#var:Block Outside DNS--Bild}} }} | {{Einblenden| {{#var:Abb}} | {{#var:hide}} |true|bigdezent|id=DNS}} | ||
{{Bild|{{#var:Block Outside DNS--Bild}} }} | |||
</div></span></div> | </div></span></div> | ||
</div> | </div> | ||
Zeile 89: | Zeile 84: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Einrichtungsassistent--desc}} | {{#var:Einrichtungsassistent--desc}} | ||
</div> | |||
{| class="sptable2 blank pd5 zh1 Einrücken" | {| class="sptable2 blank pd5 zh1 Einrücken" | ||
Zeile 95: | Zeile 90: | ||
| | | | ||
===== {{#var:Schritt}} 1 ===== | ===== {{#var:Schritt}} 1 ===== | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Schritt 1--Bild}} }} | | class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 1--Bild}} |{{#var:Einrichtung Schritt}} 1||{{#var:SSL-VPN Verbindung hinzufügen}}|VPN|SSL-VPN}} | ||
|- | |- | ||
| {{#var:Schritt 1--desc}} | | {{#var:Schritt 1--desc}} | ||
Zeile 103: | Zeile 98: | ||
| | | | ||
===== {{#var:Schritt}} 2 ===== | ===== {{#var:Schritt}} 2 ===== | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Schritt 2--Bild}} }} | | class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 2--Bild}} |{{#var:Einrichtung Schritt}} 2}} | ||
|- | |- | ||
| {{#var:Schritt 2--desc}} | | {{#var:Schritt 2--desc}} | ||
Zeile 114: | Zeile 109: | ||
|- | |- | ||
| | | | ||
{| class="sptable2 noblank" | {| class="sptable2 noblank" | ||
|- | |- | ||
Zeile 124: | Zeile 120: | ||
| {{b|Port:}} || {{ic|1194|c}} || {{#var:Port--desc}} | | {{b|Port:}} || {{ic|1194|c}} || {{#var:Port--desc}} | ||
|- | |- | ||
| {{b|{{#var:Serverzertifikat}}:}} | | {{b|{{#var:Serverzertifikat}}:}} {{info|{{Hinweis-box||gr|12.7.1|status=update}}{{#var:Nur private Zertifikate--Hinweis}} }} || {{Button| CS-RW-Securepoint-Server |dr}} || {{#var:Serverzertifikat--desc}} | ||
<li class="list--element__alert list--element__positiv">{{#var:Serverzertifikat Hinweis}}</li> | |||
|- | |- | ||
| {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic| {{cb|192.168.175.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}} | | {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic| {{cb|192.168.175.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}} | ||
|} | |} | ||
| class="Bild" rowspan="1" | {{Bild|{{#var:Schritt 3--Bild}} }} | | class="Bild" rowspan="1" | {{Bild| {{#var:Schritt 3--Bild}} |{{#var:Einrichtung Schritt}} 3}} | ||
|- | |- | ||
| | | | ||
===== {{#var:Schritt}} 4 ===== | ===== {{#var:Schritt}} 4 ===== | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Schritt 4--Bild}} }} | | class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 4--Bild}} |{{#var:Einrichtung Schritt}} 4}} | ||
|- | |- | ||
| {{#var:Schritt 4--desc}} | | {{#var:Schritt 4--desc}} | ||
<li class="list--element__alert list--element__hint">{{#var:Schritt 4--Hinweis1}}</li> | |||
<li class="list--element__alert list--element__hint">{{#var:Schritt 4--Hinweis2}}</li> | |||
* {{#var:Schritt 4--Hinweis3}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- | |- | ||
| | | | ||
===== {{#var:Schritt}} 5 ===== | ===== {{#var:Schritt}} 5 ===== | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Schritt 5--Bild}} }} | | class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 5--Bild}} |{{#var:Einrichtung Schritt}} 5}} | ||
|- | |- | ||
| {{#var:Schritt 5--desc}} | | {{#var:Schritt 5--desc}} | ||
Zeile 148: | Zeile 149: | ||
| | | | ||
===== {{#var:Abschluss}} ===== | ===== {{#var:Abschluss}} ===== | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Abschluss--Bild}} }} | | class="Bild" rowspan="3" | {{Bild| {{#var:Abschluss--Bild}} |{{#var:Einrichtung Abschluss}}||SSL-VPN|VPN}} | ||
|- | |- | ||
| {{#var:Abschluss--desc}}<br> | | {{#var:Abschluss--desc}}<br> | ||
<li class="list--element__alert list--element__warning pd5">{{#var:Abschluss--Hinweis--Tunnel-unterbrochen}}</li> | <li class="list--element__alert list--element__warning pd5">{{#var:Abschluss--Hinweis--Tunnel-unterbrochen}}</li> | ||
<li class="list--element__alert list-- | <li class="list--element__alert list--element__positiv">{{#var:Abschluss--Hinweis--1Server}}</li> | ||
<li class="list--element__alert list--element__hint">{{#var:DNS WINS übermitteln--desc}}</li> | <li class="list--element__alert list--element__hint">{{#var:DNS WINS übermitteln--desc}}</li> | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
==== {{#var:Verbindung bearbeiten}} ==== | |||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | {{h5|Allgemein|{{Reiter|Allgemein}} }} | ||
|- class="noborder" | |- class="noborder" | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="19" | {{Bild| {{#var:Reiter Allgemein--Bild}} |||{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|Name:}} || {{ic|RW | | {{b|Name:}} || {{ic|RW Securepoint|tr-odd|class=available}} || {{#var:Reiter Allgemein Name--desc}} | ||
|- | |- | ||
| {{b|{{#var:Schnittstelle}}:}} || {{ic|tun1|tr-odd|class=available}} || {{#var:Schnittstelle--desc}} | | {{b|{{#var:Schnittstelle}}:}} || {{ic|tun1|tr-odd|class=available}} || {{#var:Schnittstelle--desc}} | ||
Zeile 174: | Zeile 174: | ||
| {{b|Modus:}} || {{ic|Server|tr-odd|class=available}} || {{#var:Reiter Allgemein Modus--desc}} | | {{b|Modus:}} || {{ic|Server|tr-odd|class=available}} || {{#var:Reiter Allgemein Modus--desc}} | ||
|- | |- | ||
| {{b|{{#var:Protokoll}} }} || {{Button|UDP|dr}} (Default)<br> {{Button|TCP|dr}} || {{#var:Reiter Allgemein Protokoll--desc}} | | {{b|{{#var:Protokoll}} }} || {{Button|UDP|dr|class=mw6}} <small>'''(Default)'''</small><br> {{Button|TCP|dr|class=mw6}} || {{#var:Reiter Allgemein Protokoll--desc}} | ||
|- | |- | ||
| {{b|Port:}} || {{ic|1194|c}} || {{#var:Port--desc}} | | {{b|Port:}} || {{ic|1194|c|class=mw6}} || {{#var:Port--desc}} | ||
|- | |||
| {{b|{{#var:Authentifizierung}}:}} || {{Button|NONE|dr|class=mw6}}<br> {{Button|LOCAL|dr|class=mw6}} <small>'''(Default)'''</small><br> {{Button|RADIUS|dr|class=mw6}} || {{#var:Authentifizierung--desc}} | |||
|- | |||
| {{b|{{#var:Zertifikat}}:}} || {{Button|CS-RW-Securepoint-Server|dr|class=available}} || {{#var:Zertifikat--desc}} | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Statischer SSL-VPN Schlüsseltyp}}:}} || class=mw11 | {{Button|{{#var:Aus}} }}{{Button|tls-auth}}{{Button|tls-crypt|class=aktiv}} || {{#var:Statischer SSL-VPN Schlüsseltyp--desc}} | ||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Statischer SSL-VPN Schlüssel}}: }} {{Hinweis-box|{{#var:neu ab}} v12.6.1|gr|12.6.1|status=neu}} || {{Button|SSL-VPN RW-Securepoint|dr|class=available}} || {{#var:Statischer SSL-VPN Schlüssel--desc}} | ||
|- | |- | ||
| rowspan="2" | {{b|{{#var:Cipher für Datenverbindungen}}:}} || {{Button| | | rowspan="2" | {{b|{{#var:Cipher für Datenverbindungen}}:}} || {{Button|AES-128-CBC|dr|class=mw6}} || {{#var:Cipher für Datenverbindungen--desc}} | ||
|- | |- | ||
| colspan="2" | {{Button| | | colspan="2" | {{Button|Default|dr|class=mw9}} {{Button|BF-CBC|dr|class=mw9}} {{Button|DES-EDE-CBC|dr|class=mw9}} {{Button|DES-EDE3-CBC|dr|class=mw9}} {{Button|CAST5-CBC|dr|class=mw9}} {{Button|AES-192-CBC|dr|class=mw9}} {{Button|AES-256-CBC|dr|class=mw9}} {{Button|AES-128-GCM|dr|class=mw9}} {{Button|AES-192-GCM|dr|class=mw9}} {{Button|AES-256-GCM|dr|class=mw9}} | ||
|- | |- | ||
| rowspan="2" | {{b|{{#var:Hash für Datenverbindung}}:}} || {{Button| | | rowspan="2" | {{b|{{#var:Hash für Datenverbindung}}:}} || {{Button|SHA256|dr|class=mw6}} || {{#var:Hash für Datenverbindung--desc}} | ||
|- | |- | ||
| colspan="2" | {{Button| | | colspan="2" | {{Button|Default|dr|class=mw6}} {{Button|SHA1|dr|class=mw6}} {{Button|SHA224|dr|class=mw6}} {{Button|SHA384|dr|class=mw6}} {{Button|SHA512|dr|class=mw6}} {{Button|whirlpool|dr|class=mw6}} | ||
|- | |- | ||
| | | <span id=NCP></span>{{b|{{#var:Erlaubte Cipher für automatische Aushandlung}}:}} || {{ic||class=available}} || {{#var:Erlaubte Cipher für automatische Aushandlung--desc}} | ||
|- | |- | ||
| {{b|IPv4 Pool:}} || {{ic|192.168.192.0/24|class=available}} || {{#var:Pool--desc}} | | {{b|IPv4 Pool:}} || {{ic|192.168.192.0|rechts|icon=/24|iconw=x|class=available}} || {{#var:Pool--desc}} | ||
|- | |- | ||
| {{b|IPv6 Pool:}} || {{ic|/64|class=available}} || {{#var:Pool--desc}} | | {{b|IPv6 Pool:}} || {{ic||rechts|icon=/64 |iconw=x|class=available}} || {{#var:Pool--desc}} | ||
|- | |- | ||
| {{b|{{#var:Servernetzwerke freigeben}}:}} || {{ic| |class=available}} || {{#var:Servernetzwerke freigeben--desc}} | | {{b|{{#var:Servernetzwerke freigeben}}:}} || {{ic| |class=available}} || {{#var:Servernetzwerke freigeben--desc}} | ||
Zeile 200: | Zeile 204: | ||
| {{b|Search Domain:}} || {{ic| |class=available}} || {{#var:Search Domain--desc}} | | {{b|Search Domain:}} || {{ic| |class=available}} || {{#var:Search Domain--desc}} | ||
|- | |- | ||
| <span id=Renegotiation></span>{{b|Renegotiation:}} || {{Button|{{#var:nie}}|dr|class=mw7}}<br> {{Button|1 {{#var:Stunde}}|dr|class=mw7}} (Default)<br> {{Button|2 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|4 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|8 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|12 {{#var:Stunden}}|dr|class=mw7 | | <span id=Renegotiation></span>{{b|Renegotiation:}} || {{Button|{{#var:nie}}|dr|class=mw7}}<br> {{Button|1 {{#var:Stunde}}|dr|class=mw7}} <small>'''(Default)'''</small><br> {{Button|2 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|4 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|8 {{#var:Stunden}}|dr|class=mw7}}<br> {{Button|12 {{#var:Stunden}}|dr|class=mw7}} || {{#var:Renegotiation--desc}} | ||
|- class=" | |- class="noborder" | ||
| colspan=" | | colspan="3" | {{#var:Speichern--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | | | colspan="3" | {{h5|Erweitert|{{Reiter|Erweitert}} }} | ||
|- | |- | ||
| {{b|MTU:}} || {{ic|1500|c|class=mw5}} || {{#var:MTU--desc}} | | {{b|MTU:}} || {{ic|1500|c|class=mw5}} || {{#var:MTU--desc}} | ||
| class="Bild" rowspan="16" | {{Bild|{{#var:Erweitert--Bild}} }} | | class="Bild" rowspan="16" | {{Bild| {{#var:Erweitert--Bild}} |||{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |||
| {{b|{{#var:Maximale Clients}}:}} || {{ic|1024|c=grey|class=mw5}} || {{#var:Maximale Clients--desc}}<br> {{Alert|gr}} {{#var:Default-Wert-Hinweis}} | |||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Doppelte Clients erlauben}} }} || {{ButtonAus|{{#var:Nein}} }} || {{#var:Doppelte Clients erlauben--desc}} <li class="list--element__alert list--element__warning">{{#var:Doppelte Clients erlauben--Feste IP}} {{info| {{#var:Doppelte Clients erlauben--Feste IP--info}} }}</li> | ||
|- | |- | ||
| {{b|{{#var:DNS übermitteln}}:}} || {{ButtonAus|{{#var:Nein}} }} || {{#var:DNS übermitteln--desc}} | | {{b|{{#var:DNS übermitteln}}:}} || {{ButtonAus|{{#var:Nein}} }} || {{#var:DNS übermitteln--desc}} | ||
Zeile 222: | Zeile 227: | ||
| {{b|LZO:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:LZO--desc}} | | {{b|LZO:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:LZO--desc}} | ||
|- | |- | ||
| {{b|Deaktiviert:}} || {{ButtonAus|{{#var:Nein}} }} || | | {{b|{{#var:Deaktiviert}}:}} || {{ButtonAus|{{#var:Nein}} }} || | ||
|- | |- | ||
| {{b|Pass TOS:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Pass TOS--desc}} | | {{b|Pass TOS:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Pass TOS--desc}} | ||
Zeile 230: | Zeile 235: | ||
| {{b|{{#var:Ping Wartezeit}}:}} || {{ic|120|c|class=mw5}} {{#var:Sekunden}} || | | {{b|{{#var:Ping Wartezeit}}:}} || {{ic|120|c|class=mw5}} {{#var:Sekunden}} || | ||
|- | |- | ||
| {{b|{{#var:Ausgehende Puffergröße}}:}} || {{ic|65536|c|class=mw5}} Bytes || | | {{b|{{#var:Ausgehende Puffergröße}}:}} || {{ic|65536|c|class=mw5}} Bytes || {{#var:Ausgehende Puffergröße--desc}} <li class="list--element__alert list--element__hint">{{#var:Ausgehende Puffergröße--Hinweis}}</li> | ||
|- | |- | ||
| {{b|{{#var:Eingehende Puffergröße}}:}} || {{ic|65536|c|class=mw5}} Bytes || | | {{b|{{#var:Eingehende Puffergröße}}:}} || {{ic|65536|c|class=mw5}} Bytes || {{#var:Eingehende Puffergröße--desc}} | ||
|- | |- | ||
| {{b|{{#var:Replay window Sequenzgröße}}:}} || {{ic|64|c|class=mw5}} || | | {{b|{{#var:Replay window Sequenzgröße}}:}} || {{ic|64|c|class=mw5}} || {{#var:Replay window Sequenzgröße--desc}} | ||
|- | |- | ||
| {{b|{{#var:Replay window Wartezeit}}:}} || {{ic|15|c|class=mw5}} {{#var:Sekunden}} || | | {{b|{{#var:Replay window Wartezeit}}:}} || {{ic|15|c|class=mw5}} {{#var:Sekunden}} || {{#var:Replay window Wartezeit--desc}} | ||
|- class=" | |- class="noborder" | ||
| colspan= | | colspan=3 | {{#var:Speichern--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
---- | ---- | ||
Zeile 250: | Zeile 253: | ||
===== {{#var:Implizite Regeln}} ===== | ===== {{#var:Implizite Regeln}} ===== | ||
{{ | {| class="sptable2 pd5 zh1 Einrücken noborder" | ||
{{#var:Implizite Regeln-- | | {{#var:Implizite Regeln--desc}} | ||
{{ | | class="Bild" rowspan="3" | {{Bild| {{#var:Implizite Regeln--Bild}} |{{#var:Implizite Regeln--cap}}||{{#var:Implizite Regeln}}|Firewall|icon=fa-save}} | ||
<br clear=all></div> | |- | ||
| <li class="list--element__alert list--element__hint">{{#var:Implizite Regeln--Hinweis--Portänderung}}</li> <br clear=all></div> | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
Zeile 264: | Zeile 271: | ||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
! {{#var:cap}} || {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} || {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekte--Bild}} |{{#var:Netzwerkobjekte--cap}} }} | | class="Bild" rowspan="7" | {{Bild| {{#var:Netzwerkobjekte--Bild}} |{{#var:Netzwerkobjekte--cap}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|Name:}} || {{ic|SSL-VPN-RW-Network|class=available}} || {{#var:Name--desc}} | | {{b|Name:}} || {{ic|SSL-VPN-RW-Network|class=available}} || {{#var:Name--desc}} | ||
Zeile 276: | Zeile 283: | ||
| {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Gruppen--desc}} | | {{b|{{#var:Gruppen}}:}} || {{ic| |cb|class=available}} || {{#var:Gruppen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan=" | | colspan="3" | {{#var:Speichern--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
|} | |} | ||
===== {{#var: | ===== {{#var:Paketfilter Regel}} ===== | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 zh1 Einrücken" | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{#var: | | colspan="3" | {{#var:Paketfilter Regel--desc}} | ||
| class="Bild" rowspan="7" | {{Bild|{{#var: | | class="Bild" rowspan="7" | {{Bild| {{#var:Paketfilter Regel--Bild}} |||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Kasten|{{#var:Allgemein}} }} | | colspan="3" | {{Kasten|{{#var:Allgemein}} }} | ||
|- | |- | ||
| {{b|{{#var:Quelle}} }} || {{ic|SSL-VPN-RW-Network|dr|class=available}} || {{#var:Quelle--desc}} | | {{b|{{#var:Quelle}} }} || {{ic|SSL-VPN-RW-Network|dr|icon=net|class=available}} || {{#var:Quelle--desc}} | ||
|- | |- | ||
| {{b|{{#var:Ziel}} }} || {{ic|internal-network|dr|class=available}} || {{#var:Ziel--desc}} | | {{b|{{#var:Ziel}} }} || {{ic|internal-network|dr|icon=net|class=available}} || {{#var:Ziel--desc}} | ||
|- | |- | ||
| {{b|{{#var:Dienst}} }} || {{ic|ms-rdp|dr|icon=tcp|iconborder=none|class=available}} || {{#var:Dienst--desc}} | | {{b|{{#var:Dienst}} }} || {{ic|ms-rdp|dr|icon=tcp|iconborder=none|class=available}} || {{#var:Dienst--desc}} | ||
|- | |- | ||
| {{b|{{#var:Aktion}} }} || {{Button| | | {{b|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available}} || | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
---- | ---- | ||
Zeile 308: | Zeile 313: | ||
===== {{#var:Gruppe}} ===== | ===== {{#var:Gruppe}} ===== | ||
{{ | {| class="sptable2 pd5 zh1 Einrücken noborder" | ||
{{#var:Gruppe--desc}} | |- | ||
| colspan="2" | {{Reiter|{{#var:Berechtigungen}} }} | |||
| class="Bild" rowspan="3" | {{Bild| {{#var:Gruppe--Bild}} |||{{#var:Gruppe hinzufügen}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |||
| {{#var:Gruppe--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="noborder" | |||
| colspan="4" | {{Reiter|SSL-VPN}} | |||
|- | |- | ||
| {{b|{{#var:Client im Userinterface herunterladbar}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Client im Userinterface herunterladbar--desc}} | |||
| | | class="Bild" rowspan="8" | {{Bild| {{#var:Einstellungen im Reiter SSL-VPN--Bild}} |{{#var:Gruppe--cap}} }} | ||
| | |||
|- | |- | ||
| {{b|{{#var:SSL-VPN Verbindung}} }} || {{ic|RW-Securepoint|dr|class=available}} || {{#var:SSL-VPN Verbindung--desc}} | | {{b|{{#var:SSL-VPN Verbindung}} }} || {{ic|RW-Securepoint|dr|class=available}} || {{#var:SSL-VPN Verbindung--desc}} | ||
|- | |- | ||
| {{b|{{#var: | | {{b|{{#var:Clientzertifikat}}:}} || {{ic|{{#var:Clientzertifikat}}|dr|class=available}} || {{#var:Client-Zertifikat--desc}} | ||
<li class="list--element__alert list--element__hint">{{#var:Client-Zertifikat--Hinweis}}</li> | <li class="list--element__alert list--element__hint">{{#var:Client-Zertifikat--Hinweis}}</li> | ||
|- | |- | ||
Zeile 329: | Zeile 340: | ||
| {{b|Redirect Gateway:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Redirect Gateway--desc}} | | {{b|Redirect Gateway:}} || {{ButtonAus|{{#var:Aus}} }} || {{#var:Redirect Gateway--desc}} | ||
|- | |- | ||
| {{b|{{#var:Im Portfilter verfügbar}} }} || {{ButtonAn| | | {{b|{{#var:Im Portfilter verfügbar}} }} || {{ButtonAn|Ja}} || {{#var:Im Portfilter verfügbar--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
===== {{#var:Benutzer}} ===== | ===== {{#var:Benutzer}} ===== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<li class="list--element__alert list--element__hint">{{#var:Benutzer--Hinweis}}</li> | |||
{{#var:Benutzer--desc}} | {{#var:Benutzer--desc}} | ||
</div> | </div> | ||
Zeile 346: | Zeile 355: | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Reiter|{{#var:Allgemein}} }} | | colspan="3" | {{Reiter|{{#var:Allgemein}} }} | ||
|- | |- | ||
| {{b|{{#var:Gruppen}} }} || {{ic| {{cb|RW-SSL-VPN|-}} |cb|class=mw10}} || {{#var:Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden}} | | {{b|{{#var:Gruppen}}:}} || {{ic| {{cb|RW-SSL-VPN|-}} |cb|class=mw10}} || {{#var:Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Reiter|SSL-VPN}} | | colspan="3" | {{Reiter|SSL-VPN}} | ||
| class="Bild" rowspan="5" | {{Bild| {{#var:Benutzer--Bild}} |{{#var:Benutzer--cap}}||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |- | ||
| {{b|{{#var:Einstellungen aus der Gruppe verwenden}} }} || {{ButtonAn|{{#var:Ein}} }} || {{#var:Einstellungen aus der Gruppe verwenden--desc}} | | {{b|{{#var:Einstellungen aus der Gruppe verwenden}}:}} || {{ButtonAn|{{#var:Ein}} }} || {{#var:Einstellungen aus der Gruppe verwenden--desc}} | ||
|- | |- | ||
| {{Button|Installer|d}}<br> {{Button|Portable Client|d}}<br> {{Button|{{#var:Konfiguration}}|d}} || colspan="2" | {{#var:Konfiguration--desc}} | | {{Button|Installer|d|class=mw9}}<br> {{Button|Portable Client|d|class=mw9}}<br> {{Button|{{#var:Konfiguration}}|d|class=mw9}} || colspan="2" | {{#var:Konfiguration--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | {{#var:Weitere Angaben}} | | colspan="3" | {{#var:Weitere Angaben}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
---- | ---- | ||
Zeile 371: | Zeile 378: | ||
{{pt3| {{#var:Download--Bild}} |{{#var:Download--cap}} }} | {{pt3| {{#var:Download--Bild}} |{{#var:Download--cap}} }} | ||
{{#var:Download--desc}}<br> | {{#var:Download--desc}}<br> | ||
<li class="list--element__alert list--element__hint">{{#var:Download--Hinweis}}</li> | |||
<br> | <br> | ||
'''{{#var:Download--Möglichkeit}}''' | '''{{#var:Download--Möglichkeit}}''' | ||
* SSL-VPN Client Installer<br> | * SSL-VPN Client Installer<br> | ||
<li class="list--element__alert list--element__hint einrücken">{{#var:SSL-VPN Client Installer--Adminrechte}}</li> | |||
** {{#var:Prozessorarchitektur}} | ** {{#var:Prozessorarchitektur}} | ||
<br> | <br> | ||
* SSL-VPN Portable Client | * SSL-VPN Portable Client | ||
** {{#var:SSL-VPN Portable Client--desc}} | ** {{#var:SSL-VPN Portable Client--desc}} | ||
<li class="list--element__alert list--element__hint einrücken">{{#var:SSL-VPN Portable Client--Adminrechte}}</li> | |||
** {{#var:Prozessorarchitektur}} | ** {{#var:Prozessorarchitektur}} | ||
<br> | <br> | ||
* {{#var:Konfiguration und Zertifikat}} | * {{#var:Konfiguration und Zertifikat}} | ||
** {{#var:Konfiguration und Zertifikat--desc}} | ** {{#var:Konfiguration und Zertifikat--desc}} | ||
<li class="list--element__alert list--element__hint einrücken">{{#var:Konfiguration und Zertifikat--Hinweis}}</li> | |||
{{#var:Konfiguration und Zertifikat--Liste}} | {{#var:Konfiguration und Zertifikat--Liste}} | ||
** {{#var:Adminrechte TAP-Treiber}} | ** {{#var:Adminrechte TAP-Treiber}} | ||
<br> | <br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Aktuelle Version}} }} | ||
< | <p>{{#var:Installationshinweise}}</p> | ||
{{#var:Installationshinweise}} | |||
<br clear=all></div> | <br clear=all></div> | ||
---- | ---- | ||
Zeile 434: | Zeile 440: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Verschlüsselung--desc}}<br> | {{#var:Verschlüsselung--desc}}<br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Cipher-Anpassung}}|r}}<br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Cipher-Anpassung--desc}}|g|fs__icon=em2}} | ||
---- | ---- | ||
Zeile 441: | Zeile 447: | ||
| {{#var:Cipher-Anpassung--Blowfish--Bild}} | {{#var:Cipher-Anpassung--Blowfish--cap}} | | {{#var:Cipher-Anpassung--Blowfish--Bild}} | {{#var:Cipher-Anpassung--Blowfish--cap}} | ||
| {{#var:Cipher-empfohlen--Bild}} | {{#var:Cipher-empfohlen--cap}} | | {{#var:Cipher-empfohlen--Bild}} | {{#var:Cipher-empfohlen--cap}} | ||
| Abb1-header={{Dialog-header|{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| Abb2-header={{Dialog-header|{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| Abb3-header={{Dialog-header|{{#var:SSL-VPN Verbindung bearbeiten}}|VPN|SSL-VPN|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
}} | }} | ||
{{Hinweis- | {{Hinweis-box| {{#var:Parameter müssen identisch sein}}|g}} | ||
<br clear=all></div> | <br clear=all></div> | ||
---- | ---- | ||
Zeile 451: | Zeile 460: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Hashverfahren--desc}}<br> | {{#var:Hashverfahren--desc}}<br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Parameter müssen identisch sein}}|g}} | ||
</div> | </div> | ||
---- | ---- | ||
Zeile 466: | Zeile 475: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Hinweis zu vorgeschalteten Routern/Modems--desc}}<br> | {{#var:Hinweis zu vorgeschalteten Routern/Modems--desc}}<br> | ||
{{Hinweis- | {{Hinweis-box| {{#var:Hinweis zu vorgeschalteten Routern/Modems--Porthinweis}}|g}} | ||
</div> | </div> | ||
---- | ---- | ||
Zeile 478: | Zeile 487: | ||
=== | === Troubleshooting === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var:Troubleshooting--desc}} | {{#var:Troubleshooting--desc}} | ||
</div> | |||
---- | |||
{{:UTM/APP/Connection-Rate-Limit}} |
Aktuelle Version vom 12. September 2024, 13:41 Uhr
- Neue Benutzerauthentisierung: Local OTP
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate
Vorbereitungen
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.
Auflösung interner Hostnamen im SSL-VPN
Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:
DNS/WINS übermitteln
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet Erweitert aktiviert werden.
und im Abschnitt
Search Domain
Block Outside DNS
Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS
Roadwarrior Konfiguration
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit Schaltfläche aufgerufen werden.
Schritt 1 |
UTMbenutzer@firewall.name.fqdnVPNSSL-VPN | ||||||||||||||||||
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung.
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt. | |||||||||||||||||||
Schritt 2 |
|||||||||||||||||||
Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. | |||||||||||||||||||
Schritt 3Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden. | |||||||||||||||||||
|
|||||||||||||||||||
Schritt 4 |
|||||||||||||||||||
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden. Fehler in der Beschreibung der Reihenfolge korrigiert
| |||||||||||||||||||
Schritt 5 |
|||||||||||||||||||
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
| |||||||||||||||||||
Abschluss |
UTMbenutzer@firewall.name.fqdnVPN | ||||||||||||||||||
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt. Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: | |||||||||||||||||||
Verbindung bearbeiten
Regelwerk
Implizite Regeln
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
Paketfilter Regel
Benutzer und Gruppen anlegen
Gruppe
Berechtigungen | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer | |
Unter Gruppe Schaltfläche klicken. Folgende Berichtigungen müssen erteilt werden:
| Bereich ||
SSL-VPN | |||
Client im Userinterface herunterladbar: | Ja | Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar | |
SSL-VPN Verbindung: | RW-Securepoint | Soeben angelegte Verbindung wählen | |
Clientzertifikat: | Clientzertifikat | Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
| |
Remote Gateway: | 192.0.2.192 | Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein. | |
Redirect Gateway: | Aus | Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM. | |
Im Portfilter verfügbar: | Ja | Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN | |
Benutzer
Allgemein | |||
Gruppen: | RW-SSL-VPN | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden. | |
SSL-VPN | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer | ||
Einstellungen aus der Gruppe verwenden: | Ein | Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden. | |
Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden. | |||
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden. | |||
Der SSL-VPN Client
Herunterladen des SSL-VPN Clients im Userinterface
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:
- Zum Download gelangt man über den Menüpunkt .
- Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
- Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
- Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
Der Client wird angeboten als:
- SSL-VPN Client Installer
- Erforderliche Prozessorarchitektur: x86 / x64
- SSL-VPN Portable Client
- Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
- Erforderliche Prozessorarchitektur: x86 / x64
- Konfiguration und Zertifikat
- Zur Verwendung in anderen SSL-VPN-Clients
- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
- Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
notempty
Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client
SSL-VPN Verbindung als Client herstellen
Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf
Mehrere VPN-Server als Ziele für eine Verbindung
In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.
Mehrere VPN-Profile nutzen
Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen
- Mit Klick auf … im Abschnitt Quelldatei:kann eine Datei im .ovpn-Format ausgewählt werden.
- Im Abschnitt Importieren als:kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
- Abschluss mit der Schaltfläche
Hinweise
Verschlüsselung
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.
Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.
Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Abschnitt Allgemein im Feld Cipher für Datenverbindung. der
Hashverfahren
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorservers Allgemein / Protokoll das Protokoll oder für IPv6 aktiviert werden.
kann im Abschnitt
Troubleshooting
Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)
Connection Rate Limit
Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports
notempty
Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren
SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.
Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
Dabei gelten folgende Bedingungen:
- Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
- Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
- Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
Danach werden die Verbindungen limitiert:- Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
- Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
- 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
- Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
Andere Ports können weiterhin erreicht werden. - Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
- Bei Updates muss die Funktion manuell aktiviert werden
extc-Variable | Default | Beschreibung |
---|---|---|
CONNECTION_RATE_LIMIT_TCP | 0 | Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port 0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen |
CONNECTION_RATE_LIMIT_TCP_PORTS | Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden. Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ] | |
CONNECTION_RATE_LIMIT_UDP | 20 / 0 Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. |
Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port |
CONNECTION_RATE_LIMIT_UDP_PORTS | Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!). Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ] |
Konfiguration mit CLI-Befehlen
CLI-Befehl | Funktion |
---|---|
extc value get application securepoint_firewall Alternativ als root-User: spcli extc value get application securepoint_firewall | grep RATE |
Listet alle Variablen der Anwendung securepoint_firewall auf. Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen. application |variable |value --------------------+-------------------------------+----- securepoint_firewall |… |… |CONNECTION_RATE_LIMIT_TCP |0 |CONNECTION_RATE_LIMIT_TCP_PORTS| |CONNECTION_RATE_LIMIT_UDP |20 |CONNECTION_RATE_LIMIT_UDP_PORTS| |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule |
Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule |
Deaktiviert die Überwachung von TCP-Verbindungen |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule |
Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule |
Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule |
Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. Der Wert muss nicht zuerst auf 0 gesetzt werden! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule |
Deaktiviert die Überwachung von UDP-Verbindungen |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule |
Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195. (Beispielhaft für 2 angelegte SSL-VPN Tunnel.) Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule |
Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen! |
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 notempty Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.
|
Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht. |