KKeine Bearbeitungszusammenfassung |
K 1 Version importiert |
||
| (7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 22: | Zeile 22: | ||
{{var | Roadwarrior Konfiguration--Zertifikate-Link | {{var | Roadwarrior Konfiguration--Zertifikate-Link | ||
| Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: [[UTM/AUTH/Zertifikate | Zertifikate]] | | Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: [[UTM/AUTH/Zertifikate | Zertifikate]] | ||
| There is a separate article for creating certificates on the UTM: [ | | There is a separate article for creating certificates on the UTM: [{{#var:host}}UTM/AUTH/Zertifikate Certificates] }} | ||
{{var | Vorbereitungen | {{var | Vorbereitungen | ||
| Vorbereitungen | | Vorbereitungen | ||
| Zeile 41: | Zeile 41: | ||
| Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet {{Button||w}} und im Abschnitt {{Reiter|Erweitert}} aktiviert werden. | | Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet {{Button||w}} und im Abschnitt {{Reiter|Erweitert}} aktiviert werden. | ||
| In order for DNS/WINS to be transmitted, the configured VPN connection must be edited {{button||w}} and enabled in the {{Reiter|Advanced}} tab. }} | | In order for DNS/WINS to be transmitted, the configured VPN connection must be edited {{button||w}} and enabled in the {{Reiter|Advanced}} tab. }} | ||
{{var | | {{var | Abb | ||
| | | Abb. | ||
| | | Fig. }} | ||
{{var | Globale VPN Einstellungen für DNS/WINS--Bild | {{var | Globale VPN Einstellungen für DNS/WINS--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior Globale VPN-Einstellungen.png | | UTM v12.6 SSL-VPN Roadwarrior Globale VPN-Einstellungen.png | ||
| Zeile 72: | Zeile 72: | ||
| Predefine Search Domain }} | | Predefine Search Domain }} | ||
{{var | 1=Block Outside DNS-neu--desc | {{var | 1=Block Outside DNS-neu--desc | ||
| 2=Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:<br>Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü {{spc|cog|s|Einstellungen|class=fas}} Schaltfläche ''Erweitert'' Reiter {{Reiter|OS|Anw=UMA}} Eintrag {{whitebox|DNS {{spc|checkbox|o|Block Outside DNS}} }} | | 2=Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:<br> Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü {{spc|cog|s|Einstellungen|class=fas}} Schaltfläche ''Erweitert'' Reiter {{Reiter|OS|Anw=UMA}} Eintrag {{whitebox|DNS {{spc|checkbox|o|Block Outside DNS}} }} | ||
| 3=For some Windows 10 clients, it may be necessary to set the "block-outside-dns" option in the configuration of the SSL-VPN client:<br>Right click on the desired connection in the Securepoint SSL-VPN Client, menu {{spc|cog|s|Settings|class=fas}} ''Advanced'' button tab {{Reiter|OS|Anw=UMA}} Entry {{whitebox|DNS {{spc|checkbox|o|Block Outside DNS}} }} }} | | 3=For some Windows 10 clients, it may be necessary to set the "block-outside-dns" option in the configuration of the SSL-VPN client:<br> Right click on the desired connection in the Securepoint SSL-VPN Client, menu {{spc|cog|s|Settings|class=fas}} ''Advanced'' button tab {{Reiter|OS|Anw=UMA}} Entry {{whitebox|DNS {{spc|checkbox|o|Block Outside DNS}} }} }} | ||
{{var | Block Outside DNS--Bild | {{var | Block Outside DNS--Bild | ||
| SSL-VPN Client Einstellungen OS.png | | SSL-VPN Client Einstellungen OS.png | ||
| Zeile 101: | Zeile 101: | ||
For the configuration of the Roadwarrior Server this one is selected. }} | For the configuration of the Roadwarrior Server this one is selected. }} | ||
{{var | Schritt 1--Bild | {{var | Schritt 1--Bild | ||
| UTM | | UTM v14.1.0 SSL-VPN Roadwarrior Schritt1.png | ||
| UTM | | UTM v14.1.0 SSL-VPN Roadwarrior Schritt1-en.png }} | ||
{{var | Einrichtung Schritt | {{var | Einrichtung Schritt | ||
| Einrichtung Schritt | | Einrichtung Schritt | ||
| Zeile 153: | Zeile 153: | ||
{{var | Serverzertifikat Hinweis | {{var | Serverzertifikat Hinweis | ||
| Weitere Hinweise im Wiki-Artikel zur Nutzung von [[UTM/AUTH/Zertifikate| Zertifikaten.]] | | Weitere Hinweise im Wiki-Artikel zur Nutzung von [[UTM/AUTH/Zertifikate| Zertifikaten.]] | ||
| Further notes in the wiki article on the use of [ | | Further notes in the wiki article on the use of [{{#var:host}}UTM/AUTH/Zertifikate Certificates.] }} | ||
{{var | Servernetzwerke freigeben | {{var | Servernetzwerke freigeben | ||
| Servernetzwerke freigeben: | | Servernetzwerke freigeben: | ||
| Zeile 165: | Zeile 165: | ||
{{var | Schritt 4--Hinweis1 | {{var | Schritt 4--Hinweis1 | ||
| Die IP-Adressen werden aufsteigend (beginnend mit .2) {{info|Fehler in der Beschreibung der Reihenfolge korrigiert|icon=bug}} an die Clients vergeben | | Die IP-Adressen werden aufsteigend (beginnend mit .2) {{info|Fehler in der Beschreibung der Reihenfolge korrigiert|icon=bug}} an die Clients vergeben | ||
| The IP addresses are assigned to the clients in ascending order (starting with .2){{info| | | The IP addresses are assigned to the clients in ascending order (starting with .2) {{info|error in the description of the order corrected|icon=bug}} }} | ||
{{var | Schritt 4--Hinweis2 | {{var | Schritt 4--Hinweis2 | ||
| Sollen Clients feste IP-Adressen zugewiesen werden, sollten diese | | Sollen Clients feste IP-Adressen zugewiesen werden, sollten diese im Beispiel mit einem /24er Netz absteigend mit ''.253'' {{info|Fehler korrigiert, ''.254'' ist durch den virtuellen DHCP-Server belegt|icon=bug}} beginnen. | ||
| If clients are to be assigned fixed IP addresses, these should begin with ''. | | If clients are to be assigned fixed IP addresses, these should begin with ‘’.253'‘ {{info|error corrected, ’'.254'' is occupied by the virtual DHCP server|icon=bug}} in descending order in the example with a /24 network. }} | ||
{{var | Schritt 4--Hinweis3 | {{var | Schritt 4--Hinweis3 | ||
| Das Netz für den Pool muss ausreichend groß gewählt werden, um alle Clients mit einer Tunnel-IP versorgen und eine Überschneidung (feste IP-Adressen von | | Das Netz für den Pool muss ausreichend groß gewählt werden, um alle Clients mit einer Tunnel-IP versorgen und eine Überschneidung (feste IP-Adressen von oben absteigend und dynamische Vergabe von unten aufsteigend) ausschließen zu können | ||
| The network for the pool must be large enough to provide all clients with a tunnel IP and to exclude overlapping (fixed IP addresses from | | The network for the pool must be large enough to provide all clients with a tunnel IP and to exclude overlapping (fixed IP addresses from above descending and dynamic allocation from below ascending) }} | ||
{{var | Schritt 4--Bild | {{var | Schritt 4--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior Schritt4.png | | UTM v12.6 SSL-VPN Roadwarrior Schritt4.png | ||
| Zeile 180: | Zeile 180: | ||
* Local <nowiki>=</nowiki> Lokale Benutzer und AD Gruppen | * Local <nowiki>=</nowiki> Lokale Benutzer und AD Gruppen | ||
* Radius <nowiki>=</nowiki> Radius Server | * Radius <nowiki>=</nowiki> Radius Server | ||
| | * Local OTP <nowiki>=</nowiki> Lokale Benutzer und AD Gruppen mit verpflichtendem OTP für diesen Tunnel {{Hinweis-box|Neu ab v12.7.3|gr|12.7.3|status=neu}} | ||
* None <nowiki>=</nowiki> Authentication only via the certificates | | User authentication is selected in the last step.<br> The setup wizard can then be completed. | ||
* Local <nowiki>=</nowiki> Local users and AD groups | * None <nowiki>=</nowiki> Authentication only via the certificates | ||
* Radius <nowiki>=</nowiki> Radius Server. }} | * Local <nowiki>=</nowiki> Local users and AD groups | ||
* Radius <nowiki>=</nowiki> Radius Server | |||
* Local OTP <nowiki>=</nowiki> Local users and AD groups with mandatory OTP for this tunnel {{Hinweis-box|New as of v12.7.3|gr|12.7.3|status=neu}} }} | |||
{{var | Schritt 5--Bild | {{var | Schritt 5--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior Schritt5.png | | UTM v12.6 SSL-VPN Roadwarrior Schritt5.png | ||
| Zeile 197: | Zeile 199: | ||
| Setup completion }} | | Setup completion }} | ||
{{var | Abschluss--desc | {{var | Abschluss--desc | ||
| | | In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.<br> Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: {{Button|Neustarten|renew}} | ||
| In the SSL-VPN overview all configured connections are displayed.<br> In order for the connection to become active, the SSL-VPN service must be restarted: {{Button|Restart|renew}} }} | |||
| | |||
{{var | Abschluss--Hinweis--Tunnel-unterbrochen | {{var | Abschluss--Hinweis--Tunnel-unterbrochen | ||
| Dabei werden alle SSL-VPN-Tunnel unterbrochen! | | Dabei werden alle SSL-VPN-Tunnel unterbrochen! | ||
| Zeile 217: | Zeile 217: | ||
| Name of the SSL connection }} | | Name of the SSL connection }} | ||
{{var | Reiter Allgemein--Bild | {{var | Reiter Allgemein--Bild | ||
| UTM | | UTM v14.0.3 SSL-VPN RW Verbindung bearbeiten Allgemein.png | ||
| UTM | | UTM v14.0.3 SSL-VPN RW Verbindung bearbeiten Allgemein-en.png }} | ||
{{var | Schnittstelle | {{var | Schnittstelle | ||
| Schnittstelle | | Schnittstelle | ||
| Zeile 246: | Zeile 246: | ||
| Statischer SSL-VPN Schlüssel | | Statischer SSL-VPN Schlüssel | ||
| Static SSL-VPN key }} | | Static SSL-VPN key }} | ||
{{var | Statischer SSL-VPN Schlüssel--desc | {{var | 1=Statischer SSL-VPN Schlüssel--desc | ||
| 2=Absicherung der Verbindung mit tls-auth.<li class="list--element__alert list--element__positiv">Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.</li> | | 2=Absicherung der Verbindung mit tls-auth.<li class="list--element__alert list--element__positiv">Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.</li> | ||
| 3=Securing the connection with tls-auth.<li class="list--element__alert list--element__positive">The key must have the type OVPN_STATIC_KEY.</li> }} | | 3=Securing the connection with tls-auth.<li class="list--element__alert list--element__positive">The key must have the type OVPN_STATIC_KEY.</li> }} | ||
{{var | Cipher für Datenverbindungen | {{var | Cipher für Datenverbindungen | ||
| Cipher für | | Cipher für Datenverbindung | ||
| Cipher for data | | Cipher for data connection }} | ||
{{var | Cipher für Datenverbindungen--desc | {{var | Cipher für Datenverbindungen--desc | ||
| Standardmäßig wird AES- | | Standardmäßig wird ''AES-256-GCM'' verwendet. {{Hinweis-box|Seit v14.0.3|gr|14.0.3|status=update}}<br> {{Alert|g}} Sämtliche Gegenstellen müssen denselben Cipher benutzen! | ||
| AES- | | ''AES-256-GCM'' is used by default. {{Hinweis-box|Since v14.0.3|gr|14.0.3|status=update}}<br> {{Alert|g}} All remote stations must use the same cipher! }} | ||
{{var | Hash für Datenverbindung | {{var | Hash für Datenverbindung | ||
| Hash für Datenverbindung | | Hash für Datenverbindung | ||
| Zeile 357: | Zeile 357: | ||
| Ping Wartezeit | | Ping Wartezeit | ||
| Ping waiting time }} | | Ping waiting time }} | ||
{{var | Ausgehende Puffergröße | {{var | Ausgehende Puffergröße | ||
| Ausgehende Puffergröße | | Ausgehende Puffergröße | ||
| Zeile 414: | Zeile 411: | ||
| Network objects }} | | Network objects }} | ||
{{var | Netzwerkobjekte--desc | {{var | Netzwerkobjekte--desc | ||
| <p>Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>". </p> | | <p>Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>". </p> <p>Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.<br> Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden. </p> | ||
<p>Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.<br> Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden. </p> | | <p>A tun interface was created when the connection was set up. It automatically receives the first IP address from the transfer network configured in the connection and a zone "vpn-ssl-<servername>". </p> <p>The Roadwarrior clients will receive an IP address from this network and will be located in this zone.<br> To grant the roadwarriors access to your own network, a network object must be created. </p> }} | ||
| <p>A tun interface was created when the connection was set up. It automatically receives the first IP address from the transfer network configured in the connection and a zone "vpn-ssl-<servername>". </p> | |||
<p>The Roadwarrior clients will receive an IP address from this network and will be located in this zone.<br> To grant the roadwarriors access to your own network, a network object must be created. </p> }} | |||
{{var | Netzwerkobjekte--Bild | {{var | Netzwerkobjekte--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior Netzwerkobjekt hinzufuegen.png | | UTM v12.6 SSL-VPN Roadwarrior Netzwerkobjekt hinzufuegen.png | ||
| Zeile 435: | Zeile 430: | ||
{{var | Adresse | {{var | Adresse | ||
| Adresse | | Adresse | ||
| | | Address }} | ||
{{var | Adresse--desc | {{var | Adresse--desc | ||
| Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde. | | Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde. | ||
| Zeile 555: | Zeile 550: | ||
{{var | Im Portfilter verfügbar--desc | {{var | Im Portfilter verfügbar--desc | ||
| Ermöglicht [[UTM/RULE/ibf | Identity-Based Firewall (IBF) für SSL-VPN]] | | Ermöglicht [[UTM/RULE/ibf | Identity-Based Firewall (IBF) für SSL-VPN]] | ||
| Enables [ | | Enables [{{#var:host}}UTM/RULE/ibf Identity-Based Firewall (IBF) for SSL-VPN] }} | ||
{{var | Benutzer | {{var | Benutzer | ||
| Benutzer | | Benutzer | ||
| Zeile 594: | Zeile 589: | ||
{{var | Weitere Angaben | {{var | Weitere Angaben | ||
| Weitere Angaben zu Benutzern können dem Artikel zur [[UTM/AUTH/Benutzerverwaltung | Benutzerverwaltung]] entnommen werden. | | Weitere Angaben zu Benutzern können dem Artikel zur [[UTM/AUTH/Benutzerverwaltung | Benutzerverwaltung]] entnommen werden. | ||
| Further information on users can be found in the article on [ | | Further information on users can be found in the article on [{{#var:host}}UTM/AUTH/Benutzerverwaltung User Management]. }} | ||
{{var | Der SSL-VPN Client | {{var | Der SSL-VPN Client | ||
| Der SSL-VPN Client | | Der SSL-VPN Client | ||
| Zeile 608: | Zeile 603: | ||
| Userinterface SSL-VPN }} | | Userinterface SSL-VPN }} | ||
{{var | Download--desc | {{var | Download--desc | ||
| Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung: | | Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung: | ||
* Zum Download gelangt man über den Menüpunkt {{Menu-UTM||SSL-VPN}}. | * Zum Download gelangt man über den Menüpunkt {{Menu-UTM||SSL-VPN}}. | ||
* Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate. | * Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate. | ||
* Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki> | * Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki> | ||
* Erreicht wird das Userinterface über das '''interne Interface''' der Securepoint Appliance. | * Erreicht wird das Userinterface über das '''interne Interface''' der Securepoint Appliance. | ||
| For users who want to connect to the UTM via SSL-VPN, the appliance provides a preconfigured SSL-VPN client: | | For users who want to connect to the UTM via SSL-VPN, the appliance provides a preconfigured SSL-VPN client: | ||
* Access the download via the menu item {{Menu-UTM||SSL-VPN}}. | * Access the download via the menu item {{Menu-UTM||SSL-VPN}}. | ||
* This client contains the configuration files and all required certificates. | * This client contains the configuration files and all required certificates. | ||
| Zeile 645: | Zeile 640: | ||
| Die komprimierten Ordner enthalten neben dem SSL-VPN Client | | Die komprimierten Ordner enthalten neben dem SSL-VPN Client | ||
| In addition to the SSL-VPN client, the compressed folders contain }} | | In addition to the SSL-VPN client, the compressed folders contain }} | ||
{{var | | {{var | Konfiguration und Zertifikat--Liste | ||
| | | | ||
** eine Konfigurationsdatei | |||
** die CA- und Client-Zertifikate | ** die CA- und Client-Zertifikate | ||
** sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. | ** sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. | ||
| | | | ||
** a configuration file | |||
** the CA and client certificates | ** the CA and client certificates | ||
** and a driver for the virtual TAP network interface. }} | ** and a driver for the virtual TAP network interface. }} | ||
{{var | Adminrechte TAP-Treiber | {{var | Adminrechte TAP-Treiber | ||
| Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. | | Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. | ||
| To install the virtual TAP interface, the user needs administrator rights on the machine being used. | | To install the virtual TAP interface, the user needs administrator rights on the machine being used. }} | ||
{{var | Installationshinweise | {{var | Installationshinweise | ||
| '''Installation:''' Hinweise zur Installation finden sich auf unsere Wiki-Seite zum [[VPN | VPN-Client]] | | '''Installation:''' Hinweise zur Installation finden sich auf unsere Wiki-Seite zum [[VPN | VPN-Client]] | ||
| '''Installation:''' Hints for the installation can be found on our wiki page for the [ | | '''Installation:''' Hints for the installation can be found on our wiki page for the [{{#var:host}}VPN VPN client]. }} | ||
{{var | SSL-VPN Verbindung als Client herstellen | {{var | SSL-VPN Verbindung als Client herstellen | ||
| SSL-VPN Verbindung als Client herstellen | | SSL-VPN Verbindung als Client herstellen | ||
| Zeile 682: | Zeile 679: | ||
| VPN-Client Remoteziele1.png }} | | VPN-Client Remoteziele1.png }} | ||
{{var | Remoteziele 1--cap | {{var | Remoteziele 1--cap | ||
| * Rechter Mausklick auf die Verbindung | | | ||
* Rechter Mausklick auf die Verbindung | |||
* Kontextmenü '''Einstelungen''' | * Kontextmenü '''Einstelungen''' | ||
| * Right mouse click on the connection | | | ||
* Right mouse click on the connection | |||
* Context menu '''Settings''' }} | * Context menu '''Settings''' }} | ||
{{var | Remoteziele 2--Bild | {{var | Remoteziele 2--Bild | ||
| Zeile 698: | Zeile 697: | ||
| 2=* {{b| IP:}} {{ic| utm1.anyideas.de}} | | 2=* {{b| IP:}} {{ic| utm1.anyideas.de}} | ||
* {{b|Port:}} {{ic| 1194}} | * {{b|Port:}} {{ic| 1194}} | ||
Eingabe von Hostnamen oder IP und verwendeten Port<br>Angaben mit {{KastenGrau|Hinzufügen}} übernehmen<br>Fenster mit {{ic|OK}} schließen | Eingabe von Hostnamen oder IP und verwendeten Port<br> Angaben mit {{KastenGrau|Hinzufügen}} übernehmen<br> Fenster mit {{ic|OK}} schließen | ||
| 3=* {{b| IP:}} {{ic| utm1.anyideas.de}} | | 3=* {{b| IP:}} {{ic| utm1.anyideas.de}} | ||
* {{b|Port:}} {{ic| 1194}} | * {{b|Port:}} {{ic| 1194}} | ||
Enter host name or IP and port used<br>Apply details with {{KastenGrau|Add}}<br>Close window with {{ic|OK}}. }} | Enter host name or IP and port used<br> Apply details with {{KastenGrau|Add}}<br> Close window with {{ic|OK}}. }} | ||
{{var | VPN-Client Remoteziele UAC--Bild | {{var | VPN-Client Remoteziele UAC--Bild | ||
| VPN-Client Remoteziele UAC.png | | VPN-Client Remoteziele UAC.png | ||
| Zeile 718: | Zeile 717: | ||
| VPN-Client Profil Import1.png }} | | VPN-Client Profil Import1.png }} | ||
{{var | VPN-Profile 1--cap | {{var | VPN-Profile 1--cap | ||
|* Linksklick auf das Zahnradsymbol im Client-Fenster | | | ||
* Linksklick auf das Zahnradsymbol im Client-Fenster | |||
* Kontextmenü '''Importieren''' | * Kontextmenü '''Importieren''' | ||
| * Left click on the gear icon in the client window | | | ||
* Left click on the gear icon in the client window | |||
* Context menu '''Import''' }} | * Context menu '''Import''' }} | ||
{{var | VPN-Profile 2--Bild | {{var | VPN-Profile 2--Bild | ||
| Zeile 726: | Zeile 727: | ||
| VPN-Client Profil Import2.png }} | | VPN-Client Profil Import2.png }} | ||
{{var | VPN-Profile 2--cap | {{var | VPN-Profile 2--cap | ||
|* Mit Klick auf {{whitebox|…}} im Abschnitt {{Kasten|Quelldatei:}} kann eine Datei im {{whitebox|.ovpn}}-Format ausgewählt werden. | | | ||
* Mit Klick auf {{whitebox|…}} im Abschnitt {{Kasten|Quelldatei:}} kann eine Datei im {{whitebox|.ovpn}}-Format ausgewählt werden. | |||
* Im Abschnitt {{Kasten| Importieren als:}} kann entweder der ''Dateiname'' oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird. | * Im Abschnitt {{Kasten| Importieren als:}} kann entweder der ''Dateiname'' oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird. | ||
* Abschluss mit der Schaltfläche {{Button|Importieren|Anw=UMA|c=graul}} | * Abschluss mit der Schaltfläche {{Button|Importieren|Anw=UMA|c=graul}} | ||
| * By clicking {{whitebox|...}} in the {{Kasten|source file:}} section, a file in {{whitebox|.ovpn}} format can be selected. | | | ||
* By clicking {{whitebox|...}} in the {{Kasten|source file:}} section, a file in {{whitebox|.ovpn}} format can be selected. | |||
* In the {{Kasten| Import as:}} section, either the ''filename'' or any custom identifier can be selected, which will then be displayed in the client window for that connection. | * In the {{Kasten| Import as:}} section, either the ''filename'' or any custom identifier can be selected, which will then be displayed in the client window for that connection. | ||
* Finish with the {{Button|Import|Anw=UMA|c=graul}} button. }} | * Finish with the {{Button|Import|Anw=UMA|c=graul}} button. }} | ||
| Zeile 736: | Zeile 739: | ||
| SSL-VPN Client Einstellungen Allgemein.png }} | | SSL-VPN Client Einstellungen Allgemein.png }} | ||
{{var | VPN-TAP hinzufügen--cap | {{var | VPN-TAP hinzufügen--cap | ||
|* Sollen mehrere VPN-Profile '''gleichzeitig''' genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden: | | | ||
* Sollen mehrere VPN-Profile '''gleichzeitig''' genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden: | |||
** {{whitebox|{{spc|cog|o|-|class=fas}}}} Linksklick auf das Zahnradsymbol | ** {{whitebox|{{spc|cog|o|-|class=fas}}}} Linksklick auf das Zahnradsymbol | ||
** Menü {{whitebox|{{spc|wrench|o|Client Einstellungen|class=fas}} }} | ** Menü {{whitebox|{{spc|wrench|o|Client Einstellungen|class=fas}} }} | ||
** Reiter ''Allgemein'' → Schaltfläche {{Button|TAP hinzufügen|Anw=UMA}} | ** Reiter ''Allgemein'' → Schaltfläche {{Button|TAP hinzufügen|Anw=UMA}} | ||
|* If several VPN profiles are to be used '''simultaneously''', additional TAP drivers must be added: | | | ||
* If several VPN profiles are to be used '''simultaneously''', additional TAP drivers must be added: | |||
** {{whitebox|{{spc|cog|o|-|class=fas}}}} Left click on the cogwheel symbol | ** {{whitebox|{{spc|cog|o|-|class=fas}}}} Left click on the cogwheel symbol | ||
** Menu {{whitebox|{spc|wrench|o|Client Settings|class=fas}} }} | ** Menu {{whitebox|{spc|wrench|o|Client Settings|class=fas}} }} | ||
| Zeile 757: | Zeile 762: | ||
| Adjustment of the default cipher as of v12.2.2 }} | | Adjustment of the default cipher as of v12.2.2 }} | ||
{{var | 1=Cipher-Anpassung--desc | {{var | 1=Cipher-Anpassung--desc | ||
| 2=Ab v12.2.2 ist in der Einstellung {{Button|Default|dr}} der {{b|Cipher für Datenverbindung}} nicht mehr Blowfish-CBC enthalten.<br>Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.<br> Es wird '''dringend empfohlen''', die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.<br>Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.<br> Anpassung auf der UTM mit der Schaltfläche {{Button||w}} der jeweiligen Verbindung im Abschnitt {{Reiter|Allgemein}} im Feld ''Cipher für Datenverbindung''. | | 2=Ab v12.2.2 ist in der Einstellung {{Button|Default|dr}} der {{b|Cipher für Datenverbindung}} nicht mehr Blowfish-CBC enthalten.<br> Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.<br> Es wird '''dringend empfohlen''', die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.<br>Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.<br> Anpassung auf der UTM mit der Schaltfläche {{Button||w}} der jeweiligen Verbindung im Abschnitt {{Reiter|Allgemein}} im Feld ''Cipher für Datenverbindung''. | ||
| 3=As of v12.2.2, the {{Button|Default|dr}} setting of the {{b|Cipher for data connection}} no longer includes Blowfish-CBC.<br>If the client uses this cipher and is not able to handle NCP, with which the cipher is negotiated automatically, no connection is established. The cipher must be adjusted.<br> It is '''strongly recommended''' to stop using the BF-CBC cipher because it is considered '''not''' secure.<br>If the BF-CBC cipher is to be used anyway, it can be selected explicitly.<br> Adjustment on the UTM with the {{Button||w}} button of the respective connection in the General tab in the ''Cipher for data connection'' field. }} | | 3=As of v12.2.2, the {{Button|Default|dr}} setting of the {{b|Cipher for data connection}} no longer includes Blowfish-CBC.<br> If the client uses this cipher and is not able to handle NCP, with which the cipher is negotiated automatically, no connection is established. The cipher must be adjusted.<br> It is '''strongly recommended''' to stop using the BF-CBC cipher because it is considered '''not''' secure.<br> If the BF-CBC cipher is to be used anyway, it can be selected explicitly.<br> Adjustment on the UTM with the {{Button||w}} button of the respective connection in the General tab in the ''Cipher for data connection'' field. }} | ||
{{var | Cipher-Anpassung--Default--Bild | {{var | Cipher-Anpassung--Default--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default.png | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default.png | ||
| UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default-en.png }} | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default-en.png }} | ||
{{var | Cipher-Anpassung--Default--cap | {{var | Cipher-Anpassung--Default--cap | ||
| Cipher und Hash mit ''Default''-Einstellungen<br>{{Hinweis-box| Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt|g|icon=fas fa-ban}} | | Cipher und Hash mit ''Default''-Einstellungen<br> {{Hinweis-box| Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt|g|icon=fas fa-ban}} | ||
| Cipher and hash with ''default'' settings<br>{{Hinweis-box| Not compatible with Blowfish|g|icon=fas fa-ban}} }} | | Cipher and hash with ''default'' settings<br> {{Hinweis-box| Not compatible with Blowfish|g|icon=fas fa-ban}} }} | ||
{{var | Cipher-Anpassung--Blowfish--Bild | {{var | Cipher-Anpassung--Blowfish--Bild | ||
| UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish.png | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish.png | ||
| Zeile 775: | Zeile 780: | ||
| UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128-en.png }} | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128-en.png }} | ||
{{var | Cipher-empfohlen--cap | {{var | Cipher-empfohlen--cap | ||
| {{Hinweis-box| Empfohlene Einstellung<br><small>Muss auch auf der Gegenstelle konfiguriert sein</small>|gr|icon=fas fa-check}} | | {{Hinweis-box| Empfohlene Einstellung<br> <small>Muss auch auf der Gegenstelle konfiguriert sein</small>|gr|icon=fas fa-check}} | ||
| {{Hinweis-box| Recommended setting<br><small>Must also be configured on the remote station</small>|gr|icon=fas fa-check}} }} | | {{Hinweis-box| Recommended setting<br> <small>Must also be configured on the remote station</small>|gr|icon=fas fa-check}} }} | ||
{{var | Parameter müssen identisch sein | {{var | Parameter müssen identisch sein | ||
| Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich. | | Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich. | ||
| Zeile 803: | Zeile 808: | ||
{{var | IPv6 für eingehende Verbindungen--desc | {{var | IPv6 für eingehende Verbindungen--desc | ||
| In den Einstellungen des Roadwarriorservers {{Button||w}} kann im Abschnitt {{Reiter|Allgemein}} / {{b|Protokoll}} das Protokoll {{Button|UDP6|dr}} oder {{Button|TCP6|dr}} für IPv6 aktiviert werden. | | In den Einstellungen des Roadwarriorservers {{Button||w}} kann im Abschnitt {{Reiter|Allgemein}} / {{b|Protokoll}} das Protokoll {{Button|UDP6|dr}} oder {{Button|TCP6|dr}} für IPv6 aktiviert werden. | ||
| In the settings of the roadwarrior server {{Button||w}}, the protocol {{Button|UDP6|dr}} or {{Button|TCP6|dr}} for IPv6 can be activated under {{Reiter|General}} / {{b| Protocol}}. | | In the settings of the roadwarrior server {{Button||w}}, the protocol {{Button|UDP6|dr}} or {{Button|TCP6|dr}} for IPv6 can be activated under {{Reiter|General}} / {{b|Protocol}}. }} | ||
{{var | | |||
| | {{var | Mehrere IP-Adressen unterschiedlich nutzen | ||
| | | Mehrere IP-Adressen unterschiedlich nutzen | ||
| Use multiple IP addresses differently }} | |||
{{var | Mehrere IP-Adressen--desc | |||
| Falls mehrere öffentliche IP-Adressen zur Verfügung stehen, können die Ports der verschiedenen IP-Adressen unterschiedlich (bspw. für Reverse Proxy und VPN) verwendet werden {{info|Dies kann hilfreich sein, da Aufrufe bestimmter Ports aus dem Ausland teilweise blockiert werden. Aufrufe auf den Port 443 aber meist zugelassen werden.}}.<br> | |||
Hierzu muss bei der Regel des Reverse Proxys explizit angegeben werden, dass das ''external-interface'' der spezifischen IP als Ziel genutzt werden soll. Für die andere Verwendung wird der Traffic mithilfe von ''DestNAT'' umgeleitet, also der Traffic kommt auf Port 443 an, wird dann aber mithilfe einer Paketfilterregel auf einen anderen Port (bspw. 1194 für VPN) umgeleitet. | |||
| If several public IP addresses are available, the ports of the different IP addresses can be used differently (e.g. for reverse proxy and VPN) {{info|This can be helpful, as calls to certain ports from abroad are sometimes blocked. However, calls to port 443 are usually allowed}}.<br> | |||
For this purpose, the reverse proxy rule must explicitly specify that the ''external-interface'' of the specific IP should be used as the destination. For the other use, the traffic is redirected using ''DestNAT'', i.e. the traffic arrives on port 443, but is then redirected to another port (e.g. 1194 for VPN) using a packet filter rule. }} | |||
{{var | Konkrete Regeln für mehrere IP-Adressen anzeigen | |||
| Konkrete Regeln für mehrere IP-Adressen anzeigen | |||
| Show specific rules for multiple IP addresses }} | |||
{{var | Mehrere IPs-DN--title | |||
| DESTNAT<br>Netzwerkobjekt: external-interface-ip1<br>Dienst: https<br>Portumleitung | |||
| DESTNAT<br>Netzwork object: external-interface-ip1<br>Service: https<br>Port redirection }} | |||
{{var | Mehrere IPs-DN--info | |||
| {{b|Netzwerkobjekt:|class=mw9}} {{ic|{{spc|interface|o|-}} external-interface-ip1|dr|class=mw14}}<br>{{b|Dienst:|class=mw9}} {{ic|{{spc|tcp|o|-}} https|dr|class=mw14}} | |||
| {{b|Network object:|class=mw9}} {{ic|{{spc|interface|o|-}} external-interface-ip1|dr|class=mw14}}<br>{{b|Service:|class=mw9}} {{ic|{{spc|tcp|o|-}} https|dr|class=mw14}} }} | |||
{{var | 1=Troubleshooting--desc | {{var | 1=Troubleshooting--desc | ||
| 2=Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im [https://download.securepoint.de/s/NdtmQwK5j79f2ob?path=%2FSSL-VPN Troubleshooting Guide SSL-VPN] <nowiki>(pdf-Dokument)</nowiki> | | 2=Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im [https://download.securepoint.de/s/NdtmQwK5j79f2ob?path=%2FSSL-VPN Troubleshooting Guide SSL-VPN] <nowiki>(pdf-Dokument)</nowiki> | ||
| Zeile 816: | Zeile 837: | ||
| Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden. | | Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden. | ||
| When activated, duplicate clients can connect simultaneously with the same credentials. }} | | When activated, duplicate clients can connect simultaneously with the same credentials. }} | ||
{{var | | {{var | Doppelte Clients erlauben--Feste IP | ||
| | | Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde | ||
| | | Should not be enabled if the user has been assigned a fixed IP }} | ||
{{var | Doppelte Clients erlauben--Feste IP--info | {{var | Doppelte Clients erlauben--Feste IP--info | ||
| Konfiguration unter {{Menu-UTM|Authentifizierung|Benutzer|Benutzer||w}} Reiter {{Reiter|VPN}} Abschnitt {{Kasten|SSL-VPN}} | | Konfiguration unter {{Menu-UTM|Authentifizierung|Benutzer|Benutzer||w}} Reiter {{Reiter|VPN}} Abschnitt {{Kasten|SSL-VPN}} | ||
| Zeile 832: | Zeile 853: | ||
| Static SSL-VPN key type }} | | Static SSL-VPN key type }} | ||
{{var | Statischer SSL-VPN Schlüsseltyp--desc | {{var | Statischer SSL-VPN Schlüsseltyp--desc | ||
| * Die Aktivierung von ''tls-auth'' bewirkt eine zusätzliche Authentifizierung des Kontrollkanals | | | ||
* Die Aktivierung von ''tls-auth'' bewirkt eine zusätzliche Authentifizierung des Kontrollkanals | |||
* ''tls-crypt'' bewirkt eine zusätzliche Authentifizierung '''und''' Verschlüsselung des Kontrollkanals | * ''tls-crypt'' bewirkt eine zusätzliche Authentifizierung '''und''' Verschlüsselung des Kontrollkanals | ||
| * Activation of ''tls-auth'' causes additional authentication of the control channel | | | ||
* Activation of ''tls-auth'' causes additional authentication of the control channel | |||
* ''tls-crypt'' causes additional authentication '''and'''' Encryption of the control channel }} | * ''tls-crypt'' causes additional authentication '''and'''' Encryption of the control channel }} | ||
{{var | Nur private Zertifikate--Hinweis | {{var | Nur private Zertifikate--Hinweis | ||
| Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar | | Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar | ||
| | | Only certificates with a private key part can be selected }} | ||
---- | ---- | ||
UTM/VPN/SSL VPN-Roadwarrior.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki