Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-Roadwarrior: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
K Änderung 96464 von Lauritzl (Diskussion) rückgängig gemacht.
Markierung: Rückgängigmachung
K 1 Version importiert
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 6: Zeile 6:
{{var | neu--Neuer Default Cipher
{{var | neu--Neuer Default Cipher
| Default Wert für den [[#Allgemein|Cipher für Datenverbindung]] auf ''AES-256-GCM'' aktualisiert
| Default Wert für den [[#Allgemein|Cipher für Datenverbindung]] auf ''AES-256-GCM'' aktualisiert
| }}
| Default value for the [[#Edit_connection|Cipher for data connection]] updated to ''AES-256-GCM'' }}
 
{{var | neu--Hinweis Nutzung mehrerer IPs
| Hinweis zur [[#Mehrere_IP-Adressen_unterschiedlich_nutzen|unterschiedlichen Nutzung mehrerer IP-Adressen]]
| Note on [[#Use_multiple_IP_addresses_differently|different use of several IP addresses]] }}
{{var | neu--deprecated
| [[#Site-to-Site_Server_Konfiguration | Abkündigung für veraltete Zertifikate ergänzt]]
| [[#Site-to-Site_Server_Configuration | Termination notice for deprecated certificates added]] }}
 
{{Rollout|1024-deprecated}}
 


</div><div class="new_design"></div>{{TOC2|toclevel=2}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2|toclevel=2}}{{Select_lang}}
Zeile 22: Zeile 32:
[[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]]
[[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.12]]
|{{Menu-UTM|VPN|SSL-VPN}}
|{{Menu-UTM|VPN|SSL-VPN}}
|zuletzt=09.2025
* {{#var:neu--deprecated}}
* {{#var:neu--Hinweis Nutzung mehrerer IPs}} <small>(06.2025)</small>
}}
}}
----
----
Zeile 37: Zeile 50:
<div class="Einrücken">
<div class="Einrücken">
<li class="list--element__alert list--element__hint">{{#var:Roadwarrior Konfiguration--Hinweis}}</li>
<li class="list--element__alert list--element__hint">{{#var:Roadwarrior Konfiguration--Hinweis}}</li>
<p>{{Zertifikate-deprecated|14.2}}</p>
</div>
</div>


Zeile 108: Zeile 122:
===== {{#var:Schritt}} 3 =====
===== {{#var:Schritt}} 3 =====
{{#var:Schritt 3--desc}}
{{#var:Schritt 3--desc}}
|-
|-  
|  
| class=pd0 |
 
{| class="sptable2 noblank"
{| class="sptable2 noblank"
|-
|-
Zeile 120: Zeile 133:
|-
|-
| {{b|Port:}} || {{ic|1194|c}} || {{#var:Port--desc}}
| {{b|Port:}} || {{ic|1194|c}} || {{#var:Port--desc}}
|-
|-  
| {{b|{{#var:Serverzertifikat}}:}} {{info|{{Hinweis-box||gr|12.7.1|status=update}}{{#var:Nur private Zertifikate--Hinweis}} }} || {{Button| CS-RW-Securepoint-Server |dr}} || {{#var:Serverzertifikat--desc}}
| {{b|{{#var:Serverzertifikat}}:}} {{info|{{Hinweis-box||gr|12.7.1|status=update}}{{#var:Nur private Zertifikate--Hinweis}} }} || {{Button| CS-RW-Securepoint-Server |dr}} || {{#var:Serverzertifikat--desc}}
<li class="list--element__alert list--element__positiv">{{#var:Serverzertifikat Hinweis}}</li>
<li class="list--element__alert list--element__positiv">{{#var:Serverzertifikat Hinweis}}</li>
{{Zertifikate-deprecated|info}}
|-
|-
| {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic| {{cb|192.168.175.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}}
| {{b|{{#var:Servernetzwerke freigeben}} }} || {{ic| {{cb|192.168.175.0/24}} |cb}} || {{#var:Servernetzwerke freigeben--desc}}
Zeile 164: Zeile 178:
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | {{h5|Allgemein|{{Reiter|Allgemein}} }}
| colspan="3" | {{h5|{{#var:Allgemein}}|{{Reiter|{{#var:Allgemein}}}} }}
|- class="noborder"
|- class="noborder"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
Zeile 211: Zeile 225:
|
|
|- class="noborder"
|- class="noborder"
| colspan="3" | {{h5|Erweitert|{{Reiter|Erweitert}} }}
| colspan="3" | {{h5|{{#var:Erweitert}}|{{Reiter|{{#var:Erweitert}} }} }}
|-
|-
| {{b|MTU:}} || {{ic|1500|c|class=mw5}} || {{#var:MTU--desc}}
| {{b|MTU:}} || {{ic|1500|c|class=mw5}} || {{#var:MTU--desc}}
Zeile 249: Zeile 263:
|}
|}
----
----


==== {{#var:Regelwerk}} ====
==== {{#var:Regelwerk}} ====
Zeile 487: Zeile 500:
</div>
</div>
----
----
==== {{#var:Mehrere IP-Adressen unterschiedlich nutzen}} ====
<div class="einrücken">
{{#var:Mehrere IP-Adressen--desc}}
{{Einblenden3|{{#var:Konkrete Regeln für mehrere IP-Adressen anzeigen}}|{{#var:hide}}|true|dezent}}
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;" | {{#var:Ziel}} || style="min-width:12em;" | {{#var:Dienst}} || style="min-width:6em;" | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;" |
|-
| {{spc|drag|o|-}} || || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface-ip3 || {{spc|tcp|o|-}} openvpn-tcp || {{Kasten|DN|blau|title={{#var:Mehrere IPs-DN--title}} }} {{info|{{#var:Mehrere IPs-DN--info}} }} || {{Logging-Slider}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||fa|class=fas fa-chart-bar|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|-
| {{spc|drag|o|-}} || || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface-ip2 || {{spc|tcp|o|-}} https ||  || {{Logging-Slider}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||fa|class=fas fa-chart-bar|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
</div></div></span>
</div>




Aktuelle Version vom 8. Oktober 2025, 08:02 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden
















































































































    • Tab General → Button Add TAP }}
































Konfiguration von SSL-VPN Roadwarrior-Verbindungen

Letzte Anpassung zur Version: 14.0.3

Neu:
Zuletzt aktualisiert: 
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 VPN SSL-VPN


Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.

notempty
Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.

Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate


Vorbereitungen

  • Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt.
    Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.



    • notempty
  • Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt
  • Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt
  • HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!
  • Unsichere Zertifikate sollten dringend ausgetauscht werden!
    Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
    BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung

    Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus


    • Auflösung interner Hostnamen im SSL-VPN

    Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:


    DNS/WINS übermitteln

    Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

    Globale VPN Einstellungen UTMbenutzer@firewall.name.fqdnVPN
    IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen
    SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.



    Search Domain

    Wenn vorhanden, Domain eingeben.

    SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Search Domain vorgeben



    Block Outside DNS

    Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
    Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü  Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS  Block Outside DNS


    Roadwarrior Konfiguration

    Einrichtungsassistent

    Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit VPN SSL-VPN  Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.

    Schritt 1
    		 SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Einrichtung Schritt 1
    Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
    Es stehen folgende Verbindungen zur Verfügung.
    • Roadwarrior Server
    • Site to Site Server
    • Site to Site Client

    Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

    Schritt 2
    Einrichtung Schritt 2
    Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.
    Schritt 3

    Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.

    Beschriftung Wert Beschreibung
    Name: RW-Securepoint Eindeutige Bezeichnung, frei wählbar
    Protokoll: UDP Gewünschtes Protokoll
    Port: 1194 Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
    Serverzertifikat:
    Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar
    		CS-RW-Securepoint-Server Auswahl des Zertifikates, mit dem der Server sich Authentifiziert.
    Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
    • Erstellung einer CA im Abschnitt CA mit der Schaltfläche CA hinzufügen
    • Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche Zertifikat hinzufügen.
      Bitte beachten: Serverzertifikat: Ein aktivieren
    • Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
  • Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden.
  • Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden!
  • Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.
  • Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.



  • Bitte Mindestbedingungen für Zertifikate ab UTM Version 14.2 beachten!
    notempty
    • Die Unterstützung für Zertifikate mit einer Schlüssellänge von 1024 Bit oder weniger wird ab der UTM Version 14.2 eingestellt
    • Die Unterstützung für Zertifikate mit SHA1 Signierungsalgorithmus wird ebenfalls ab der Version 14.2 eingestellt
    • HTTP-Proxy oder SSL-VPN Verbindungen mit solchen veralteten Zertifikaten werden ab der v14.2 nicht mehr funktionieren!
    • Unsichere Zertifikate sollten dringend ausgetauscht werden!
      Das BSI empfiehlt - Stand 01.2025 - Schlüssellängen ab 3000 Bit und SHA256
      BSI – Technische Richtlinie - Kryptographische Verfahren:Empfehlungen und Schlüssellängen BSI TR-02102-1 | Kapitel 2.3: RSA-Verschlüsselung

      Die Default-Einstellung der UTM für neue Zertifikate ist RSA Veschlüsselung mit 3072 Bit und SHA256 als Hashalgorithmus
    • Servernetzwerke freigeben »192.168.175.0/24 Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
    Einrichtung Schritt 3
    Schritt 4
    Einrichtung Schritt 4
    Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
    Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
  • Die IP-Adressen werden aufsteigend (beginnend mit .2)
    Fehler in der Beschreibung der Reihenfolge korrigiert
    an die Clients vergeben
  • Sollen Clients feste IP-Adressen zugewiesen werden, sollten diese im Beispiel mit einem /24er Netz absteigend mit .253
    Fehler korrigiert, .254 ist durch den virtuellen DHCP-Server belegt
    beginnen.
    • Das Netz für den Pool muss ausreichend groß gewählt werden, um alle Clients mit einer Tunnel-IP versorgen und eine Überschneidung (feste IP-Adressen von oben absteigend und dynamische Vergabe von unten aufsteigend) ausschließen zu können
    Schritt 5
    Einrichtung Schritt 5
    Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
    Danach kann der Einrichtungsassistent abgeschlossen werden.
    • None = Authentifizierung nur über die Zertifikate
    • Local = Lokale Benutzer und AD Gruppen
    • Radius = Radius Server
    • Local OTP = Lokale Benutzer und AD Gruppen mit verpflichtendem OTP für diesen Tunnel notempty
      Neu ab v12.7.3
    Abschluss
    		 SSL-VPN UTMbenutzer@firewall.name.fqdnVPN Einrichtung Abschluss
    In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
    Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten
  • Dabei werden alle SSL-VPN-Tunnel unterbrochen!
  • Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
  • Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

    • Verbindung bearbeiten

    Allgemein
    Allgemein
    Beschriftung Wert Beschreibung SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Name: RW Securepoint Name der SSL-Verbindung
    Schnittstelle: tun1 Verwendete Schnittstelle
    Modus: Server Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt)
    Protokoll: UDP (Default)
    TCP    		 Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
    Port: 1194 Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
    Authentifizierung: NONE
    LOCAL(Default)
    RADIUS
    Local OTP    		 Passende Authentifizierungsmethode wählen
    Zertifikat: CS-RW-Securepoint-Server Das verwendete Zertifikat kann hier geändert werden
    Statischer SSL-VPN Schlüsseltyp: Aus tls-authtls-crypt
    • Die Aktivierung von tls-auth bewirkt eine zusätzliche Authentifizierung des Kontrollkanals
    • tls-crypt bewirkt eine zusätzliche Authentifizierung und Verschlüsselung des Kontrollkanals
    Statischer SSL-VPN Schlüssel: notempty
    Neu ab v12.6.1
    		 SSL-VPN RW-Securepoint Absicherung der Verbindung mit tls-auth.
  • Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.
    • Cipher für Datenverbindung: AES-256-GCM Standardmäßig wird AES-256-GCM verwendet. notempty
    Seit v14.0.3

    Sämtliche Gegenstellen müssen denselben Cipher benutzen!
    Default BF-CBC DES-EDE-CBC DES-EDE3-CBC CAST5-CBC AES-128-CBC AES-192-CBC AES-256-CBC AES-128-GCM AES-192-GCM AES-256-GCM
    Hash für Datenverbindung: SHA256 Standardmäßig wird SHA256 verwendet.
    Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen!
    Default SHA1 SHA224 SHA384 SHA512 whirlpool
    Erlaubte Cipher für automatische Aushandlung (NCP):     Es lassen sich gezielt einzelne Cipher aus einer Liste auswählen
    IPv4 Pool: 192.168.192.0/24 Pool-Adresse eintragen
    IPv6 Pool:    /64 Pool-Adresse eintragen
    Servernetzwerke freigeben:     Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
    Search Domain:     Wenn vorhanden, Domain eingeben.
    Renegotiation: nie
    1 Stunde (Default)
    2 Stunden
    4 Stunden
    8 Stunden
    12 Stunden    		 Zeitraum, ab dem die Verbindung erneut vermittelt wird.
    Die Einstellungen können mit gespeichert werden.
    Erweitert
    Erweitert
    MTU: 1500 Maximale Übertragungseinheit des größten Pakets (Byte) SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Maximale Clients: 1024 Maximale Anzahl an Clients
    Wird kein Wert festgelegt, gilt der Default-Wert von 1024
    Doppelte Clients erlauben: Nein Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden.
  • Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde
    Konfiguration unter Authentifizierung Benutzer  Bereich Benutzer Schaltfläche Reiter VPN Abschnitt
    SSL-VPN
    • DNS übermitteln: Nein Erlaubt die DNS-Übermittlung
    WINS übermitteln: Nein Erlaubt die WINS-Übermittlung
    Multihome: Ein Erlaubt die Nutzung von mehrere Default-Routen
    LZO: Aus LZO-Kompression
    Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
    Deaktiviert: Nein
    Pass TOS: Aus Übergibt dem Tunnelpaket den ursprünglichen Type of Service-Header des Datenpaketes
    Ping Intervall: 10 Sekunden Intervall der Ping-Anfragen
    Ping Wartezeit: 120 Sekunden
    Ausgehende Puffergröße: 65536 Bytes Steuert die Größe des Puffers für den Socket
  • Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
    • Eingehende Puffergröße: 65536 Bytes s.o.
    Replay window Sequenzgröße: 64 Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
    Replay window Wartezeit: 15 Sekunden Zeitfenster, in dem die Sequenzgröße maximal angewendet wird
    Die Einstellungen können mit gespeichert werden.

    Regelwerk

    Implizite Regeln

    Unter Firewall Implizite Regeln  Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

    Im Beispiel Ein SSL-VPN UDP

    Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
    Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
    Ein User Interface Portal

    		Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall
  • Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.


    • Netzwerkobjekte

    Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

    Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
    Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

    Beschriftung Wert Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
    Name: SSL-VPN-RW-Network Eindeutige Bezeichnung, frei wählbar
    Typ: VPN-Netzwerk Passenden Typen wählen
    Adresse: 192.168.192.0/24 Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
    Zone: vpn-ssl-RW-Securepoint Die Zone, über die das Tunnel-Netzwerk angesprochen wird.
    Gruppen:     Optionale Zuordnung zu Netzwerkgruppen
    Die Einstellungen können mit gespeichert werden.


    Paketfilter Regel
    Menü Firewall Paketfilter  Schaltfläche Regel hinzufügen
    Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:     		Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
    Allgemein
    Quelle SSL-VPN-RW-Network Eingehende Regel
    Ziel internal-network Als Ziel muss internal-network angegeben werden
    Dienst ms-rdp Es sollten nur tatsächlich benötigte Dienste freigegeben werden!
    Aktion ACCEPT


    Benutzer und Gruppen anlegen

    Gruppe
    Berechtigungen Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer
    Unter Authentifizierung Benutzer  Bereich Gruppe Schaltfläche + Gruppe hinzufügen klicken.

    Folgende Berichtigungen müssen erteilt werden:

    • Ein Userinterface
    • Ein SSL-VPN
    SSL-VPN
    Client im Userinterface herunterladbar: Ja Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
    SSL-VPN Einstellungen für die Gruppe
    SSL-VPN Verbindung: RW-Securepoint Soeben angelegte Verbindung wählen
    Clientzertifikat: Clientzertifikat Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
  • Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
    • Remote Gateway: 192.0.2.192 Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
    Redirect Gateway: Aus Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM.
    Im Portfilter verfügbar: Ja Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN


    Benutzer
  • Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Abschnitt Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.
    • Authentifizierung Benutzer  Bereich Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .
    Allgemein
    Gruppen: RW-SSL-VPN Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
    SSL-VPN Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen für die Benutzer
    Einstellungen aus der Gruppe verwenden: Ein Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
    Installer
    Portable Client
    Konfiguration    		 Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
    Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.


    Der SSL-VPN Client

    Herunterladen des SSL-VPN Clients im Userinterface

    Userinterface SSL-VPN

    Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:

    • Zum Download gelangt man über den Menüpunkt SSL-VPN .
    • Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
    • Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
    • Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
  • Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter Firewall Implizite Regeln  Bereich VPN Option Ein User Interface Portal aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

    • Der Client wird angeboten als:
    • SSL-VPN Client Installer
  • Die Installation muss mit Administrator-Rechten durchgeführt werden.
      • Erforderliche Prozessorarchitektur: x86 / x64

    • SSL-VPN Portable Client
      • Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
  • Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
      • Erforderliche Prozessorarchitektur: x86 / x64

    • Konfiguration und Zertifikat
      • Zur Verwendung in anderen SSL-VPN-Clients
  • Die komprimierten Ordner enthalten neben dem SSL-VPN Client
      • eine Konfigurationsdatei
      • die CA- und Client-Zertifikate
      • sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
      • Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

    notempty
    Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden

    Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client



    SSL-VPN Verbindung als Client herstellen

    Aktive SSL-VPN-Verbindung

    Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
    Starten der Verbindung mit Klick auf



    Mehrere VPN-Server als Ziele für eine Verbindung

    In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.

    • Rechter Mausklick auf die Verbindung
    • Kontextmenü Einstelungen
  • Schaltfläche Erweitert
  • IP: utm1.anyideas.de
  • Port: 1194
    • Eingabe von Hostnamen oder IP und verwendeten Port
    Angaben mit  Hinzufügen  übernehmen
    Fenster mit OK schließen
    UAC Benutzerkonten Meldung bestätigen.


    Mehrere VPN-Profile nutzen

    Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen

    • Linksklick auf das Zahnradsymbol im Client-Fenster
    • Kontextmenü Importieren
  • Mit Klick auf im Abschnitt
    Quelldatei:
     kann eine Datei im .ovpn-Format ausgewählt werden.
  • Im Abschnitt
    Importieren als:
     kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
  • Abschluss mit der Schaltfläche Importieren
  • Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
    • Linksklick auf das Zahnradsymbol
    • Menü  Client Einstellungen
    • Reiter Allgemein → Schaltfläche TAP hinzufügen
  • Mit Klick auf im Abschnitt
    Quelldatei:
     kann eine Datei im .ovpn-Format ausgewählt werden.
  • Im Abschnitt
    Importieren als:
     kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
  • Abschluss mit der Schaltfläche Importieren


    • Hinweise

    Verschlüsselung

    Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

    notempty
    Anpassung der default Cipher ab v12.2.2

    notempty
    Ab v12.2.2 ist in der Einstellung Default der Cipher für Datenverbindung nicht mehr Blowfish-CBC enthalten.
    Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.
    Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
    Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.
    Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Abschnitt Allgemein im Feld Cipher für Datenverbindung.
    SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Cipher und Hash mit Default-Einstellungen
    notempty
    Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt
    SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    Cipher mit Blowfish-kompatiblen Einstellungen notempty
    Nicht empfohlen
    SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
    notempty
    Empfohlene Einstellung
    Muss auch auf der Gegenstelle konfiguriert sein
    notempty
    Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.


    Hashverfahren

    Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.

    notempty
    Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.


    QoS

    Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.


    Hinweis zu vorgeschalteten Routern/Modems

    Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

    notempty
    Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.


    IPv6 für eingehende Verbindungen

    In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

    Mehrere IP-Adressen unterschiedlich nutzen

    Falls mehrere öffentliche IP-Adressen zur Verfügung stehen, können die Ports der verschiedenen IP-Adressen unterschiedlich (bspw. für Reverse Proxy und VPN) verwendet werden
    Dies kann hilfreich sein, da Aufrufe bestimmter Ports aus dem Ausland teilweise blockiert werden. Aufrufe auf den Port 443 aber meist zugelassen werden.
    .

    Hierzu muss bei der Regel des Reverse Proxys explizit angegeben werden, dass das external-interface der spezifischen IP als Ziel genutzt werden soll. Für die andere Verwendung wird der Traffic mithilfe von DestNAT umgeleitet, also der Traffic kommt auf Port 443 an, wird dann aber mithilfe einer Paketfilterregel auf einen anderen Port (bspw. 1194 für VPN) umgeleitet.

    # Quelle Ziel Dienst NAT Logging Aktion
    internet external-interface-ip3 openvpn-tcp DN
    Netzwerkobjekt: external-interface-ip1
    Dienst: https
    3/Min
    		 Accept Ein
    internet external-interface-ip2 https
    3/Min
    		 Accept Ein


    Troubleshooting

    Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)





























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden





















    Connection Rate Limit

    Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

    notempty

    Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
    Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

    Die Funktion soll helfen Angriffe abzuwehren.
    SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.

    Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
    Dabei gelten folgende Bedingungen:

    • Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
    • Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
    • Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
      Danach werden die Verbindungen limitiert:
      • Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
      • Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
      • 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
    • Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
      Andere Ports können weiterhin erreicht werden.
    • Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
    • Bei Updates muss die Funktion manuell aktiviert werden
    extc-Variable Default Beschreibung
    CONNECTION_RATE_LIMIT_TCP 0 Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port
    0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
    CONNECTION_RATE_LIMIT_TCP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden.
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
    CONNECTION_RATE_LIMIT_UDP 20 / 0
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
    		Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
    CONNECTION_RATE_LIMIT_UDP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!).
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

    Konfiguration mit CLI-Befehlen

    CLI-Befehl Funktion
    extc value get application securepoint_firewall
    Alternativ als root-User:
    spcli extc value get application securepoint_firewall | grep RATE     		Listet alle Variablen der Anwendung securepoint_firewall auf.
    Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen.

    application |variable |value --------------------+-------------------------------+----- securepoint_firewall |… |… |CONNECTION_RATE_LIMIT_TCP |0 |CONNECTION_RATE_LIMIT_TCP_PORTS| |CONNECTION_RATE_LIMIT_UDP |20 |CONNECTION_RATE_LIMIT_UDP_PORTS|

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    system update rule    		 Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
  • Eine Änderung wird durch ein Regelupdate direkt durchgeführt.
    Der Wert muss nicht zuerst auf 0 gesetzt werden!
    • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0
    system update rule    		 Deaktiviert die Überwachung von TCP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    system update rule     		Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ]
    system update rule    		 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    system update rule    		 Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
  • Eine Änderung wird durch ein Regelupdate direkt durchgeführt.
    Der Wert muss nicht zuerst auf 0 gesetzt werden!
    • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0
    system update rule    		 Deaktiviert die Überwachung von UDP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ]
    system update rule     		Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195.
    (Beispielhaft für 2 angelegte SSL-VPN Tunnel.)
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule    		 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule

    notempty

    Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.

    		Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Roadwarrior&oldid=98857