Pascal (Diskussion | Beiträge) |
Pascal (Diskussion | Beiträge) |
||
Zeile 9: | Zeile 9: | ||
*Erstellen Sie ein Server und ein Client Zertifikat (Keine Leerzeichen im Namen!) | *Erstellen Sie ein Server und ein Client Zertifikat (Keine Leerzeichen im Namen!) | ||
*Speichern Sie die CA und das Client Zertifikat als PEM auf Ihrem Rechner. (Diese werden Sie später auf den Client importieren müssen) | *Speichern Sie die CA und das Client Zertifikat als PEM auf Ihrem Rechner. (Diese werden Sie später auf den Client importieren müssen) | ||
*Öffnen Sie die | |||
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert. | |||
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. | |||
[[Datei:oeffne_ca.jpeg|thumb|250px]] | |||
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei. | |||
:Es öffnet sich ein Kontextmenü. | |||
<br> | |||
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]] | |||
*Klicken Sie auf ''Öffnen''. | |||
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''. | |||
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor. | |||
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''. | |||
*Bestätigen Sie mit ''OK''. | |||
<br><br><br><br> | |||
<br><br><br><br> | |||
<br> | |||
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei. | |||
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ). | |||
*''Speichern'' Sie dann die Datei. | |||
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]] | |||
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]] | |||
<br><br><br><br> | |||
<br><br><br><br> | |||
<br><br><br><br> | |||
<br><br><br><br> | |||
<br> | |||
=== SSL VPN === | === SSL VPN === |
Version vom 30. Oktober 2012, 15:32 Uhr
Einrichtung des SSL VPN Servers
Zertifikate
- Gehen Sie auf Authentifizierung > Zertifikate
- Erstellen Sie ihre CA.
- Gehen Sie auf die Registerkarte Zertifikate
- Erstellen Sie ein Server und ein Client Zertifikat (Keine Leerzeichen im Namen!)
- Speichern Sie die CA und das Client Zertifikat als PEM auf Ihrem Rechner. (Diese werden Sie später auf den Client importieren müssen)
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert. Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden.
- Suchen Sie die exportierte CA Datei heraus und klicken Sie mit der rechten Maustaste auf die Datei.
- Es öffnet sich ein Kontextmenü.
- Klicken Sie auf Öffnen.
- Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit OK.
- Wählen Sie aus der Liste einen Editor z.B. den Microsoft Editor.
- Entfernen Sie ggf. den Haken bei Dateityp immer mit dem ausgewählten Programm öffnen.
- Bestätigen Sie mit OK.
- Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.
- Entfernen Sie den markierten Bereich (z.B. mit Drücken der Taste Entf bzw. del ).
- Speichern Sie dann die Datei.
SSL VPN
- Gehen Sie auf VPN > SSL VPN
- Klicken Sie auf „Site-to-Site-Server“
- Geben Sie dem Server einen Namen ein
- Wählen Sie das Protokoll aus
- Der Port wird automatisch selbst gesetzt.
- Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.
- Als letztes geben Sie dem Server die IP 192.168.250.1/24
- Klicken Sie auf weiter
Nun erstellen Sie das Client Profil
- Wählen Sie das Client Zertifikat aus.
- Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der V11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 253 IPs zur Auswahl.
- Als Subnetz geben Sie das Netzwerk hinter dem Client an.
- Klicken Sie auf weiter.
- Die MTU lassen Sie auf 1500
- Klicken Sie auf fertig.
Überprüfen Sie ob der SSL Server gestartet ist Dies machen Sie über Anwendungen > Anwendungsstatus. Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).
Routen
- Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing
- Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk
Regelwerk
- Gehen Sie auf Firewall > Implied Rules > VPN
- Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)
- Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.
- Erstellen Sie ein Netzwerkobjekt für das Clientnetzwerk (Remotenetzwerk).
- Geben Sie einen Namen an
- Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.
- Als Typ wählen Sie Netzwerk aus
- Die Zone lautet vpn-openvpn-<Name des Remote Client Profils>
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter
Erstellen Sie nun das Regelwerk
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT
<Ihr angelegtes Objekt> > Internal Network > any > ACCEPT
Einrichtung des Clients
Zertifikate
- Gehen Sie auf Authentifizierung > Zertifikate
- Importieren Sie die CA und das Client Zertifikat.
SSL VPN
- Gehen Sie auf VPN > SSL VPN
- Klicken Sie auf „Site-to-Site Client“
- Geben Sie der Verbindungen einen Namen.
- Geben Sie den Remotehost an.
- Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)
- Wählen Sie das Client Zertifikat aus.
- Klicken Sie auf Weiter
- Belassen Sie die MTU auf 1500 (ansonsten muss dies auf den Wert des Servers eingestellt werden)
- Klicken Sie auf Fertig
Überprüfen Sie ob der SSL Server gestartet ist Dies machen Sie über Anwendungen > Anwendungsstatus. Hat SSL-VPN eine grüne Lampe, dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet das der Server aus ist).
Routen
- Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing
- Erstellen Sie eine Route über das Gateway „tun0“ zum Zielnetzwerk
Regelwerk
- Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.
- Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).
- Geben Sie einen Namen an
- Die Gruppe können Sie leer lassen, da es in der V11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.
- Als Typ wählen sie Netzwerk aus
- Die Zone ist vpn-openvpn-<Name des Openvpn Servers>
Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter Erstellen Sie nun das Regelwerk
Internal Network > <Ihre angelegtes Objekt> > any > ACCEPT <Ihr angelegtes Objekt> > Internal Network > any > ACCEPT