Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-Roadwarrior v11.7.1: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(v11 SSL Roadwarrior)
(v11 SSL Roadwarrior)
Zeile 1: Zeile 1:
Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN (Virtual Private Network) Verbindung auf der Basis des Open-Source Projektes OpenVPN an.
nstellungen an der Appliance vornehmen==
OpenVPN zeichnet sich durch eine relativ einfache Konfiguration und gute Verschlüsselung der Daten aus. Neben Preshared Key wird auch die Authentifizierung mit x.509 Zertifikaten unterstützt.
<br><br>
 
==Einstellungen an der Appliance vornehmen==


Zur Konfiguration der Appliance wird in der folgenden Beschreibung das Webinterface genutzt. Dieses erreichen Sie über die IP-Adresse des internen Interface mit dem Port 11115 unter Benutzung des HTTPS Protokolls.
Zur Konfiguration der Appliance wird in der folgenden Beschreibung das Webinterface genutzt. Dieses erreichen Sie über die IP-Adresse des internen Interface mit dem Port 11115 unter Benutzung des HTTPS Protokolls.
Zeile 20: Zeile 16:
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Klicken Sie auf "+ CA hinzufügen".
Zeile 28: Zeile 24:
<br><br><br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br><br><br>
*Gehen Sie danach auf die Registerkarte Zertifikate.
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]
[[Datei:Server_cert2.png|200px|thumb|right|Server Zertifikate anlegen]]
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
Zeile 37: Zeile 33:
<br><br><br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br><br><br>


*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).
<br>
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. Um das zu verhindern, müssen Sie den privaten Schlüssel aus der exportierten CA löschen.


*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.
==== SSL Konfiguration====
:Es öffnet sich ein Kontextmenü.  
 
<br>
[[Datei:SSL-Konfiguration.png|thumb|240px|<font size="1"></font>]]
Unter dem Menüpunkt VPN -> SSL wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.1/24
 
den MTU lassen Sie unverändert.
 
 
 
 
 


[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]
====Benutzer anlegen====
*Klicken Sie auf ''Öffnen''.
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.
*Bestätigen Sie mit ''OK''.
<br><br><br><br>
<br><br><br><br>
<br>


*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.
Benutzer, die die SSL-VPN-Verbindung nutzen wollen, müssen in der Benutzerverwaltung als Mitglied der Gruppe SSL-VPN eingetragen sein. Damit der Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen kann, muss er zusätzlich Mitglied in der Gruppe Userinterface sein. Außerdem kann den Benutzern hier eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).
*''Speichern'' Sie dann die Datei.
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>

Version vom 14. Dezember 2012, 13:30 Uhr

nstellungen an der Appliance vornehmen==

Zur Konfiguration der Appliance wird in der folgenden Beschreibung das Webinterface genutzt. Dieses erreichen Sie über die IP-Adresse des internen Interface mit dem Port 11115 unter Benutzung des HTTPS Protokolls.

An der Appliance anmelden

Login Dialog
  • Öffnen Sie einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das HTTPS Protokoll.
Bsp.: https://192.168.175.1:11115
  • Melden Sie sich im Login Dialog als Administrator an.
Werkseinstellungen:
Benutzername: admin
Kennwort: insecure

Zertifikate

Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.

  • Gehen Sie dafür auf Authentifizierung > Zertifikate.
CA anlegen
  • Erstellen Sie ihre CA.
    • Klicken Sie auf "+ CA hinzufügen".
    • Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Füllen Sie die anderen Felder entsprechend aus.
    • Speichern Sie die CA.











  • Gehen Sie danach auf die Registerkarte Zertifikate.
Server Zertifikate anlegen
  • Nun erstellen Sie ein Server- und ein Client-Zertifikat.
    • Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
    • Füllen Sie die restlichen Felder aus.
    • Alias bleibt auf "none".
    • Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.












SSL Konfiguration

Datei:SSL-Konfiguration.png

Unter dem Menüpunkt VPN -> SSL wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :

  • Name
  • Protokoll
  • Port
  • Benutzerauthentifizierung
  • Serverzertifikat
  • Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.1/24

den MTU lassen Sie unverändert.




Benutzer anlegen

Benutzer, die die SSL-VPN-Verbindung nutzen wollen, müssen in der Benutzerverwaltung als Mitglied der Gruppe SSL-VPN eingetragen sein. Damit der Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen kann, muss er zusätzlich Mitglied in der Gruppe Userinterface sein. Außerdem kann den Benutzern hier eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Roadwarrior_v11.7.1&oldid=2867