Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-S2S.lang: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | SSL-VPN Site-to-Site | SSL-VPN Site-to-Site }} {{var | head | Konfiguration von SSL-VPN Site-to-Site-Verbindungen | }} {{var | Einleitung | Einleitung | }} {{var | Einleitung--desc | Mithilfe von SSL VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglic…“)
 
KKeine Bearbeitungszusammenfassung
Zeile 9: Zeile 9:
{{var | head
{{var | head
| Konfiguration von SSL-VPN Site-to-Site-Verbindungen
| Konfiguration von SSL-VPN Site-to-Site-Verbindungen
| }}
| Configuration of SSL-VPN site-to-site connections }}


{{var | Einleitung
{{var | Einleitung
| Einleitung
| Einleitung
| }}
| Introduction }}
{{var | Einleitung--desc
{{var | Einleitung--desc
| Mithilfe von SSL VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.
| Mithilfe von SSL-VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.
| }}
| SSL-VPN can also be used to establish site-to-site connections. Since this requires the corresponding instance of the service to run explicitly in client or server mode, it is possible to create multiple instances of the SSL-VPN service. }}
{{var | Site to Site Server--desc
{{var | Site-to-Site Server--desc
| Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.
| Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.
| }}
| This method is used when the remote terminal is the initiator of the connection. For this, the service must explicitly start in server mode. }}
{{var | Site to Site Client--desc
{{var | Site-to-Site Client--desc
| Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.
| Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.
| }}
| This method is used when the UTM itself is the initiator of the connection. For this, the service must explicitly start in client mode. }}


{{var | Site to Site Server Konfiguration
{{var | Site-to-Site Server Konfiguration
| Site to Site Server Konfiguration
| Site-to-Site Server Konfiguration
| }}
| Site-to-site server configuration }}
{{var | Site to Site Server Konfiguration-Hinweis
{{var | Site-to-Site Server Konfiguration-Hinweis
| Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.
| Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.
| }}
| For the S2S server setup, a CA, a server certificate and a client certificate are required. }}


{{var | SSL-VPN-Verbindung
{{var | SSL-VPN-Verbindung
| SSL-VPN-Verbindung
| SSL-VPN-Verbindung
| }}
| SSL-VPN connection }}
{{var | SSL-VPN-Verbindung--desc
{{var | SSL-VPN-Verbindung--desc
| Einrichten der Verbindung im Menü {{Menu|VPN|SSL-VPN| |SSL-VPN Verbindung hinzufügen|+}}
| Einrichten der Verbindung im Menü {{Menu|VPN|SSL-VPN| |SSL-VPN Verbindung hinzufügen|+}}
| }}
| Set up the connection in the {{Menu|VPN|SSL-VPN| |Add SSL-VPN connection|+}} menu. }}


{{var | Installationsassistent
{{var | Installationsassistent
| Installationsassistent
| Installationsassistent
| }}
| Installation wizard }}
{{var | Schritt 1
{{var | Schritt 1
| Schritt 1
| Schritt 1
Zeile 49: Zeile 49:
{{var | Schritt 1--cap
{{var | Schritt 1--cap
| Installationsschritt 1
| Installationsschritt 1
| }}
| Installation step 1 }}
{{var | Schritt 1--desc
{{var | Schritt 1--desc
| Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
| Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
* Roadwarrior Server
* Roadwarrior Server
* '''Site to Site Server'''
* '''Site-to-Site Server'''
* Site to Site Client
* Site-to-Site Client
Für die Konfiguration des Site to Site Server wird dieser ausgewählt.
Für die Konfiguration des Site-to-Site Server wird dieser ausgewählt.
| }}
| In installation step 1 the connection type is selected, the following connections are available:
* Roadwarrior Server
* '''Site-to-Site Server'''
* Site-to-Site Client
For the configuration of the Site-to-Site server this is selected. }}


{{var | Schritt 2
{{var | Schritt 2
Zeile 66: Zeile 70:
{{var | Schritt 2--cap
{{var | Schritt 2--cap
| Installationsschritt 2
| Installationsschritt 2
| }}
| Installation step 2 }}
{{var | Schritt 2--desc
{{var | Schritt 2--desc
| Soll ein lokales IPv6-Netz angebunden werden, muss die Option {{b| IPv6 über IPv4 verwenden:}} aktiviert {{ButtonAn | Ja }} werden.
| Soll ein lokales IPv6-Netz angebunden werden, muss die Option {{b| IPv6 über IPv4 verwenden:}} aktiviert {{ButtonAn | Ja }} werden.
| }}
| If a local IPv6 network is to be connected, the option {{b| Use IPv6 over IPv4:}} must be enabled {{ButtonAn | Yes }}. }}


{{var | Schritt 3
{{var | Schritt 3
Zeile 79: Zeile 83:
{{var | Schritt 3--cap
{{var | Schritt 3--cap
| Installationsschritt 3
| Installationsschritt 3
| }}
| Installation step 3 }}
{{var | Schritt 3--desc
{{var | Schritt 3--desc
| Lokale Einstellungen für den Site to Site Server
| Lokale Einstellungen für den Site-to-Site Server
| }}
| Local settings for the site-to-site server }}


{{var | Name--desc
{{var | Name--desc
| Eindeutige Bezeichnung
| Eindeutige Bezeichnung
| }}
| Unique name }}
{{var | Protokoll
{{var | Protokoll
| Protokoll
| Protokoll
Zeile 92: Zeile 96:
{{var | Protokoll--desc
{{var | Protokoll--desc
| Gewünschtes Protokoll
| Gewünschtes Protokoll
| }}
| Desired protocol }}
{{var | Serverzertifikat
{{var | Serverzertifikat
| Serverzertifikat
| Serverzertifikat
| }}
| Server certificate }}
{{var | Serverzertifikat--val
{{var | Serverzertifikat--val
| Server-Zertifikat
| Server-Zertifikat
| }}
| Server-certificate }}
{{var | 1=Serverzertifikat--desc
{{var | 1=Serverzertifikat--desc
| 2=Auswahl des Zertifikates, mit dem der Server sich Authentifiziert<br>
| 2=Auswahl des Zertifikates, mit dem der Server sich authentifiziert<br>
Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit {{Button||mw}} <br>
Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit {{Button||mw}} <br>
* Erstellung einer CA im Reiter {{Reiter | CA}} mit der Schaltfläche {{Button | CA hinzufügen|+}}
* Erstellung einer CA im Reiter {{Reiter | CA}} mit der Schaltfläche {{Button | CA hinzufügen|+}}
Zeile 107: Zeile 111:
{{Hinweis-neu|!|gelb}} Beide Zertifikate müssen mit der selben CA erstellt werden!
{{Hinweis-neu|!|gelb}} Beide Zertifikate müssen mit der selben CA erstellt werden!
{{Hinweis-neu|!|gelb}} Das ''Client''-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche {{Button||d}} exportiert werden. Zur Nutzung bei einer UTM als Client wird das {{Button|PEM|dr}}-Format benötigt.
{{Hinweis-neu|!|gelb}} Das ''Client''-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche {{Button||d}} exportiert werden. Zur Nutzung bei einer UTM als Client wird das {{Button|PEM|dr}}-Format benötigt.
| 3= }}
| 3=Selection of the certificate with which the server authenticates itself<br>
{{var  | ACME-Zertifikat
If a server certificate does not yet exist, it can be created (and if necessary also a CA) in the certificate management. Open with {{Button||mw}} <br>
        | Es können auch [[:UTM/AUTH/Zertifikate-ACME|ACME-Zertifikate]] genutzt werden.
* Create a CA in the {{Reiter | CA}} tab using the {{Button | Add CA|+}} button
        | }}
* Create a server certificate in the {{Reiter | Certificates }} tab using the {{Button| Add certificate |+}} button.<br>Please note: {{b|Server certificate:}} {{ButtonAn}} enable
* Create the client certificate with the {{Button | Add certificate |+}} button<br>
{{Hinweis-neu|!|gelb}} Both certificates must be created with the same CA!
{{Hinweis-neu|!|gelb}}The ''Client'' certificate and the associated CA are also needed to configure the remote terminal (client). They must be exported with the {{Button||d}} button. For use with a UTM as client, the {{Button|PEM|dr}}-format is required. }}
 
{{var  | Serverzertifikat--Hinweis
{{var  | Serverzertifikat--Hinweis
         | Weitere Hinweise im Wiki-Artikel zur Nutzung von [[UTM/AUTH/Zertifikate | Zertifikaten.]]
         | Weitere Hinweise im Wiki-Artikel zur Nutzung von [[UTM/AUTH/Zertifikate | Zertifikaten]].
         | }}
         | Further notes in the Wiki article on the use of [{{#var:host}}UTM/AUTH/Zertifikate certificates]. }}
{{var | Servernetzwerke freigeben
{{var | Servernetzwerke freigeben
| Servernetzwerke freigeben
| Servernetzwerke freigeben
| }}
| Share server networks }}
{{var | Servernetzwerke freigeben--desc
{{var | Servernetzwerke freigeben--desc
| An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
| An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
| }}
| Network located at this appliance (VPN server) that is to be accessible via SSL-VPN. }}


{{var | Schritt 4
{{var | Schritt 4
Zeile 129: Zeile 137:
{{var | Schritt 4--cap
{{var | Schritt 4--cap
| Installationsschritt 4
| Installationsschritt 4
| }}
| Installation step 4 }}
{{var | Schritt 4--desc
{{var | Schritt 4--desc
| Im Installationsschritt 4 wird das Transfernetz für den Site to Site Server eingetragen.
| Im Installationsschritt 4 wird das Transfernetz für den Site-to-Site Server eingetragen.
| }}
| In installation step 4, the transfer network for the site-to-site server is entered. }}
{{var | Transfer-Netzwerk
{{var | Transfer-Netzwerk
| Transfer-Netzwerk
| Transfer-Netzwerk
| }}
| Transfer network }}
{{var | Transfer-Netzwerk--desc
{{var | Transfer-Netzwerk--desc
| Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
| Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
| }}
| A network address must be specified that is not used in any network of the involved appliances. }}
{{var | Server-Tunneladresse
{{var | Server-Tunneladresse
| Server-Tunneladresse
| Server-Tunneladresse
| }}
| Server tunnel address }}
{{var | Server-Tunneladresse--desc
{{var | Server-Tunneladresse--desc
| Die Server- und Client-Tunneladresse wird automatisch ermittelt.
| Die Server- und Client-Tunneladresse wird automatisch ermittelt.
| }}
| The server and client tunnel address is determined automatically. }}
{{var | IPv4 Client-Tunneladresse
{{var | IPv4 Client-Tunneladresse
| IPv4 Client-Tunneladresse
| IPv4 Client-Tunneladresse
| }}
| IPv4 client tunnel address }}


{{var | Schritt 5
{{var | Schritt 5
Zeile 157: Zeile 165:
{{var | Schritt 5--cap
{{var | Schritt 5--cap
| Installationsschritt 5
| Installationsschritt 5
| }}
| Installation step 5 }}
{{var | Name-Schritt 5--desc
{{var | Name-Schritt 5--desc
| Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
| Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
| }}
| Is automatically generated from the name defined in step 3 }}
{{var | Client-Zertifikat
{{var | Client-Zertifikat
| Client-Zertifikat
| Client-Zertifikat
| }}
| Client certificate }}
{{var | Client-Zertifikat--desc
{{var | Client-Zertifikat--desc
| Zertifikat des Client-Netzwerks
| Zertifikat des Client-Netzwerks
| }}
| Certificate of the client network }}
{{var | Clientnetzwerke freigeben
{{var | Clientnetzwerke freigeben
| Clientnetzwerke freigeben
| Clientnetzwerke freigeben
| }}
| Share client networks }}
{{var | Clientnetzwerke freigeben--desc
{{var | Clientnetzwerke freigeben--desc
| Netzwerke der Gegenstelle, die freigegeben werden sollen. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
| Netzwerke der Gegenstelle, die freigegeben werden sollen. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
| }}
| Networks of the remote terminal that are to be released. (Input by clicking in the click box and then using the keyboard). }}
{{var | Schritt 5-Hinweis
{{var | Schritt 5-Hinweis
| Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.
| Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.
| }}
| The selected certificate should not be used with any other client / network. }}


{{var | Weitere Client-Gegenstellen
{{var | Weitere Client-Gegenstellen
| Weitere Client-Gegenstellen
| Weitere Client-Gegenstellen
| }}
| Other client remote terminals }}
{{var | Weitere Client-Gegenstellen--Bild
{{var | Weitere Client-Gegenstellen--Bild
| UTM_v11.8.7_VPN_SSL-VPN.png
| UTM_v11.8.7_VPN_SSL-VPN.png
Zeile 185: Zeile 193:
{{var | Weitere Client-Gegenstellen--cap
{{var | Weitere Client-Gegenstellen--cap
| Übersicht der SSL-VPN-Verbindungen
| Übersicht der SSL-VPN-Verbindungen
| }}
| Overview of SSL-VPN connections }}
{{var | SSL-VPN Übersicht--Bild
{{var | SSL-VPN Übersicht--Bild
| UTM_v11.8.7_VPN_SSL-VPN_client2.png
| UTM_v11.8.7_VPN_SSL-VPN_client2.png
Zeile 191: Zeile 199:
{{var | SSL-VPN Übersicht--cap
{{var | SSL-VPN Übersicht--cap
| Weitere Gegenstellen des S2S-SSL-.VPNs
| Weitere Gegenstellen des S2S-SSL-.VPNs
| }}
| Other remote terminals of the S2S-SSL-.VPNs }}
{{var | Weitere Client-Gegenstellen--desc
{{var | Weitere Client-Gegenstellen--desc
| Weitere Gegenstellen, welche über diesen Site to Site Server angebunden werden sollen, können über die Schaltfläche {{Button | |+}} hinzugefügt werden.</p>
| Weitere Gegenstellen, welche über diesen Site-to-Site Server angebunden werden sollen, können über die Schaltfläche {{Button | |+}} hinzugefügt werden.</p>
<p>Anzeige der Gegenstellen mit Klick auf das Ordnersymbol {{Button| {{spc|folder|o|-}} }}
<p>Anzeige der Gegenstellen mit Klick auf das Ordnersymbol {{Button| {{spc|folder|o|-}} }}
| }}
| Additional remote sites that are to be connected via this site-to-site server can be added via the {{Button | |+}} button.</p>
<p>Display of remote sites by clicking on the folder icon {{Button| {{spc|folder|o|-}} }} }}


{{var | Regelwerk
{{var | Regelwerk
| Regelwerk
| Regelwerk
| }}
| Rulebook }}
{{var | Implizite Regeln
{{var | Implizite Regeln
| Implizite Regeln
| Implizite Regeln
| }}
| Implied rules }}
{{var | Implizite Regeln--Bild
{{var | Implizite Regeln--Bild
| UTM_v11.8.7_Firewall_Implizite-Regeln_VPN_SSL-VPN-UDP.png
| UTM_v11.8.7_Firewall_Implizite-Regeln_VPN_SSL-VPN-UDP.png
| UTM_v11.8.7_Firewall_Implizite-Regeln_VPN_SSL-VPN-UDP-en.png }}
| UTM_v11.8.7_Firewall_Implizite-Regeln_VPN_SSL-VPN-UDP-en.png }}
{{var | Implizite Regeln--desc
{{var | Implizite Regeln--desc
| Unter {{Menu | Firewall | Implizierte Regeln }} Abschnitt {{ic|VPN}} kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. Hier {{ButtonAn|Ein}} SSL VPN UDP. Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.
| Unter {{Menu | Firewall | Implizierte Regeln }} Abschnitt {{ic|VPN}} kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. Hier {{ButtonAn|Ein}} SSL-VPN UDP. Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.
| }}
| Under {{Menu | Firewall | Implied Rules }} section {{ic|VPN}} the protocol used for the connection can be enabled. Here {{ButtonAn|On}} SSL-VPN UDP. This implicit rule frees the ports used for SSL-VPN connections on the WAN interface.}}


{{var | Netzwerkobjekte
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Netzwerkobjekte
| }}
| Network objects }}
{{var | Netzwerkobjekte--desc
{{var | Netzwerkobjekte--desc
| Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".   
| Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".   
Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt angelegt werden.<br>
Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt angelegt werden.<br>
Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.
Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.
|  }}
A TUN interface was created when the connection was set up. It automatically receives the first IP from the transfer network configured in the connection and a zone "vpn-ssl-<servername>". 
To be able to reach the client network of the remote terminal, a network object must be created for this purpose.<br>
The TUN interface of the site-to-site client also receives an IP from this network. This serves as a gateway to the subnet of the site-to-site client. The subnet of the client must be created as a network object and is located in the zone on the associated TUN interface. }}
{{var | Netzwerkobjekte--Bild
{{var | Netzwerkobjekte--Bild
| UTM_v11.8.7_Firewall_Netzwerkobjekt_SSLVPN_S2S-Server.png
| UTM_v11.8.7_Firewall_Netzwerkobjekt_SSLVPN_S2S-Server.png
Zeile 223: Zeile 234:
{{var | Netzwerkobjekte--cap
{{var | Netzwerkobjekte--cap
| Netzwerkobjekt für das Tunnelnetzwerk
| Netzwerkobjekt für das Tunnelnetzwerk
| }}
| Network object for the tunnel network }}
{{var | Beschriftung
{{var | Beschriftung
| Beschriftung
| Beschriftung
Zeile 235: Zeile 246:
{{var | Name-Netzwerkobjekte--desc
{{var | Name-Netzwerkobjekte--desc
| Frei wählbarer Name
| Frei wählbarer Name
| }}
| Freely selectable name }}
{{var | Typ
{{var | Typ
| Typ
| Typ
Zeile 241: Zeile 252:
{{var | Typ--val
{{var | Typ--val
| VPN-Netzwerk
| VPN-Netzwerk
| }}
| VPN network }}
{{var | Typ--desc
{{var | Typ--desc
| Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch {{Button| VPN-Host|dr}} ausgewählt werden.
| Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch {{Button| VPN-Host|dr}} ausgewählt werden.
| }}
| If only a single host is to be shared in the client network, {{Button| VPN host|dr}} can also be selected here. }}
{{var | Adresse
{{var | Adresse
| Adresse
| Adresse
Zeile 250: Zeile 261:
{{var | Adresse--desc
{{var | Adresse--desc
| Die Netzwerk-Adresse, die in Schritt 5 als Clientnetzwerk freigegeben wurde.
| Die Netzwerk-Adresse, die in Schritt 5 als Clientnetzwerk freigegeben wurde.
| }}
| The network address that was shared as the client network in step 5. }}
{{var | Hinweis bei mehreren Clientnetzwerken
{{var | Hinweis bei mehreren Clientnetzwerken
| Hinweis bei mehreren Clientnetzwerken
| Hinweis bei mehreren Clientnetzwerken
| }}
| Note for multiple client networks }}
{{var | Hinweis bei mehreren Clientnetzwerken--desc
{{var | Hinweis bei mehreren Clientnetzwerken--desc
| Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
| Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
| }}
| If multiple client networks have been shared, a separate network object must be created for each of these networks. Subsequently, the network objects can then be combined into a group. }}
{{var | Zone
{{var | Zone
| Zone
| Zone
Zeile 262: Zeile 273:
{{var | 1=Zone--desc
{{var | 1=Zone--desc
| 2=Die Zone auf dem <i class="host utm"> S2S Server</i>, über die das <i class="host utm"> S2S Client</i>-Netzwerk angesprochen wird.
| 2=Die Zone auf dem <i class="host utm"> S2S Server</i>, über die das <i class="host utm"> S2S Client</i>-Netzwerk angesprochen wird.
| 3= }}
| 3=The zone on the <i class="host utm"> S2S server</i> through which the <i class="host utm">S2S client</i> network is accessed. }}
{{var | Gruppe
{{var | Gruppe
| Gruppe
| Gruppe
Zeile 275: Zeile 286:
{{var | Portfilter-Regeln
{{var | Portfilter-Regeln
| Portfilter-Regeln
| Portfilter-Regeln
| }}
| Portfilter rules }}
{{var | Portfilter-Regeln--Bild
{{var | Portfilter-Regeln--Bild
| UTM_v11.8.5_Firewall_Portfilter_SSL-VPN.png
| UTM_v11.8.5_Firewall_Portfilter_SSL-VPN.png
Zeile 281: Zeile 292:
{{var | Portfilter-Regeln--desc
{{var | Portfilter-Regeln--desc
| Menü {{Menu | Firewall | Portfilter }} Reiter {{Reiter | Portfilter}} Schaltfläche {{Button | Regel hinzufügen |+}}</p>
| Menü {{Menu | Firewall | Portfilter }} Reiter {{Reiter | Portfilter}} Schaltfläche {{Button | Regel hinzufügen |+}}</p>
<p>Zwei Regeln erlauben den Zugriff auf das S2S-Client-Netzwerk bzw, aus dem Netzwerk:
<p>Zwei Regeln erlauben den Zugriff auf das S2S-Client-Netzwerk bzw. aus dem Netzwerk:
| }}
| Menu {{Menu | Firewall | Portfilter }} Tab {{Reiter | Portfilter}} Button {{Button | Add Rule |+}}</p>
<p>Two rules allow access to or from the S2S client network: }}


{{var | Regel
{{var | Regel
Zeile 292: Zeile 304:
{{var | Quelle--desc
{{var | Quelle--desc
| Eingehende Regel
| Eingehende Regel
| }}
| Inbound rule }}
{{var | Ziel
{{var | Ziel
| Ziel
| Ziel
| Destiation }}
| Destination }}
{{var | Dienst
{{var | Dienst
| Dienst
| Dienst
Zeile 301: Zeile 313:
{{var | Dienst--val
{{var | Dienst--val
| benötigter Dienst
| benötigter Dienst
| }}
| required service }}
{{var | Dienst--desc
{{var | Dienst--desc
| Es sollten nur tatsächlich benötigte Dienste freigegeben werden !
| Es sollten nur tatsächlich benötigte Dienste freigegeben werden !
| }}
| Only services that are actually needed should be shared ! }}
{{var | Ausgehende Regel
{{var | Ausgehende Regel
| Ausgehende Regel
| Ausgehende Regel
| }}
| Outbound rule }}


{{var | Die Routen werden automatisch gesetzt.
{{var | Die Routen werden automatisch gesetzt.
| Die Routen werden automatisch gesetzt.
| Die Routen werden automatisch gesetzt.
| }}
| The routes are set automatically. }}
{{var | Routen-Hinweis
{{var | Routen-Hinweis
| Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
| Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
| }}
| However, when using VoIP through the tunnel, routes should be set to ensure that the phones connect correctly to the PBX. }}
{{var | Routen--Bild
{{var | Routen--Bild
| UTM_v11.8.5_Netzwerk_Routing_SSL-VPN.png
| UTM_v11.8.5_Netzwerk_Routing_SSL-VPN.png
Zeile 320: Zeile 332:
{{var | Routen--cap
{{var | Routen--cap
| Route für Gegenstelle
| Route für Gegenstelle
| }}
| Route for remote terminal }}
{{var | Routen--desc
{{var | Routen--desc
| Menü {{Menu| Netzwerk | Netzwerkkonfiguration | Routing | Route hinzufügen | +}}
| Menü {{Menu| Netzwerk | Netzwerkkonfiguration | Routing | Route hinzufügen | +}}
Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.  
Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.  
|  }}
| Menu {{Menu| Network | Network configuration | Routing | Add route | +}}
A route should be set so that the network of the remote terminal can be found reliably. }}
{{var | Gateway Schnittstelle
{{var | Gateway Schnittstelle
| Gateway Schnittstelle
| Gateway Schnittstelle
| }}
| Gateway interface }}
{{var | Gateway Schnittstelle--desc
{{var | Gateway Schnittstelle--desc
| Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
| Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
| }}
| A TUN interface was created when the connection was set up and must be specified here. }}
{{var | Zielnetzwerk
{{var | Zielnetzwerk
| Zielnetzwerk
| Zielnetzwerk
| }}
| Target network }}
{{var | Zielnetzwerk--desc
{{var | Zielnetzwerk--desc
| Das Netzwerk der Gegenstelle
| Das Netzwerk der Gegenstelle
| }}
| The network of the remote terminal }}


{{var | Site to Site Client Konfiguration
{{var | Site-to-Site Client Konfiguration
| Site to Site Client Konfiguration
| Site-to-Site Client Konfiguration
| }}
| Site-to-site client configuration }}
{{var | SSL-VPN Schritt 1--Bild
{{var | SSL-VPN Schritt 1--Bild
| UTM_v11.8.7_VPN_SSL-VPN_S2S_client_Step1.png
| UTM_v11.8.7_VPN_SSL-VPN_S2S_client_Step1.png
Zeile 346: Zeile 359:


{{var | 1=SSL-VPN Schritt 1--desc
{{var | 1=SSL-VPN Schritt 1--desc
| 2=Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
| 2=Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
* Roadwarrior Server
* Site-to-Site Server
* '''Site-to-Site Client'''
Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.
| 3=In installation step 1 the connection type is selected, the following connections are available:
* Roadwarrior Server
* Roadwarrior Server
* Site to Site Server
* Site-to-Site Server
* '''Site to Site Client'''
* '''Site-to-Site Client'''
Für die Konfiguration des Site to Site Client wird dieser ausgewählt.
For the configuration of the Site-to-Site Client this is selected. }}
| 3= }}


{{var | SSL-VPN Schritt 2--Bild
{{var | SSL-VPN Schritt 2--Bild
Zeile 358: Zeile 375:
{{var | SSL-VPN Schritt 2--desc
{{var | SSL-VPN Schritt 2--desc
| Soll ein lokales IPv6-Netz angebunden werden, muss die Option {{b| IPv6 über IPv4 verwenden:}} aktiviert {{ButtonAn | Ja }} werden.  
| Soll ein lokales IPv6-Netz angebunden werden, muss die Option {{b| IPv6 über IPv4 verwenden:}} aktiviert {{ButtonAn | Ja }} werden.  
| }}
| If a local IPv6 network is to be connected, the option {{b| Use IPv6 over IPv4:}} must be enabled {{ButtonAn | Yes }}. }}


{{var | SSL-VPN Schritt 3--Bild
{{var | SSL-VPN Schritt 3--Bild
Zeile 364: Zeile 381:
|  }}
|  }}
{{var | SSL-VPN Schritt 3--desc
{{var | SSL-VPN Schritt 3--desc
| Lokale Einstellungen für den Site to Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
| Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
| }}
| Local settings for the Site-to-Site Client can be made in step 3. Here you can enter a name for the connection, select protocol, choose a server certificate - by clicking the button with the window you can import a CA and a certificate. }}
{{var | Protokoll-Hinweis
{{var | Protokoll-Hinweis
| Es muss das gleiche Protokoll, wie beim Site to Site Server ausgewählt werden.
| Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
| }}
| It is necessary to select the same protocol as for the site-to-site server. }}
{{var | 1=SSL-VPN Client-Zertifikat--desc
{{var | 1=SSL-VPN Client-Zertifikat--desc
| 2=Auswahl des Zertifikates, mit dem der Client sich Authentifiziert<br>
| 2=Auswahl des Zertifikates, mit dem der Client sich authentifiziert<br>
{{Hinweis-neu| !|gelb}} Hier muss das gleiche Zertifikat verwendet werden, daß beim Site to Site ''Server'' in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde.  
{{Hinweis-neu| !|gelb}} Hier muss das gleiche Zertifikat verwendet werden, daß beim Site-to-Site ''Server'' in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde.  
Aufruf mit {{Button||mw}}
Aufruf mit {{Button||mw}}
* Reiter {{Reiter | CA}} Schaltfläche {{ Button | CA importieren | u }} Import der CA vom <div class="host utm">S2S Server</div>
* Reiter {{Reiter | CA}} Schaltfläche {{ Button | CA importieren | u }} Import der CA vom <div class="host utm">S2S Server</div>
* Reiter {{Reiter| Zertifikate}} Schaltfläche {{Button| Zertifikat importieren | u}} Import des Client-Zertifikates, das auf dem <div class="host utm">S2S Server</div> erstellt wurde.
* Reiter {{Reiter| Zertifikate}} Schaltfläche {{Button| Zertifikat importieren | u}} Import des Client-Zertifikates, das auf dem <div class="host utm">S2S Server</div> erstellt wurde.
| 3= }}
| 3=Selection of the certificate with which the client authenticates itself<br>
{{Hinweis-neu| !|gelb}} The same certificate must be used here that was selected as the certificate of the remote terminal (client) for the site-to-site ''server'' in step 5.
Open with {{Button||mw}}
* Tab {{Reiter | CA}} Button {{ Button | Import CA | u }} Import CA from <div class="host utm">S2S server</div>
* Tab {{Reiter| Certificates}} Button {{Button| Import certificate | u}} Import the client certificate created on the <div class="host utm">S2S server</div>. }}


{{var | Dieser Installationsschritt entfällt
{{var | Dieser Installationsschritt entfällt
| Dieser Installationsschritt entfällt beim Site to Site ''Client''.
| Dieser Installationsschritt entfällt beim Site-to-Site ''Client''.
| }}
| This installation step is omitted for the site-to-site ''client''. }}


{{var | SSL-VPN Schritt 5--Bild
{{var | SSL-VPN Schritt 5--Bild
Zeile 385: Zeile 406:
|  }}
|  }}
{{var | SSL-VPN Schritt 5--desc
{{var | SSL-VPN Schritt 5--desc
| Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site to Site ''Servers'' als Gegenstelle eingetragen.
| Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site ''Servers'' als Gegenstelle eingetragen.
| }}
| In step 5, the public remote gateway IP address or SPDyn address of the site-to-site ''server'' is entered as the remote site. }}
{{var | SSL-VPN Schritt 5-Hinweis-gelb
{{var | SSL-VPN Schritt 5-Hinweis-gelb
| Die Portadresse mus mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.
| Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.
| }}
| The port address must be set with a colon after the IP address. }}
{{var | SSL-VPN Schritt 5-Hinweis-gruen
{{var | SSL-VPN Schritt 5-Hinweis-gruen
| Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.
| Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.
| }}
| If port 1194 is used, this specification can be omitted. }}


{{var | Regelwerk-Implizite Regeln--desc
{{var | Regelwerk-Implizite Regeln--desc
| Da der Site to Site Client die Verbindung zum S2S Server aufbaut und ausgehende Verbindungen der der Firewall selbst per default immer erlaubt sind, sind '''keine''' impliziten Regeln notwendig.
| Da der Site-to-Site Client die Verbindung zum S2S Server aufbaut und ausgehende Verbindungen der Firewall selbst per Default immer erlaubt sind, sind '''keine''' impliziten Regeln notwendig.
| }}
| Since the site-to-site client establishes the connection to the S2S server and outgoing connections from the firewall itself are always allowed by default, '''no''' implicit rules are necessary. }}


{{var | Netzwerkobjekte hinzufügen--Bild
{{var | Netzwerkobjekte hinzufügen--Bild
Zeile 403: Zeile 424:
{{var | Netzwerkobjekte hinzufügen--cap
{{var | Netzwerkobjekte hinzufügen--cap
| Netzwerkobjekt für das Tunnelnetzwerk
| Netzwerkobjekt für das Tunnelnetzwerk
| }}
| Network object for the tunnel network }}


{{var | Regelwerk-Typ--desc
{{var | Regelwerk-Typ--desc
| Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch {{Button| VPN-Host|dr}} ausgewählt werden.
| Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch {{Button| VPN-Host|dr}} ausgewählt werden.
| }}
| If only a single host is to be shared in the server network, {{Button| VPN host|dr}} can also be selected here. }}
{{var | Regelwerk-Adresse--desc
{{var | Regelwerk-Adresse--desc
| Die Netzwerk-Adresse, die in Schritt 3 der <i class="host utm"> S2S Server</i>-Konfiguration als Servernetzwerk freigegeben wurde.
| Die Netzwerk-Adresse, die in Schritt 3 der <i class="host utm"> S2S Server</i>-Konfiguration als Servernetzwerk freigegeben wurde.
| }}
| The network address that was shared as the server network in step 3 of <i class="host utm"> S2S Server</i> configuration. }}
{{var | Hinweis bei mehreren Servernetzwerken
{{var | Hinweis bei mehreren Servernetzwerken
| Hinweis bei mehreren Servernetzwerken
| Hinweis bei mehreren Servernetzwerken
| }}
| Note for multiple server networks }}
{{var | Hinweis bei mehreren Servernetzwerken--desc
{{var | Hinweis bei mehreren Servernetzwerken--desc
| Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkeobjekte dann zu einer Gruppe zusammengefasst werden.
| Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkeobjekte dann zu einer Gruppe zusammengefasst werden.
| }}
| If several server networks have been shared, a separate network object must be created for each of these networks. The network objects can then be combined into a group. }}
{{var | 1=Regelwerk-Zone--desc
{{var | 1=Regelwerk-Zone--desc
| 2=die Zone auf dem <i class="host utm"> S2S Client</i>, über die das <i class="host utm"> S2S Server</i>-Netzwerk angesprochen wird.
| 2=die Zone auf dem <i class="host utm"> S2S Client</i>, über die das <i class="host utm"> S2S Server</i>-Netzwerk angesprochen wird.
| 3= }}
| 3=the zone on the <i class="host utm"> S2S client</i> through which the <i class="host utm"> S2S server</i> network is accessed. }}


{{var | Regelwerk-Portfilter-Regeln--Bild
{{var | Regelwerk-Portfilter-Regeln--Bild
Zeile 426: Zeile 447:
{{var | Regelwerk-Portfilter-Regeln--cap
{{var | Regelwerk-Portfilter-Regeln--cap
| Portfilter-Regeln im
| Portfilter-Regeln im
| }}
| Portfilter rules in the }}
{{var | 1=Regelwerk-Portfilter-Regeln--desc
{{var | 1=Regelwerk-Portfilter-Regeln--desc
| 2=Menü {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}} </p>
| 2=Menü {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}} </p>
<p>Zwei Regeln erlauben den Zugriff auf das S2S-Server-Netzwerk bzw, aus dem Netzwerk:
<p>Zwei Regeln erlauben den Zugriff auf das S2S-Server-Netzwerk bzw. aus dem Netzwerk:
| 3= }}
| 3=Menu {{Menu|Firewall|Portfilter|Add rule|+}} </p>
<p>Two rules allow access to or from the S2S server network or from the network: }}


{{var | Regelwerk-Routen--desc
{{var | Regelwerk-Routen--desc
| Die Routen werden automatisch gesetzt.
| Die Routen werden automatisch gesetzt.
| }}
| The routes are set automatically. }}
{{var | Regelwerk-Routen-Hinweis
{{var | Regelwerk-Routen-Hinweis
| Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
| Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
| }}
| However, when using VoIP through the tunnel, routes should be set to ensure that the phones connect correctly to the PBX. }}
{{var | Regelwerk-Routen--Bild
{{var | Regelwerk-Routen--Bild
| UTM_v11.8.5_Netzwerk_Routing_SSL-VPN2.png
| UTM_v11.8.5_Netzwerk_Routing_SSL-VPN2.png
Zeile 443: Zeile 465:
{{var | Route auf dem
{{var | Route auf dem
| Route auf dem
| Route auf dem
| }}
| Route on the }}
{{var | für das Netz der Gegenstelle, dem
{{var | für das Netz der Gegenstelle, dem
| für das Netz der Gegenstelle, dem
| für das Netz der Gegenstelle, dem
| }}
| network specified for the remote terminal, the }}


{{var | Netzwerk
{{var | Netzwerk
Zeile 453: Zeile 475:
{{var | Netzwerkkonfiguration
{{var | Netzwerkkonfiguration
| Netzwerkkonfiguration
| Netzwerkkonfiguration
| }}
| Network configuration }}
{{var | Menü
{{var | Menü
| Menü
| Menü
Zeile 459: Zeile 481:
{{var | Route hinzufügen
{{var | Route hinzufügen
| Route hinzufügen
| Route hinzufügen
| }}
| Add route }}


{{var | Hinweise
{{var | Hinweise
| Hinweise
| Hinweise
  | }}
  | Note }}
{{var | Verschlüsselung
{{var | Verschlüsselung
| Verschlüsselung
| Verschlüsselung
| }}
| Encryption }}
{{var | Verschlüsselung--desc
{{var | Verschlüsselung--desc
| Per Vorgabe wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
| Per Vorgabe wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
| }}
| By default, an AES128-CBC method is used. The encryption method can be customized in the server or/and client profile. }}
{{var | Verschlüsselung-Hinweis
{{var | Verschlüsselung-Hinweis
| Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich
| Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich
| }}
| The parameters must be identical on the server and client side. Otherwise data transfer is not possible }}


{{var | Hashverfahren
{{var | Hashverfahren
| Hashverfahren
| Hashverfahren
| }}
| Hash method }}
{{var | Hashverfahren--desc
{{var | Hashverfahren--desc
| Per Vorgabe wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
| Per Vorgabe wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
| }}
| By default, a SHA256 hash method is used. The hash method can be customized in the server or/and client profile. }}


{{var | QoS--desc
{{var | QoS--desc
| Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. <br>
| Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. <br>
Diese Einstellung kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter| Erweitert}} unter {{b| Pass TOS:}} {{ButtonAn| {{#var:ein|Ein}} }} aktiviert werden.
Diese Einstellung kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter| Erweitert}} unter {{b| Pass TOS:}} {{ButtonAn| {{#var:ein|Ein}} }} aktiviert werden.
| }}
| For the VPN connection, the TOS fields for automatic QoS can be set in the packets. <br>
This setting can be changed in the VPN connection settings {{Button||w}} in the {{Reiter| Advanced}} tab under {{b| Pass TOS:}} {{ButtonAn| {{#var:ein|On}} }} must be enabled. }}


{{var | Multipath--desc
{{var | Multipath--desc
| Bei Multipath auf der Client Seite, muss die VPN-Verbindung im Client auf eine Schnittstelle gebunden werden.<br>
| Bei Multipath auf der Client Seite, muss die VPN-Verbindung im Client auf eine Schnittstelle gebunden werden.<br>
Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl
Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl
| }}
| For multipath on the client side, the VPN connection in the client must be bound to an interface.<br>
To bind a client connection to an interface, the CLI command must be used }}
{{var | die ID der Verbindung ausfindig gemacht
{{var | die ID der Verbindung ausfindig gemacht
| die ID der Verbindung ausfindig gemacht werden. <br>
| die ID der Verbindung ausfindig gemacht werden. <br>
Über den Befehl
Über den Befehl
| }}
| to locate the ID of the connection. <br>
The command }}
{{var | kann dann die ausgehende IP gesetzt werden
{{var | kann dann die ausgehende IP gesetzt werden
| kann dann die ausgehende IP gesetzt werden.<br>
| kann dann die ausgehende IP gesetzt werden.<br>
Zusätzlich wird in der ausgehenden Regel (internal-network → VPN-Netzwerk → $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.
Zusätzlich wird in der ausgehenden Regel (internal-network → VPN-Netzwerk → $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.
| }}
| can then be used to set the outgoing IP.<br>
In addition, a rule route via the corresponding tunX interface is required in the outgoing rule (internal-network → VPN network → $DIENST). }}


{{var | Search Domain--desc
{{var | Search Domain--desc
| Die Search Domain kann automatisch übermittelt werden. <br>
| Die Search Domain kann automatisch übermittelt werden. <br>
Der Eintrag kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter| Allgemein}} unter {{b| Search Domain: }} {{ic|&emsp;&emsp;&emsp;}} vorgenommen werden.
Der Eintrag kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter| Allgemein}} unter {{b| Search Domain: }} {{ic|&emsp;&emsp;&emsp;}} vorgenommen werden.
| }}
| The search domain can be submitted automatically. <br>
The entry can be found in the VPN connection settings {{Button||w}} in the {{Reiter| General}} tab under {{b| Search Domain: }} {{ic|&emsp;&emsp;&emsp;}}. }}


{{var | DNS/WINS übermitteln
{{var | DNS/WINS übermitteln
| DNS/WINS übermitteln
| DNS/WINS übermitteln
| }}
| Transmit DNS/WINS }}
{{var | 1=DNS/WINS übermitteln--desc
{{var | 1=DNS/WINS übermitteln--desc
| 2=Der DNS und der WINS können automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter|Erweitert}} unter:
| 2=Der DNS und der WINS können automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung {{Button||w}} im Reiter {{Reiter|Erweitert}} unter:
* {{b|DNS übermitteln:}} {{ButtonAn|{Ein}}
* {{b|DNS übermitteln:}} {{ButtonAn|Ein}}
* {{b|WINS übermitteln:}} {{ButtonAn|Ein}}
* {{b|WINS übermitteln:}} {{ButtonAn|Ein}}
aktiviert werden.
aktiviert werden.
Zeile 515: Zeile 542:


Eine Anleitung zum Einrichten des DNS-Relay findet sich [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel| hier.]]
Eine Anleitung zum Einrichten des DNS-Relay findet sich [[UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel| hier.]]
| 3= }}
| 3=The DNS and WINS can be transmitted automatically. This setting can be enabled in the VPN connection settings {{Button||w}} under the {{Reiter|Advanced}} tab:
* {{b|Transmit DNS:}} {{ButtonAn|On}}
* {{b|Transmit WINS:}} {{ButtonAn|ON}}
The IP addresses from DNS and WINS are set in the menu {{Menu|VPN|Global VPN settings}} {{Kasten|Domain Name System}}.
</p>
 
Instructions for setting up the DNS relay can be found [{{#var:host}}UTM/VPN/DNS_Relay#DNS_Relay_f.C3.BCr_einen_OpenVPN_Site-to-Site_Tunnel here]. }}


{{var | IPv6 für eingehende Verbindungen
{{var | IPv6 für eingehende Verbindungen
| IPv6 für eingehende Verbindungen
| IPv6 für eingehende Verbindungen
| }}
| IPv6 for inbound connections }}
{{var | IPv6 für eingehende Verbindungen--desc
{{var | IPv6 für eingehende Verbindungen--desc
| In den Einstellungen des Site-to-Site Server kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.
| In den Einstellungen des Site-to-Site Server kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.
| }}
| In the settings of the site-to-site server, the protocol UDP6 or TCP6 for IPv6 can be activated under General -> Protocol. }}


{{var | Der transparente HTTP-Proxy
{{var | Der transparente HTTP-Proxy
| Der transparente HTTP-Proxy
| Der transparente HTTP-Proxy
| }}
| The transparent HTTP proxy }}
{{var | Der transparente HTTP-Proxy--desc
{{var | Der transparente HTTP-Proxy--desc
| Wenn aus dem internen Netzwerk via HTTP auf einen '''Server''' hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.<br>
| Wenn aus dem internen Netzwerk via HTTP auf einen '''Server''' hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.<br>


<p>Damit dies nicht passiert muss im Menü {{Menu|Anwendungen|HTTP-Proxy|Transparenter Modus|Transparente Regel hinzufügen|+}} eine Regel hinzugefügt werden:
<p>Damit dies nicht passiert muss im Menü {{Menu|Anwendungen|HTTP-Proxy|Transparenter Modus|Transparente Regel hinzufügen|+}} eine Regel hinzugefügt werden:
| }}
| When accessing a '''server''' behind the site-to-site connection from the internal network via HTTP, the transparent HTTP proxy may filter the packets. This can lead to errors in the accesses to the target.
<br>
 
<p>To prevent this from happening a rule must be added in the {{Menu|Applications|HTTP Proxy|Transparent Mode|Add transparent rule|+}} menu: }}
{{var | name-vpn-netzwerk-objekt
{{var | name-vpn-netzwerk-objekt
| name-vpn-netzwerk-objekt
| name-vpn-netzwerk-objekt
| }}
| name-vpn-netzwerk-objekt }}
{{var | Wird die SSL-Interception verwendet sollte
{{var | Wird die SSL-Interception verwendet sollte
| Wird die SSL-Interception verwendet sollte das zusätzlich für das Protokoll {{Button|HTTPS|dr}} vorgenommen werden.
| Wird die SSL-Interception verwendet, sollte das zusätzlich für das Protokoll {{Button|HTTPS|dr}} vorgenommen werden.
| }}
| If SSL interception is used, this should be done additionally for the {{Button|HTTPS|dr}} protocol. }}
{{var | neu--ACME
 
| Hinweis zur Nutzung von [[:#{{#var:Schritt 3}}|ACME-Zertifikaten]] (ab v.12.2)
}}


----
----

Version vom 19. Dezember 2022, 16:23 Uhr

In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden





























































































{{var | 1=DNS/WINS übermitteln--desc | 2=Der DNS und der WINS können automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung im Reiter Erweitert unter:

  • DNS übermitteln: Ein
  • WINS übermitteln: Ein

aktiviert werden.

Die IP-Adressen vom DNS und WINS werden im Menü → VPN →Globale VPN-Einstellungen
Domain Name System } gesetzt.

Eine Anleitung zum Einrichten des DNS-Relay findet sich hier.







Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-S2S.lang&oldid=83982