Wechseln zu:Navigation, Suche
Wiki
K (Änderung 92905 von Lauritzl (Diskussion) rückgängig gemacht.)
Markierung: Rückgängigmachung
KKeine Bearbeitungszusammenfassung
 
Zeile 2: Zeile 2:


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/VPN/IPSec-S2S.lang}}
 
{{var | display
| IPSec Site-to-Site
| IPSec Site-to-Site }}
{{var | head
| IPSec Verbindungen Site-to-Site
| IPSec connections Site-to-Site }}
{{var | Verbindungen
| Verbindungen
| Connections }}
{{var | Einleitung
| Einleitung
| Introduction }}
{{var | Einleitung--desc
| <p>Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.<br> Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.</p> <p>Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.</p>
| <p>A Site-to-Site connection links two networks together.<br> For example, the local network of a main office with the local network of a branch office / secondary office.</p> <p>Public IP addresses, as well as dynamic DNS entries, can be used to connect the two remote gateways.</p> }}
{{var | Vorbereitung
| Vorbereitung
| Preparation }}
{{var | Vorbereitung--desc
| Sollte vor der Securepoint Appliance ein Router (z.B: Fritz!Box oder Speedport) stehen, muss dort gewährleistet sein, dass ESP und UDP 500/ 4500 aktiv ist. Siehe [[UTM/VPN/IPSec_-_Fritzbox-Exposed_Host | Beispiel-Konfiguration mit einer Fritz!Box]].
| If there is a router (e.g. Fritz!Box or Speedport) in front of the Securepoint appliance, it must be ensured that ESP and UDP 500/ 4500 are active there. See [{{#var:host}}UTM/VPN/IPSec_-_Fritzbox-Exposed_Host Example configuration with a Fritz!Box]. }}
{{var | Konfiguration einer IPSec Site-to-Site Verbindung
| Konfiguration einer IPSec Site-to-Site Verbindung
| Configuration of an IPSec Site-to-Site connection  }}
{{var | Konfiguration einer IPSec Site-to-Site Verbindung--desc
| Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü {{Menu-UTM|VPN|IPSec||+ IPSec Verbindung hinzufügen}} eine IPSec Verbindung  hinzugefügt werden.
| After logging in to the administration interface of the firewall (in the delivery state: https://192.168.175.1:11115), an IPSec connection can be added in the menu {{Menu-UTM|VPN|IPSec}||+ Add IPSec connection}}. }}
{{var | Einrichtungsassistent
| Einrichtungsassistent
| Setup Wizard }}
{{var | IPSec Verbindung hinzufügen
| IPSec Verbindung hinzufügen
| Add IPSec Connection }}
{{var | Schritt 1 - Verbindungstyp
| Schritt 1 - Verbindungstyp
| Step 1 - Connection type }}
{{var | Verbindungstyp
| Auswahl des Verbindungs-Typs:
| Selection of the connection type: }}
{{var | 1=Site2Site--val
| 2=Es stehen folgende Verbindungen zur Verfügung.
* {{Kasten|Roadwarrior}}
* {{Kasten|Site to Site}}
| 3=The following connections are available.
* {{Kasten|Roadwarrior}}
* {{Kasten|Site to Site}} }}
{{var | Site2Site--desc
| Für die Konfiguration einer {{Kasten|Site to Site}} Verbindung wird eben diese ausgewählt.
| For the configuration of a {{Kasten|Site to Site}} connection, this one is selected.  }}
{{var | Schritt 1 - Verbindungstyp--Bild
| UTM_v12.6_IPSec_S2S_Schritt1.png
| UTM_v12.6_IPSec_S2S_Schritt1-en.png }}
{{var | Einrichtungsschritt
| Einrichtungsschritt
| Setup step }}
{{var | Schritt 2 - Allgemein
| Schritt 2 - Allgemein
| Step 2 - General }}
{{var | Schritt 2 - Allgemein--Bild
| UTM v12.6.1 IPSec S2S Schritt2 .png
| UTM v12.6.1 IPSec S2S Schritt2 -en.png }}
{{var | Name--desc
| Name für die Verbindung
| Name for the connection }}
{{var | IKE-Multichannel--info
| Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Aktiviert wird diese Option bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag ''Subnetzkombinationen gruppieren''.
| Without this option, a separate SA is negotiated for each subnet combination. This has significant disadvantages, especially with numerous SAs, and leads to limitations and losses in the stability of the connections due to the design of the IPSec protocol. This option is activated while editing the phase 2 configuration with the entry ''Group subnet combinations''. }}
{{var | Schritt 3 - Lokal
| Schritt 3 - Lokal
| Step 3 - Local }}
{{var | Beliebiges Interface
| Beliebiges Interface
| Any interface }}
{{var | 1=Local Gateway ID--desc
| 2=Beliebige Zeichenfolge.<br> Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden.
<li class="list--element__alert list--element__hint">Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich '''vor''' die ID ein doppeltes ''@@'' einzufügen (Aus ''mail@…'' wird ''@@mail@…''). Andernfalls wird die ID als FQDN behandelt</li> <li class="list--elemnt__alert list--element__positiv">Wird bei Authentifizierungsmethode Zertifikat nach Zertifikatsauswahl automatisch ausgefüllt.</li>
| 3=Any string.<br> The gateway ID flows into the authentication. This can be an IP address, a host name or an interface. On the remote gateway, this value must be configured exactly the same way.
<li class="list--element__alert list--element__hint">If an email address should be used as Gateway ID, it is necessary to insert a double ''@@'' '''in front''' of the ID (''mail@...'' becomes ''@@mail@...''). Otherwise the ID will be treated as FQDN</li> <li class="list--elemnt__alert list--element__positiv">Automatically filled in for certificate authentication method after certificate selection.</li> }}
{{var | Schritt 3 - Lokal--Bild
| UTM_v12.6_IPSec_S2S_Schritt3.png
| UTM_v12.6_IPSec_S2S_Schritt3-en.png }}
{{var | Authentifizierungsmethode
| Authentifizierungsmethode
| Authentication method }}
{{var | Authentifizierungsmethode--desc
| Ein Pre-Shared Key wird verwendet
| A pre-shared key is in use }}
{{var | Pre-Shared Key--desc
| Ein beliebiger PSK
| An arbitrary PSK }}
{{var | Pre-Shared Key Hinweis
| Bei Authentifizierungsmethode Pre-Shared Key.
| For authentication method pre-shared key. }}
{{var | Schlüssel erstellen--desc
| Erstellt einen sehr starken Schlüssel
| Creates a very strong key }}
{{var | Schlüssel kopieren--desc
| Kopiert den PSK in die Zwischenablage
| Copies the PSK to the clipboard }}
{{var | Zertifikat
| Zertifikat
| Certificate }}
{{var | Server-Zertifikat
| Server-Zertifikat
| Server certificate }}
{{var | AM Zertifikat--desc
| Ein Zertifikat wird verwendet
| A certificate is in use }}
{{var | X.509 Zertifikat Hinweis
| Bei Authentifizierungsmethode Zertifikat.
| For authentication method certificate. }}
{{var | AM RSA--desc
| Ein RSA wird verwendet
| An RSA is in use }}
{{var | Nur bei IKEv1
| Nur bei IKEv1.
| Only for IKEv1. }}
{{var | RSA--desc
| Hier steht nur ''IKE v1'' zu Verfügung.
| Only ''IKE v1'' is available here. }}
{{var | Zertifikat--desc
| Auswahl eines Zertifikates
| Selection of a certificate }}
{{var | Zertifikat--Hinweis
| Dieses Zertifikat muss zuvor unter [[:UTM/AUTH/Zertifikate| {{Menu-UTM|Authentifizierung|Zertifikate}}]] erstellt werden.
| This certificate must be created beforehand under [[:UTM/AUTH/Zertifikate| {{Menu-UTM|Authentication|Certificates}}]]. }}
{{var | Privater RSA-Schlüssel
| Privater RSA-Schlüssel:
| Private RSA key }}
{{var | Privater RSA-Schlüssel--desc
| Privater RSA-Schlüssel zur Identifizierung
| Private RSA key for identification }}
{{var | Privater RSA-Schlüssel Hinweis
| Bei Authentifizierungsmethode RSA.
| For authentication method RSA. }}
{{var | Netzwerke freigeben
| Netzwerke freigeben
| Share networks }}
{{var | Schritt3-Netzwerke freigeben--desc
| Lokale Netzwerke der UTM {{info|Angabe korrigiert|icon=bug}}, auf die Zugriff gewährt werden soll.
| Local networks of the UTM {{info|specification corrected|icon=bug}} to which access is to be granted. }}
{{var | Schritt 4 - Gegenstelle
| Schritt 4 - Gegenstelle
| Step 4 - Remote Gateway }}
{{var | Schritt 4 - Gegenstelle--Bild
| UTM_v12.6_IPSec_S2S_Schritt4.png
| UTM_v12.6_IPSec_S2S_Schritt4-en.png }}
{{var | Remote Gateway--desc
| Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle
| Public IP address (or hostname that can be resolved via DNS) of the remote gateway. }}
{{var | Remote Gateway ID--desc
| ID, die auf der Gegenstelle als ''lokale ID'' konfiguriert wurde (beliebige Zeichenfolge)
| ID configured as ''local ID'' on the remote gateway (any character string).}}
{{var | Öffentlicher RSA-Schlüssel
| Öffentlicher RSA-Schlüssel:
| Public RSA key }}
{{var | Öffentlicher RSA-Schlüssel--desc
| RSA-Schlüssel, der öffentliche Teil mit dem sich die Gegenstelle authentifizieren muss.
| RSA key, the public part of which the remote gateway must use to authenticate itself. }}
{{var | Netzwerke freigeben
| Netzwerke freigeben
| Share networks }}
{{var | Schritt4-Netzwerke freigeben--desc
| Das lokale Netzwerk der Gegenstelle, auf das zugegriffen werden soll
| The local network of the remote gateway to be accessed }}
{{var | Beenden
| Beenden des Einrichtungsassistenten mit {{Button|Fertig}}
| Exit the setup wizard with {{Button|Finish}} }}
{{var | Phase2 bearbeiten
| Phase 2 bearbeiten
| Edit phase 2 }}
{{var | Phase2 bearbeiten--desc
| Bei S2S-Verbindungen sollte geprüft werden, ob sich mehrere Subnetze per ''MULTI_TRAFFIC_SELECTOR'' zusammen fassen lassen. Damit wird die Anzahl der SAs signifikant reduziert und die Stabilität der Verbindung erhöht.<br> Dazu wird in Phase 2 die Option ''Subnetzkombinationen gruppieren'' aktiviert.
| For S2S connections, it should be checked whether several subnets can be combined via ''MULTI_TRAFFIC_SELECTOR''. This significantly reduces the number of SAs and increases the stability of the connection.<br> To do this, the option ''Group subnet combinations'' is activated in phase 2. }}
{{var | Weitere Einstellungen
| Weitere Einstellungen
| More settings }}
{{var | Weitere Einstellungen--desc
| Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:
| In addition to the settings that have already been defined in the wizard, further parameters can be configured:  }}
{{var | Einstellungen IKEv1
| Weitere Einstellungen für IKEv1 einblenden
| Show additional settings for IKEv1 }}
{{var | Einstellungen IKEv1 ausblenden
| Weitere Einstellungen für IKEv1 ausblenden
| Hide additional settings for IKEv1 }}
{{var | Einstellungen IKEv2
| Weitere Einstellungen für IKEv2 einblenden
| Show additional settings for IKEv2 }}
{{var | Regelwerk
| Regelwerk
| Rulebook }}
{{var | Regelwerk--desc
| Um den Zugriff, auf das interne Netz zu gewähren muss die Verbindung erlaubt werden.
| To grant access to the internal network, the connection must be allowed. }}
{{var | Implizite Regeln
| Implizite Regeln
| Implied rules }}
{{var | Implizite Regeln--Bild
| UTM_v12.6_Implizite-Regeln_IPSec.png
| UTM_v12.6_Implizite-Regeln_IPSec-en.png }}
{{var | Implizite Regeln--cap
| Screenshot zeigen
| Show screenshot }}
{{var | Implizite Regeln--desc
| Es ist möglich, aber '''nicht empfehlenswert''' dies mit impliziten Regeln unter {{Menu-UTM|Firewall|Implizite Regeln}} Abschnitt {{ic|VPN}} zu konfigurieren.<br> {{Hinweis-box||g}} Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf '''allen''' Schnittstellen frei.
| It is possible, but '''not recommended''' to do this with implied rules under {{Menu-UTM| Firewall | Implied Rules }} section {{ic|VPN}} to configure this.<br> {{Hinweis-box||g}} However, these Implied Rules release the ports used for IPSec connections on '''all''' interfaces. }}
{{var | Freigabe-Hinweis
| '''Grundsätzlich gilt:'''<br> Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt!
| '''As a general rule:'''<br> Only what is needed and only for the one who needs it is released! }}
{{var | Netzwerkobjekt anlegen
| Netzwerkobjekt anlegen
| Create network object }}
{{var | Netzwerkobjekt anlegen--Bild
| UTM_v12.6_Netzwerkobjekt_IPSec.png
| UTM_v12.6_Netzwerkobjekt_IPSec-en.png }}
{{var | Netzwerkobjekt hinzufügen
| Netzwerkobjekt hinzufügen
| Add network Object }}
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Network Objects }}
{{var | Netzwerkobjekt anlegen--Menü
| Es muss ein Netzwerkobjekt für das entfernte Netz erstellt werden.<br> {{Menu-UTM| Firewall|Netzwerkobjekte| |Objekt hinzufügen|+}}
| A network object must be created for the remote network.<br> {{Menu-UTM|Firewall|Network Objects| |Add Object|+}} }}
{{var | Netzwerkobjekt anlegen--multi
| Existieren mehrere Subnetze auf der Gegenstelle, muss für jedes Subnetz ein Netzwerkobjekt angelegt werden.<br> Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen.
| If several subnets exist on the remote gateway, a network object must be created for each subnet.<br>If the corresponding authorizations are to be assigned, these can be combined into network groups. }}
{{var | Name für das IPSec-S2S-Netzwerkobjekt
| Name für das IPSec-S2S-Netzwerkobjekt
| Name for the IPSec S2S network object }}
{{var | Typ
| Typ
| Type }}
{{var | VPN-Netzwerk
| VPN-Netzwerk
| VPN network }}
{{var | VPN-Netzwerk--desc
| zu wählender Typ
| Type to be selected }}
{{var | Adresse
| Adresse
| Address }}
{{var | Adresse--desc
| Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im ''Installationsassistenten'' in ''Schritt 4 - Gegenstelle'' in der Zeile ''Netzwerke freigeben'' eingetragen wurde.<br> In diesem Beispiel also das Netzwerk 192.168.192.0/24.
| The IP address of the local network of the opposite side, as entered in the ''Installation Wizard'' in ''Step 4 - Remote Gateway'' in the line ''Share networks''.<br> So in this example the network 192.168.192.0/24. }}
{{var | Zone--desc
| zu wählende Zone
| Zone to be selected }}
{{var | Gruppe
| Gruppe
| Group }}
{{var | Gruppe--desc
| Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört.
| Optional: One or more groups to which the network object belongs. }}
{{var | Paketfilter Regeln
| Paketfilter Regeln
| Packet filter rule }}
{{var | Portfilter Regeln--desc
| Es müssen zwei Paketfilter Regeln erstellt werden.<br> Menü {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}}.<br>
<li class="list--element__alert list--element__warning">Existieren unterschiedliche Zugriffsrechte von/auf lokale und remote Netzwerke müssen mehrere Paketfilterregeln angelegt werden.</li>
| Two packet filter rules must be created.<br> Menu {{Menu-UTM|Firewall|Paketfilter||Add Rule|+}}.<br>
<li class="list--element__alert list--element__warning">If there are different access rights from/to local and remote networks, multiple packet filter rules must be setup.</li> }}
{{var | Paketfilter
| Paketfilter
| Packetfilter }}
{{var | Paketfilter Regeln--Bild
| UTM_v12.6.5_Firewall_Regel-IPSEC.png
| UTM_v12.6.5_Firewall_Regel-IPSEC-en.png }}
{{var | Paketfilter Regeln--cap
| Paketfilter-Regel
| Packet filter rules }}
{{var | Erste Regel
| Erste Regel
| First rule }}
{{var | Quelle
| Quelle
| Source }}
{{var | Quelle--desc
| Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
| Host or network (-pool), which should get access to the internal network }}
{{var | Ziel
| Ziel
| Destination }}
{{var | IPSec-Netzwerk
| IPSec-Netzwerk
| IPSec network }}
{{var | Zweite Regel
| Zweite Regel
| Second rule }}
{{var | Kein NAT
| Kein NAT
| No NAT}}
{{var | Ziel--desc
| Host, Netzwerk oder Netzwerkgruppe, auf die der Zugriff gewährt werden soll. Hier z.B. eine Gruppe von rdp-Servern.
| Host, network or network group to which access is to be granted. Here, for example, a group of rdp servers. }}
{{var | Dienst
| Dienst
| Service }}
{{var | benötigter Dienst
| benötigter Dienst
| needed service }}
{{var | Dienst--desc
| Dienst oder Dienstgruppe, die benötigt wird
| Service or service group that is needed }}
{{var | Konfiguration des zweiten Gateways
| Konfiguration des zweiten Gateways
| Configuration of the second gateway }}
{{var | Gleiche IKE-Version--Hinweis
| Es ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.
| It should be noted that the IKE version is identical on both sides.}}
{{var | Verwendung einer Securepoint UTM
| Verwendung einer Securepoint UTM
| Use of a Securepoint UTM }}
{{var | Gegenstelle Hinweise
| Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden
* Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
* Paketfilterregeln werden erstellt.
| On the remote gateway, the settings must be made in a similar way
* A new IPSec VPN connection is created using the IPSec wizard
* A network object for the IPSec network is created
* Port filter rules are created }}
{{var | Gegenstelle Schritt2
| Gegenstelle Schritt 2
| Remote Gateway step 2 }}
{{var | Gegenstelle Schritt2--desc
|* Es muss die gleiche Authentifizierungsmethode gewählt werden
* Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
* Es muss die gleiche IKE-Version verwendet werden
| * The same authentication method must be selected
* The same authentication key (PSK, certificate, RSA key) must be available
* The same IKE version must be used  }}
{{var | Gegenstelle Schritt3
| Gegenstelle Schritt 3
| Remote Gateway step 3 }}
{{var | Gegenstelle Schritt3--desc
|
* Als ''Local Gateway ID'' muss nun die ''Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
* Unter ''Netzwerke freigeben'' muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden
|
* As ''Local Gateway ID'' the ''Remote Gateway ID from step 4 of the first UTM must now be used
* Under ''Share Networks'' the (there remote) network from step 4 of the first UTM must also be used }}
{{var | Gegenstelle Schritt4
| Gegenstelle Schritt 4
| Remote Gateway step 4 }}
{{var | Gegenstelle Schritt4--desc
|* Als ''Remote Gateway'' muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden.<br> <small>(Diese Adresse wurde im Assistenten der ersten UTM '''nicht''' benötigt)</small>
* Als ''Remote Gateway ID'' muss die ''Local Gateway ID'' aus Schritt 3 der ersten UTM verwendet werden
* Unter ''Netzwerke freigeben'' muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden
| * The public IP address (or a hostname that can be resolved via DNS) of the first UTM must be entered as ''Remote Gateway''.<br> <small>(This address was '''not''' required in the wizard of the first UTM)</small>.
* The ''Local Gateway ID'' from step 3 of the first UTM must be used as ''Remote Gateway ID
* Under ''Share networks'' the (there local) network from step 3 of the first UTM must also be used. }}
{{var | Gegenstelle Netzwerkobjekt
| Netzwerkobjekt der Gegenstelle anlegen
| Create network object of the remote gateway }}
{{var | Gegenstelle Netzwerkobjekt--desc
|
* Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar.<br>Entsprechend muss unter ''Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden. <br>Im Beispiel {{ic|192.168.218.0/24}}
|
* The network object of the remote gateway represents the network of the first UTM.<br>Correspondingly, the network address of the local network of the first UTM must be entered under ''Address''. <br>In the example {{ic|192.168.218.0/24}} }}
{{var | Verwendung andere Hersteller
| Verwendung von Hardware anderer Hersteller
| Use of hardware from other manufacturers }}
{{var | Verwendung andere Hersteller--desc
|
* Die Securepoint UTM kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen.
* Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).
* Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.
|
* The Securepoint UTM can establish IPSec tunnels to remote gateways that have a correct IPSec implementation.
* These include: Gateways that use Strongswan, Openswan, or Freeswan (Astaro, IPCop, Cisco IPSec VPN, Checkpoint, etc.).
* The configuration of the remote gateway must be taken from the manufacturer's manual.
The parameters must match the settings on the Securepoint UTM. }}
{{var | Hinweise
| Hinweise
| Notes }}
{{var | Der transparente HTTP-Proxy--Bild
| UTM_v12.6_IPSec_S2S_HNE_bei_transparentem_Proxy.png
| UTM_v12.6_IPSec_S2S_HNE_bei_transparentem_Proxy-en.png}}
{{var | Der transparente HTTP-Proxy--cap
| Transparente Regel
| Transparent rule }}
{{var | Transparente Regel hinzufügen
| Transparente Regel hinzufügen
| Add Transparent rule }}
{{var | Anwendungen
| Anwendungen
| Applications }}
{{var | Der transparente HTTP-Proxy
| Der transparente HTTP-Proxy
| The transparent HTTP proxy }}
{{var | Der transparente HTTP-Proxy--desc
| Wenn aus dem Internen Netzwerk via ''HTTP'' auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. <br>Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. <br>Damit das nicht passiert, muss im Menü {{Menu-UTM|Anwendungen|HTTP-Proxy|Transparenter Modus|Transparente Regel hinzufügen|+}} eine Regel  '''Exclude''' mit der Quelle '''internal-network''' zum Ziel '''name-vpn-netzwerk-objekt''' und dem Protokoll '''HTTP''' erstellt werden.
| If a server behind the Site-to-Site connection is to be accessed from the internal network via ''HTTP'', the transparent HTTP proxy may filter the packets. <br>This can lead to errors while accessing the target. <br>To prevent this from happening, a rule '''Exclude''' must be created in the {{Menu-UTM|Applications|HTTP-Proxy|Transparent mode|Add transparent rule|+}} menu with source '''internal-network''' to target '''name-vpn-network-object''' and protocol '''HTTP'''. }}
{{var | Troubleshooting--desc
| Detaillierte Hinweise zum Troubleshooting finden sich im [[UTM/VPN/IPSec-Troubleshooting | Troubleshooting-Guide]]
| Detailed Troubleshooting instructions can be found in the [[UTM/VPN/IPSec-Troubleshooting | Troubleshooting Guide]] }}
{{var | IKE Version--desc
| Auswahl der IKE Version.
| Selection of the IKE version. }}
{{var | IKEv1--deprecated
| IKE v1 gilt als veraltet und sollte nicht mehr genutzt werden
| IKE v1 is considered deprecated and should no longer be used }}
{{var | IKEv2-Subnetzhinweis
| Bei Verwendung von '''IKE v2''' ist es möglich, mehrere Subnetze unter einer SA zusammenzufassen (default für neu angelegte Verbindungen).
| When using '''IKE v2''' it is possible to combine multiple subnets under one SA (default for newly created connections). }}
{{var | veraltet
| veraltet
| deprecated }}
{{var | Nur private Zertifikate--Hinweis
| Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar
| Only certificates with a private key part can be selected }}
 
----
{{var |
|
}}


{{var | neu--Schwache Algorithmen
{{var | neu--Schwache Algorithmen
Zeile 15: Zeile 434:
{{var | neu--nur private Schlüssel
{{var | neu--nur private Schlüssel
| Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten
| Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten
| }}
| Where necessary, only certificates with a private key part are offered }}
{{var | neu--Fehlerhafte Beschreibung Schritt 3
| Beschreibung der freizugebenden Netzwerke in [[#Schritt_3_-_Lokal|Schritt 3]] korrigiert
| Description of the networks to be released in [[#Step_3_-_Local|Step 3]] corrected }}


</div><div class="new_design"></div>{{TOC2|limit=3}}{{Select_lang}}
</div><div class="new_design"></div>{{TOC2|limit=3}}{{Select_lang}}
Zeile 31: Zeile 453:
[[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
[[UTM/VPN/IPSec-S2S_v11.6 | 11.6.12]]
|{{Menu-UTM|VPN|IPSec|{{#var:Verbindungen}} }}
|{{Menu-UTM|VPN|IPSec|{{#var:Verbindungen}} }}
| list-class=grid
|zuletzt=09.2024
|zuletzt=12.7.1
* {{#var:neu--Fehlerhafte Beschreibung Schritt 3}}
* {{#var:neu--nur private Schlüssel}}
* {{#var:neu--nur private Schlüssel}} <small>(v12.7.1)</small>
}}
}}
----
----
Zeile 79: Zeile 501:
| class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 2 - Allgemein--Bild}} |{{#var:Einrichtungsschritt}} 2}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Schritt 2 - Allgemein--Bild}} |{{#var:Einrichtungsschritt}} 2}}
|-
|-
| {{b|IKE Version:}} || {{Button|IKE v1 ({{#var:veraltet}})}}{{Button|IKE v2|class=last aktiv}} <small>'''Default'''</small> || {{#var:IKE Version--desc}}<br>{{Hinweis-box|{{#var:IKEv1--deprecated}}|g}}<br>{{#var:IKEv2-Subnetzhinweis}} {{info|{{#var:IKE-Multichannel--info}} }}
| {{b|IKE Version:}} || {{Button|IKE v1 ({{#var:veraltet}})}}{{Button|IKE v2|class=aktiv}} <small>'''Default'''</small> || {{#var:IKE Version--desc}}<br>{{Hinweis-box|{{#var:IKEv1--deprecated}}|g}}<br>{{#var:IKEv2-Subnetzhinweis}} {{info|{{#var:IKE-Multichannel--info}} }}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 110: Zeile 532:
-->
-->
|-
|-
| {{b|{{#var:Netzwerke freigeben}}:}} || {{ic| {{cb|192.168.122.0/24}} |cb|class=available}} || {{#var:Netzwerke freigeben--desc}}
| {{b|{{#var:Netzwerke freigeben}}:}} || {{ic| {{cb|192.168.122.0/24}} |cb|class=available}} || {{#var:Schritt3-Netzwerke freigeben--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 126: Zeile 548:
-->
-->
|-
|-
| {{b|{{#var:Netzwerke freigeben}}:}} || {{ic| {{cb|192.168.192.0/24}} |cb|class=available}} || {{#var:Netzwerke freigeben--desc}}
| {{b|{{#var:Netzwerke freigeben}}:}} || {{ic| {{cb|192.168.192.0/24}} |cb|class=available}} || {{#var:Schritt4-Netzwerke freigeben--desc}}
|-
|-
|- class="Leerzeile"
|- class="Leerzeile"

Aktuelle Version vom 19. September 2024, 09:22 Uhr

































































































De.png
En.png
Fr.png








IPSec Verbindungen Site-to-Site
Letzte Anpassung zur Version: 12.6.2
Neu:
  • Neue Funktion zum Absichern der genutzten Ports: Connection Rate Limit
  • Aktualisierung zum Redesign des Webinterfaces (v12.6.1)
  • IKEv1 ist als veraltet markiert (v12.6.1)
  • Schwache Algorithmen werden in den Auswahldialogen als solche gekennzeichnet (IKEv1 und IKEv2) (v12.5)
Zuletzt aktualisiert: 
    09.2024
    • Beschreibung der freizugebenden Netzwerke in Schritt 3 korrigiert
    • Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten (v12.7.1)
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5 12.4 12.2.5 12.2.3 12.2 11.7 11.6.12

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN IPSec  Bereich Verbindungen


Einleitung

Eine Site-to-Site-Verbindung verbindet zwei Netzwerke miteinander.
Beispielsweise das lokale Netzwerk einer Hauptstelle mit dem lokalen Netzwerk einer Filiale / Zweigstelle.

Für das Verbinden der beiden Gegenstellen lassen sich öffentliche IP-Adressen, sowie dynamische DNS Einträge, verwenden.



Vorbereitung

Sollte vor der Securepoint Appliance ein Router (z.B: Fritz!Box oder Speedport) stehen, muss dort gewährleistet sein, dass ESP und UDP 500/ 4500 aktiv ist. Siehe Beispiel-Konfiguration mit einer Fritz!Box.



Konfiguration einer IPSec Site-to-Site Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann im Menü VPN IPSec  Schaltfläche + IPSec Verbindung hinzufügen eine IPSec Verbindung hinzugefügt werden.


Einrichtungsassistent

Schritt 1 - Verbindungstyp
Beschriftung Wert Beschreibung IPSec Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S Schritt1.pngEinrichtungsschritt 1
Auswahl des Verbindungs-Typs: Es stehen folgende Verbindungen zur Verfügung.
  • Roadwarrior
  • Site to Site
Für die Konfiguration einer
Site to Site
Verbindung wird eben diese ausgewählt.
Schritt 2 - Allgemein
Name: IPSec S2S Name für die Verbindung UTM v12.6.1 IPSec S2S Schritt2 .png
Einrichtungsschritt 2
IKE Version: IKE v1 (veraltet)IKE v2 Default Auswahl der IKE Version.
notempty
IKE v1 gilt als veraltet und sollte nicht mehr genutzt werden

Bei Verwendung von IKE v2 ist es möglich, mehrere Subnetze unter einer SA zusammenzufassen (default für neu angelegte Verbindungen).
Ohne diese Option wird für jede Subnetzkombination eine eigene SA ausgehandelt. Dies hat besonders bei vielen SAs deutliche Nachteile und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen. Aktiviert wird diese Option bei der Bearbeitung der Konfiguration der Phase 2 mit dem Eintrag Subnetzkombinationen gruppieren.
Schritt 3 - Lokal
Local Gateway ID: Beliebiges Interface Beliebige Zeichenfolge.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein. Auf der Gegenstelle muss dieser Wert exakt genau so konfiguriert werden.
  • Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (Aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt
  • Wird bei Authentifizierungsmethode Zertifikat nach Zertifikatsauswahl automatisch ausgefüllt.
  • UTM v12.6 IPSec S2S Schritt3.png
    Einrichtungsschritt 3
    Authentifizierungsmethode: Pre-Shared Key Ein Pre-Shared Key wird verwendet
    Zertifikat Ein Zertifikat wird verwendet
    Pre-Shared Key
    Bei Authentifizierungsmethode Pre-Shared Key.
        Ein beliebiger PSK
    Erstellt einen sehr starken Schlüssel
    Kopiert den PSK in die Zwischenablage
    X.509 Zertifikat:
    Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar

    Bei Authentifizierungsmethode Zertifikat.
    Server-Zertifikat Auswahl eines Zertifikates
    Dieses Zertifikat muss zuvor unter Authentifizierung Zertifikate erstellt werden.
    Netzwerke freigeben: »192.168.122.0/24 Lokale Netzwerke der UTM
    Angabe korrigiert
    , auf die Zugriff gewährt werden soll.
    Schritt 4 - Gegenstelle
    Remote Gateway: 192.0.2.192 Öffentliche IP-Adresse (oder Hostname, der per DNS aufgelöst werden kann) der Gegenstelle UTM v12.6 IPSec S2S Schritt4.png
    Einrichtungsschritt 4
    Remote Gateway ID: 192.0.2.192 ID, die auf der Gegenstelle als lokale ID konfiguriert wurde (beliebige Zeichenfolge)
    Netzwerke freigeben: »192.168.192.0/24 Das lokale Netzwerk der Gegenstelle, auf das zugegriffen werden soll
    Beenden des Einrichtungsassistenten mit Fertig
  • Bei S2S-Verbindungen sollte geprüft werden, ob sich mehrere Subnetze per MULTI_TRAFFIC_SELECTOR zusammen fassen lassen. Damit wird die Anzahl der SAs signifikant reduziert und die Stabilität der Verbindung erhöht.
    Dazu wird in Phase 2 die Option Subnetzkombinationen gruppieren aktiviert.

  • Weitere Einstellungen

    Neben den Einstellungen, die auch schon im Assistenten festgelegt wurden, lassen sich weitere Parameter konfigurieren:


    IKEv1

    notempty
    IKE v1 gilt als veraltet und sollte nicht mehr genutzt werden

    Step-by-step.png






























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase1.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default
    Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route
    Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
  • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
  • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1
    UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
  • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
    Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
  • Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
    Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP
    192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
  • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
       local:  %any
       remote: 192.0.2.192
       local pre-shared key authentication:
         id: 192.168.175.218
       remote pre-shared key authentication:
         id: 192.0.2.192
       IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.193.0/24
       IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.193.0/24
    

    UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.192.0/24
     IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.193.0/24
     IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.219.0/24
       remote: 192.168.192.0/24
    

    UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.


    IKEv2

    Step-by-step.png






























    De.png
    En.png
    Fr.png


    Phase 1
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 1
    Allgemein


    Allgemein
    Beschriftung Wert Beschreibung Phase 1 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase1.pngPhase 1 Allgemein
    Beliebige Remote-Adressen erlauben: Ein
    Default
    Diese Option deaktivieren für Site to Site-Verbindungen mit DynDNS-Hosts, wenn mehrere IPsec-Verbindungen mit a priori unbekannten Adressen (DynDNS S2S, Roadwarrior) konfiguriert sind.
    Startverhalten: Outgoing Der Tunnel wird von der UTM initiiert, auch wenn keine Pakete gesendet werden.
    Eingehende Anfragen werden entgegen genommen.
    Incoming Default wenn Remote Host beliebig Die UTM nimmt eingehende Tunnelanfragen entgegen.
    Ausgehend wird keine Verbindung erstellt.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Route Default wenn Remote Host benannt Der Tunnel wird von der UTM nur dann initiiert, wenn Pakete gesendet werden sollen.notempty
    Wird nur als Default-Wert gesetzt, wenn als Remote Host / Gateway nicht Beliebige Gegenstelle ausgewählt ist.
    Ignore Deaktiviert den Tunnel
    Verkehr generieren:
    Bei Startverhalten Route
    Ein Verhindert unerwünschte Verbindungsabbrüche, wenn kein Datenverkehr stattfindet
    Dead Peer Detection: Ein Überprüft in einem festgelegtem Intervall, ob der Tunnel noch besteht.
    Wurde der Tunnel unerwartet beendet, werden die SAs abgebaut.
    (Nur dann ist es auch möglich einen neuen Tunnel wieder herzustellen.)
  • Bei Deaktivierung wird automatisch auch die Option Neustart nach Abbruch in Phase 2 deaktiviert.
  • DPD Timeout: 30Link= Sekunden Zeitraum, bevor der Zustand unter Startverhalten wieder hergestellt wird
  • Unter IKEv2 steht dieser Parameter nicht zur Verfügung.
    Hier werden die gleichen Werte verwendet, wie für normale Pakete.
  • DPD Intervall: 10Link= Sekunden Intervall der Überprüfung
    Compression: Aus Kompression wird nicht von allen Gegenstellen unterstützt
    MOBIKE aktivieren: Ja Dient zur Deaktivierung der MOBIKE Option
    Die Deaktivierung verhindert, dass verschlüsselte Daten von einer Gegenstelle zusätzlich in 4500udp gekapselt werden, was zu Problemen in der Kommunikation führt.
    Abschnitt IKE Einstellungen, die in der UTM und im Client identisch sein müssen:
    IKE
    Beschriftung Default UTM Default NCP Client UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 1 IKE.png
    Phase 1 IKEv1
    UTM v12.6 IPSec IKEv2 Phase1 IKE.png
    Phase 1 IKEv2
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 Hash: SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Abschnitt IKE Weitere Einstellungen:
    Beschriftung Wert Beschreibung
    Strict: Aus Die konfigurierten Parameter (Authentisierungs- und Verschlüsselungsalgorithmen) werden bevorzugt für Verbindungen verwendet
    Ein Es werden keine weiteren Proposals akzeptiert. Eine Verbindung ist nur mit den konfigurierten Parametern möglich.
    IKE Lifetime: Aus 3Link= Stunden Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    Kann zusätzlich zu IKE Rekeytime aktiviert Ein werden. Wird die Lifetime gesetzt, muss der Wert größer als die Rekeytime sein.
    IKE Lifetime: 1 Stunde Gültigkeitsdauer der Security Association: Vereinbarung zwischen zwei kommunizierenden Einheiten in Rechnernetzen. Sie beschreibt, wie die beiden Parteien Sicherheitsdienste anwenden, um sicher miteinander kommunizieren zu können. Beim Einsatz mehrerer Dienste müssen auch mehrere Sicherheitsverbindungen aufgebaut werden. (Quelle: Wikipedia 2022) in Phase 1
    IKE Rekeytime: 2Link= Stunden Die Gültigkeitsdauer, in der die Verbindung hergestellt wird (initial oder nach Abbruch)
    notempty
    Ab der Version 12.5.0 wird bei bereits bestehenden Verbindungen, die keine Rekeytime gesetzt haben an dieser Stelle der Wert der Lifetime eingetragen und der Wert der Lifetime auf 0 gesetzt.
    Dies erhöht die Stabilität der Verbindung signifikant und sollte keinerlei Nachteile mit sich bringen.
    Wurde bereits ein Wert für die Rekeytime gesetzt (möglich ab v12.4) wird keine Änderung vorgenommen.

    Beispiel:
    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 0

    Nach Update:
    ike_lifetime = 0
    ike_rekeytime = 2

    ----

    Aktive Version:
    ike_lifetime = 2
    ike_rekeytime = 1

    Nach Update: (ohne Änderung)
    ike_lifetime =2
    ike_rekeytime = 1
    Rekeying: unbegrenzt (empfohlen) Anzahl der Versuche, um die Verbindung herzustellen (initial oder nach Abbruch)
    Bei E2S-Verbindungen (Roadwarrior) kann die Einstellung 3 mal vermeiden, daß endlos versucht wird eine Verbindung zu nicht korrekt abgemeldeten Geräten herzustellen
    Phase 2
    VPN IPSec  Bereich Verbindungen Schaltfläche Phase 2
    Allgemein

    Abschnitt Allgemein Einstellungen, die in der UTM und im Client identisch sein müssen:

    Beschriftung Default UTM Default NCP Client Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / Roadwarrior Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv1 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv1 / S2S Phase 2 bearbeiten UTMbenutzer@firewall.name.fqdnVPNIPSec UTM v12.6 IPSec S2S IKEv2 Phase2 Allgemein.pngPhase 2 / Abschnitt Allgemein mit / IKEv2 / S2S
    Verschlüsselung: »aes128 AES 128 Bit
    Authentifizierung: »sha2_256 SHA2 256 Bit
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Diffie-Hellman Gruppe: »ecp521 IKE DH-Gruppe: DH2 (modp1024)
    Aktuelle Kombinationen: aes128-sha2_256-ecp521
    Schlüssel-Lebensdauer: 8 Stunden Schlüssel Lebensdauer in Phase 2
    Austausch-Modus: Main Mode (nicht konfigurierbar) Aggressive Mode (IKEv1)
  • Muss im NCP-Client auf Main Mode geändert werden!
    Die UTM unterstützt aus Sicherheitsgründen keinen Aggressive Mode.
  • Neustart nach Abbruch: Nein Wurde die Verbindung unerwartet beendet wird bei Aktivierung der Zustand, der unter Startverhalten in Phase 1 konfiguriert wurde wiederhergestellt.
    Es wird automatisch die Dead Peer Detection in Phase 1 aktiviert.
    Subnetzkombinationen gruppieren: Ja
  • Wird das Gruppieren von der Gegenstelle nicht unterstützt, wird trotz gegenteiliger Statusanzeige in der Übersicht nur das erste Subnetz verbunden.
  • Sind auf lokaler Seite oder auf der Gegenstelle mehr als ein Netz konfiguriert, wird bei Deaktivierung für jede Subnetzkombination eine eigene SA ausgehandelt.
    Dies hat besonders bei mehreren Subnetzen viele Subnetzkombinationen und damit viele SAs zur Folge und führt durch das Design des IPSec-Protokolls zu Limitierungen und zu Einbußen in der Stabilität der Verbindungen.
    DHCP: Aus Bei Aktivierung erhalten die Clients IP-Adressen aus einem lokalen Netz.
    Dazu sind weitere Konfigurationen erforderlich, siehe Wiki Artikel zu DHCP für IPSec.
    Adress-Pool:
    Adress-Pool:
    Beschriftung Wert Beschreibung UTM v12.6.2 VPN Ipsec RW IKEv2 Phase 2 Adress-Pool.png
    Lokales Netzwerk: 192.168.250.0/24 Das lokale Netzwerk, auf das über die VPN-Verbindung zugegriffen werden soll (wie im Assistenten in Schritt 3 konfiguriert)
    Adress-Pool:
    Nicht bei IPSec DHCP
    192.168.22.35/24 Die IP-Adresse (z.B.: 192.168.22.35/32), oder Pool in Form eines Subnetzes (z.B.: 192.168.22.35/26 für den Pool von 192.168.22.0 -192.168.22.63) welche unter IPSec genutzt wird.
    Subnetze

    Abschnitt Subnetze
    Szenario: Alle Subnetze haben untereinander Zugriff

  • Durch den Assistenten wird automatisch jedes lokale Netz mit jedem remote Netz verbunden.
  • Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein

    root@firewall:~# swanctl --list-conns

    IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns

     IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s
       local:  %any
       remote: 192.0.2.192
       local pre-shared key authentication:
         id: 192.168.175.218
       remote pre-shared key authentication:
         id: 192.0.2.192
       IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.218.0/24
         remote: 192.168.193.0/24
       IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.192.0/24
       IPSec$20S2S_7: TUNNEL, rekeying every 28260s, dpd action is restart
         local:  192.168.219.0/24
         remote: 192.168.193.0/24
    

    UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 Subnetze.png
    Alle Subnetze haben untereinander Zugriff
    Szenario: Nicht alle Subnetze dürfen auf jedes Netz der Gegenstelle zugreifen

    Wird in Phase zwei ein lokales Netzwerk nicht mit allen remote Netzwerken (oder ein remote Netzwerk nicht mit allen lokalen) verbunden, wird das bei aktiver Option Subnetkombiantionen gruppieren nicht berücksichtigt!

    notempty
    Durch die Option Subnetzkombinationen gruppieren werden alle lokalen Netzwerke mit allen remote Netzwerken verbunden!
    notempty
    Portfilterregeln ermöglichen es, den Zugriff zu steuern.

    Mit einem SSH-Login als root lässt sich das Verhalten besonders gut nachvollziehen.
    Beispiel mit jeweils zwei Subnetzen.
    Subnetzkombinationen gruppieren Aktiviert Ein root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24 192.168.219.0/24
       remote: 192.168.192.0/24 192.168.193.0/24
    


    Subnetzkombinationen gruppieren Deaktiviert Aus
    root@firewall:~# swanctl --list-conns IPSec$20S2S: IKEv2, reauthentication every 3060s, no rekeying, dpd delay 10s

     local:  %any
     remote: 192.0.2.192
     local pre-shared key authentication:
       id: 192.168.175.218
     remote pre-shared key authentication:
       id: 192.0.2.192
     IPSec$20S2S_4: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.192.0/24
     IPSec$20S2S_5: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.218.0/24
       remote: 192.168.193.0/24
     IPSec$20S2S_6: TUNNEL, rekeying every 28260s, dpd action is restart
       local:  192.168.219.0/24
       remote: 192.168.192.0/24
    

    UTM v12.6.2 VPN Ipsec RW IKEv1 Phase 2 reduzierte Subnetze.png
    Das zweite lokale Subnetz wird nur mit einem remote Subnetz verbunden

    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.




    Regelwerk

    Um den Zugriff, auf das interne Netz zu gewähren muss die Verbindung erlaubt werden.

    Es ist möglich, aber nicht empfehlenswert dies mit impliziten Regeln unter Firewall Implizite Regeln Abschnitt VPN zu konfigurieren.
    Diese Impliziten Regeln geben die Ports, die für IPSec Verbindungen genutzt werden, jedoch auf allen Schnittstellen frei.
    Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall UTM v12.6 Implizite-Regeln IPSec.pngImplizite Regeln
    notempty
    Grundsätzlich gilt:
    Es wird nur das freigegeben, was benötigt wird und nur für denjenigen, der es benötigt!

    Netzwerkobjekt anlegen

    Es muss ein Netzwerkobjekt für das entfernte Netz erstellt werden.
    Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

  • Existieren mehrere Subnetze auf der Gegenstelle, muss für jedes Subnetz ein Netzwerkobjekt angelegt werden.
    Wenn die entsprechenden Berechtigungen vergeben werden sollen, lassen sich diese zu Netzwerkgruppen zusammenfassen.
  • Name: IPSec-S2S Name für das IPSec-S2S-Netzwerkobjekt Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 Netzwerkobjekt IPSec.png
    Typ: VPN-Netzwerk zu wählender Typ
    Adresse: 192.168.192.0/24 Die IP-Adresse des lokalen Netzwerks der gegenüberliegenden Seite, wie im Installationsassistenten in Schritt 4 - Gegenstelle in der Zeile Netzwerke freigeben eingetragen wurde.
    In diesem Beispiel also das Netzwerk 192.168.192.0/24.
    Zone: vpn-ipsec zu wählende Zone
    Gruppe:     Optional: Eine oder mehrere Gruppen, zu denen das Netzwerkobjekt gehört.

    Paketfilter Regeln

    Erste Regel
    Quelle: internal-network Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren UTM v12.6.5 Firewall Regel-IPSEC.pngPaketfilter-Regel
    Ziel: IPSec-Netzwerk Host, Netzwerk oder Netzwerkgruppe, auf die der Zugriff gewährt werden soll. Hier z.B. eine Gruppe von rdp-Servern.
    Dienst: benötigter Dienst Dienst oder Dienstgruppe, die benötigt wird
    NAT: Hidenat Exclude
    Netzwerkobjekte: external-interface
    Zweite Regel
    Quelle: IPSec-Netzwerk Host oder Netzwerk (-Pool), der Zugriff auf das interne Netz bekommen soll
    Ziel: internal-network Ziel
    Dienst: benötigter Dienst Dienst oder Dienstgruppe, die benötigt wird
    NAT: Kein NAT


    Konfiguration des zweiten Gateways

    notempty
    Es ist zu beachten, dass die IKE-Version auf beiden Seiten identisch ist.


    Verwendung einer Securepoint UTM

    Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden

    • Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt
    • Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
    • Paketfilterregeln werden erstellt.


    Gegenstelle Schritt 2
    • Es muss die gleiche Authentifizierungsmethode gewählt werden
    • Es muss der gleiche Authentifizierungs-Schlüssel (PSK, Zertifikat, RSA-Schlüssel) vorliegen
    • Es muss die gleiche IKE-Version verwendet werden


    Gegenstelle Schritt 3
    • Als Local Gateway ID muss nun die Remote Gateway ID aus Schritt 4 der ersten UTM verwendet werden
    • Unter Netzwerke freigeben muss ebenfalls das (dort Remote-) Netzwerk aus Schritt 4 der ersten UTM verwendet werden


    Gegenstelle Schritt 4
    • Als Remote Gateway muss die öffentliche IP-Adresse (oder ein Hostname, der per DNS aufgelöst werden kann) der ersten UTM eingetragen werden.
      (Diese Adresse wurde im Assistenten der ersten UTM nicht benötigt)
    • Als Remote Gateway ID muss die Local Gateway ID aus Schritt 3 der ersten UTM verwendet werden
    • Unter Netzwerke freigeben muss ebenfalls das (dort lokale) Netzwerk aus Schritt 3 der ersten UTM verwendet werden


    Netzwerkobjekt der Gegenstelle anlegen
    • Das Netzwerkobjekt der Gegenstelle stellt das Netzwerk der ersten UTM dar.
      Entsprechend muss unter Adresse' die Netzwerkadresse des lokalen Netzes der ersten UTM eingetragen werden.
      Im Beispiel 192.168.218.0/24



    Hinweise

    Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenHTTP-Proxy UTM v12.6 IPSec S2S HNE bei transparentem Proxy.png Transparente Regel

    Der transparente HTTP-Proxy

    Wenn aus dem Internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert.
    Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.
    Damit das nicht passiert, muss im Menü Anwendungen HTTP-Proxy  Bereich Transparenter Modus Schaltfläche Transparente Regel hinzufügen eine Regel Exclude mit der Quelle internal-network zum Ziel name-vpn-netzwerk-objekt und dem Protokoll HTTP erstellt werden.



    Troubleshooting

    Detaillierte Hinweise zum Troubleshooting finden sich im Troubleshooting-Guide.
    Sollte als Gateway-ID eine E-Mail-Adresse verwendet werden, ist es erforderlich vor die ID ein doppeltes @@ einzufügen (aus mail@… wird @@mail@…). Andernfalls wird die ID als FQDN behandelt.


































    Connection Rate Limit

    Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

    notempty

    Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
    Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

    Die Funktion soll helfen Angriffe abzuwehren.
    SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.


    Connection Rate Limit.png
    Connection Rate Limit Access.png

    Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
    Dabei gelten folgende Bedingungen:

    • Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
    • Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
    • Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
      Danach werden die Verbindungen limitiert:
      • Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
      • Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
      • 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
    • Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
      Andere Ports können weiterhin erreicht werden.
    • Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
    • Bei Updates muss die Funktion manuell aktiviert werden
    extc-Variable Default Beschreibung
    CONNECTION_RATE_LIMIT_TCP 0 Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port
    0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
    CONNECTION_RATE_LIMIT_TCP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden.
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
    CONNECTION_RATE_LIMIT_UDP 20 / 0
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
    Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
    CONNECTION_RATE_LIMIT_UDP_PORTS Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!).
    Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

    Konfiguration mit CLI-Befehlen

    CLI-Befehl Funktion
    extc value get application securepoint_firewall
    Alternativ als root-User:
    spcli extc value get application securepoint_firewall | grep RATE
    Listet alle Variablen der Anwendung securepoint_firewall auf.
    Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen.

    application |variable |value --------------------+-------------------------------+----- securepoint_firewall |… |… |CONNECTION_RATE_LIMIT_TCP |0 |CONNECTION_RATE_LIMIT_TCP_PORTS| |CONNECTION_RATE_LIMIT_UDP |20 |CONNECTION_RATE_LIMIT_UDP_PORTS|

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    system update rule
    Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
  • Eine Änderung wird durch ein Regelupdate direkt durchgeführt.
    Der Wert muss nicht zuerst auf 0 gesetzt werden!
  • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0
    system update rule
    Deaktiviert die Überwachung von TCP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    system update rule
    Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ]
    system update rule
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    system update rule
    Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute
    Default Einstellung bei Neuinstallationen ab v12.6.2: 20
    Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.
  • Eine Änderung wird durch ein Regelupdate direkt durchgeführt.
    Der Wert muss nicht zuerst auf 0 gesetzt werden!
  • extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0
    system update rule
    Deaktiviert die Überwachung von UDP-Verbindungen
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ]
    system update rule
    Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195.
    (Beispielhaft für 2 angelegte SSL-VPN Tunnel.)
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule
    Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!

    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ]
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20
    extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ]
    system update rule

    notempty

    Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.

    Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.