Wechseln zu:Navigation, Suche
Wiki
Zeile 25: Zeile 25:
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).
<br>
<br>
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. Um das zu verhindern, müssen Sie den privaten Schlüssel aus der exportierten CA löschen.
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.
:Es öffnet sich ein Kontextmenü.
<br>
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]
*Klicken Sie auf ''Öffnen''.
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.
*Bestätigen Sie mit ''OK''.
<br><br><br><br>
<br><br><br><br>
<br>
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).
*''Speichern'' Sie dann die Datei.
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>


=== SSL VPN Server einrichten ===
=== SSL VPN Server einrichten ===

Version vom 29. Mai 2013, 14:09 Uhr

Vorlage:V11

Einrichtung des SSL VPN Servers

Zertifikate

Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.

  • Gehen Sie dafür auf Authentifizierung > Zertifikate.
CA anlegen
  • Erstellen Sie ihre CA.
    • Klicken Sie auf "+ CA hinzufügen".
    • Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Füllen Sie die anderen Felder entsprechend aus.
    • Speichern Sie die CA.











  • Gehen Sie danach auf die Registerkarte Zertifikate.
Server Zertifikate anlegen
  • Nun erstellen Sie ein Server- und ein Client-Zertifikat.
    • Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
    • Füllen Sie die restlichen Felder aus.
    • Alias bleibt auf "none".
    • Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.











  • Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).


SSL VPN Server einrichten

In der UTMv11 haben Sie die Möglichkeit mehrere Instanzen des OpenVPN-Servers laufen zu lassen. Dadurch entfällt die manuelle Einstellung von Server und Client über die CLI. In der UTMv11 können Sie in der GUI mit einem Klick sagen ob Sie eine Client- oder eine Serverkonfiguration erstellen möchten.

  • Gehen Sie dafür als erstes auf VPN > SSL VPN.
  • Klicken Sie auf „Site-to-Site-Server“
Step 1


  • Geben Sie dem Server einen Namen ein.
  • Wählen Sie das Protokoll aus.
  • Der Port wird automatisch selbst gesetzt.
  • Bei Zertifikat wählen Sie das Server Zertifikat aus, welches Sie erstellt haben.
  • Als letztes geben Sie dem Server die IP 192.168.250.1/24.
  • Klicken Sie auf weiter.







Step 2


Nun erstellen Sie das Client Profil

  • Wählen Sie das Client Zertifikat aus.
  • Bestimmen Sie die IP des Clients 192.168.250.X/24 (x > 1, in der UTM v11 stehen Ihnen alle IPs im Subnetz zur Verfügung, d.h. im /24 Netz haben Sie 252 IPs (2^8 minus Netzadresse, minus Broadcast-Adresse, minus Adresse für den OpenVPN-Server) zur Auswahl.
  • Als Subnetz geben Sie das Netzwerk hinter dem Client an.
  • Klicken Sie auf weiter.







Step 3


  • Die MTU lassen Sie auf 1500.
  • Klicken Sie auf Fertig.







Überprüfen Sie unter Anwendungen > Anwendungsstatus ob der SSL VPN Server gestartet ist. Hat der Dienst "SSL-VPN" eine grüne "Lampe", so ist dieser gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktiviert ist).

Routen

  • Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing
Server Route






  • Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk

(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ... 10. Instanz ist tun9 etc.)

Regelwerk

  • Gehen Sie auf Firewall > Implied Rules > VPN

VPN_Implizite_Regeln.png

Implizite Regel für Openvpn


  • Setzen Sie den Haken bei Openvpn UDP (sollten Sie bei der Einrichtung des Servers als Protokoll TCP ausgewählt haben, dann müssen Sie den Haken bei Openvpn TCP setzen und nicht bei UDP)
  • Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.
  • Erstellen Sie ein Netzwerkobjekt für das Client-Netzwerk (Remotenetzwerk).






Datei:NetzObj anlegen server.png
Netzwerkobjekt anlegen


  • Geben Sie einen Namen an
  • Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit Netzwerkobjektgruppen zu bilden.
  • Als Typ wählen Sie"Netzwerk" aus.
  • Die Zone lautet "vpn-openvpn-<Name des Remote Client Profils>"






Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter

Regelwerk auf dem Server


  • Erstellen Sie nun folgende Firewall-Regeln

NetObj_Ovpn_Client > Internal Networks > any > ACCEPT
Internal Networks > NetObj_Ovpn_Client > any > ACCEPT

Einrichtung des Clients

Zertifikate

  • Gehen Sie auf Authentifizierung > Zertifikate
CA Importieren


  • Importieren Sie die CA.
  • Wiederholen Sie den Vorgang für das Client Zertifkat auf der Registerkarte Zertifikate.





SSL VPN

  • Gehen Sie auf VPN > SSL VPN.
  • Klicken Sie auf „Site-to-Site Client“.
Step1


  • Geben Sie der Verbindungen einen Namen.
  • Geben Sie den Remotehost an.
  • Wählen Sie das Protokoll aus (muss mit dem Protokoll vom Server übereinstimmen)
  • Wählen Sie das Client Zertifikat aus.
  • Klicken Sie auf Weiter






Step2


  • Belassen Sie die MTU auf 1500 (Sollten Sie den Wert auf dem Server angepasst haben, muss dieser Wert mit dem auf dem Client übereinstimmen)
  • Klicken Sie auf Fertig







Überprüfen Sie ob der SSL Server gestartet ist Dies machen Sie über Anwendungen > Anwendungsstatus. Hat SSL-VPN eine grüne "Lampe", dann ist der Dienst gestartet (Rot bedeutet es besteht ein Fehler und Grau bedeutet, dass der Server deaktivert ist).

Routen

  • Gehen Sie auf Netzwerk > Netzwerkkonfiguration > Routing
Routen auf dem Client







  • Erstellen Sie eine Route über Ihr "tunX-Interface" Gateway zum Zielnetzwerk

(Sollte dies Ihre erste OpenVPN-Server-Instanz sein, dann ist es tun0, sollte es allerdings die 2. Instanz sein, so ist es tun1, ...10. Instanz ist tun9 etc.)

Regelwerk

  • Gehen Sie auf Firewall > Portfilter > Netzwerkobjekte.
  • Erstellen Sie ein Netzwerkobjekt für das Servernetzwerk (Remotenetzwerk).
Netzwerkobjekt erstellen


  • Geben Sie einen Namen an
  • Die Gruppe können Sie leer lassen, da es in der UTM v11 nicht mehr zwingend erforderlich ist das Regelwerk mit *Netzwerkobjektgruppen zu bilden.
  • Als Typ wählen sie Netzwerk aus
  • Die Zone ist "vpn-openvpn-<Name des Openvpn Servers>"






Wenn das Objekt angelegt worden ist gehen Sie wieder auf die Registerkarte Portfilter

Regelwerk auf dem Client


  • Erstellen Sie nun das folgende Firewall-Regeln

NetObj_Ovpn_Server > Internal Networks > any > ACCEPT
Internal Netwroks > NetObj_Ovpn_Server > any > ACCEPT

Besonderheiten

Sollte auf der Firewall, welche als Client fungiert, bereits ein Openvpn Tunnel angelegt sein und der Openvpn Server NICHT auf Port 1194 läuft. So muss auf Seiten des Clients die Config per Hand verändert werden. Dazu verbinden Sie sich mit Putty zur Firewall und melden sich mit einem Administrator an.

  • Führen Sie den Befehl "openvpn remote get" aus.
  • Danach den Befehel "openvpn remote set id "X" hosts andihome.spdns.de:Y"

Für X tragen Sie nun die ID des passenden Eintragen vom 1. Befehl ein. Für Y tragen Sie den Port des Servers ein.

Beispiel: openvpn remote set id "1" hosts securepoint_test.spdns.de:1198
Hier wird nun der 1. Eintrag auf die Remote Adress securepoint_test.spdns.de gesetzt und die Firewall verwendet nun Port 1198.

Starten Sie nach diesen Änderungen den Openvpn Server neu.