KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 101: | Zeile 101: | ||
==== Regelwerk ==== | ==== Regelwerk ==== | ||
{{pt3| UTM_v11.8.8_SSL-VPN_RW-Implied-Rules.png | Implizite Regeln }} | {{pt3| UTM_v11.8.8_SSL-VPN_RW-Implied-Rules.png | Implizite Regeln }} | ||
<p>Unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic| Vpn |tr- | <p>Unter {{Menu| Firewall | Implizite Regeln }} Abschnitt {{ic| Vpn |tr-odd}} kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. </p> | ||
<p>Im Beispiel {{ButtonAn|{{#var:ein|Ein}} }} SSL VPN UDP</p> | <p>Im Beispiel {{ButtonAn|{{#var:ein|Ein}} }} SSL VPN UDP</p> | ||
<p>Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei. <br> | <p>Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei. <br> | ||
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:<br> | Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:<br> | ||
{{ButtonAn|{{#var:ein|Ein}} }} {{ic| User Interface Portal | tr- | {{ButtonAn|{{#var:ein|Ein}} }} {{ic| User Interface Portal | tr-odd}}<br> | ||
{{Hinweis|!|g}} Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde. | {{Hinweis|!|g}} Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde. | ||
<div style="clear: both;"></div> | <div style="clear: both;"></div> |
Version vom 23. Januar 2020, 17:17 Uhr
Konfiguration von SSL-VPN Roadwarrior-Verbindungen
Letzte Anpassung zur Version: 11.8.7
- Neu:
- Defaultwert für Verschlüsselungs-Algorithmus geändert
- Defaultwert für Hashverfahren geändert
Vorherige Versionen: 11.6.12, 11.7
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Mit einer SSL-VPN Roadwarrior-Verbindung können mehrere Clients angebunden werden.
Roadwarrior Konfiguration
Für die Einrichtung des Roadwarrior wird eine CA, ein Server-
und ein User-Zertifikat benötigt.
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit Schaltfläche aufgerufen werden.
Schritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
- Roadwarrior Server
- Site to Site Server
- Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
Schritt 2
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
Schritt 3
Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden.
Beschriftung | Wert | Beschreibung |
---|---|---|
Name: | RW-Securepoint | Eindeutige Bezeichnung |
Protokoll: | gewünschtes Protokoll | |
Port: | Nicht belegter Port | |
Serverzertifikat: | Auswahl des Zertifikates, mit dem der Server sich Authentifiziert Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten. | |
Servernetzwerke freigeben: | »192.168.175.0/24 | An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll. |
Schritt 4
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
Schritt 5
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
- None = Authentifizierung nur über die Zertifikate
- Local = Lokale Benutzer und AD Gruppen
- Radius = Radius Server
Abschluss
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden:
Dabei werden alle SSL-VPN-Tunnel unterbrochen!
Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
Regelwerk
Unter Vpn kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden.
AbschnittIm Beispiel Ein SSL VPN UDP
Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal
Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
Regeln
Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.
Benutzer und Gruppen anlegen
Gruppe
Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine Gruppe hinzugefügt werden. Die Gruppe muss die Berechtigung SSL-VPN erhalten.
Benutzer
Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstellte Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstellte SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der SSL-VPN Client Download aktiviert werden.
SSL-VPN Verbindung als Client herstellen
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.
Herunterladen des SSL-VPN Clients im Userinterface
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:443) kann unter SSL-VPN Client Download der Client heruntergeladen werden.
- SSL-VPN Client Installer
- SSL-VPN Portable Client
- Konfiguration und Zertifikat
Bitte beachten: Der Tap-Treiber für Windows wird nun durch Securepoint GmbH signiert. Weitere Hinweise hier.
Hinweise
Verschlüsselung
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
Hashverfahren
Standartmäßig wird ein SHA1 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Search Domain
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
DNS/WINS übermitteln
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.