KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 237: | Zeile 237: | ||
==== SSL-VPN Verbindung als Client herstellen ==== | ==== SSL-VPN Verbindung als Client herstellen ==== | ||
{{pt3| SSL-VPN-v2 Verbunden.png | | {{pt3| SSL-VPN-v2 Verbunden.png | Aktive SSL-VPN-Verbindung }} | ||
Ein Doppelklick auf das Schloss-Symbol <i class="fas fa-lock-alt"></i> in der Taskleiste öffnet den SSL-VPN-Client.<br> | Ein Doppelklick auf das Schloss-Symbol <i class="fas fa-lock-alt"></i> in der Taskleiste öffnet den SSL-VPN-Client.<br> | ||
Starten der Verbindung mit Klick auf [[Datei:SSL-VPN-Client-Doppelpfeil.png|x20px]] | Starten der Verbindung mit Klick auf [[Datei:SSL-VPN-Client-Doppelpfeil.png|x20px]] | ||
| Zeile 247: | Zeile 247: | ||
Standartmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden. | Standartmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden. | ||
{{Hinweis| ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich | g| c=graul}} | {{Hinweis| ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich | g| c=graul}} | ||
---- | |||
==== Hashverfahren ==== | ==== Hashverfahren ==== | ||
Standartmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden. | Standartmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden. | ||
{{Hinweis | ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich| g| c=graul}} | {{Hinweis | ! Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich| g| c=graul}} | ||
---- | |||
==== QoS ==== | ==== QoS ==== | ||
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. | Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. | ||
---- | |||
==== Search Domain ==== | ==== Search Domain ==== | ||
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden. | Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden. | ||
====DNS/WINS übermitteln==== | ---- | ||
==== DNS/WINS übermitteln ==== | |||
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt. | Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt. | ||
---- | |||
==== Hinweis zu vorgeschalteten Routern/Modems ==== | ==== Hinweis zu vorgeschalteten Routern/Modems ==== | ||
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität [[Drittgeräte-Firewalls|deaktivieren]]. | Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität [[Drittgeräte-Firewalls|deaktivieren]]. | ||
{{Hinweis | !! Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.| g| c=graul}} | {{Hinweis | !! Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.| g| c=graul}} | ||
---- | |||
==== IPv6 für eingehende Verbindungen ==== | ==== IPv6 für eingehende Verbindungen ==== | ||
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden. | In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden. | ||
Version vom 24. Januar 2020, 17:02 Uhr
Konfiguration von SSL-VPN Roadwarrior-Verbindungen
Letzte Anpassung zur Version: 11.8.7
- Neu:
- Defaultwert für Verschlüsselungs-Algorithmus geändert
- Defaultwert für Hashverfahren geändert
Vorherige Versionen: 11.6.12, 11.7
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Mit einer SSL-VPN Roadwarrior-Verbindung können mehrere Clients angebunden werden.
Roadwarrior Konfiguration
Für die Einrichtung des Roadwarrior wird eine CA, ein Server-
und ein User-Zertifikat benötigt.
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit Schaltfläche aufgerufen werden.
Schritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
- Roadwarrior Server
- Site to Site Server
- Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
Schritt 2
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
Schritt 3
Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden.
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name: | RW-Securepoint | Eindeutige Bezeichnung |
| Protokoll: | gewünschtes Protokoll | |
| Port: | Nicht belegter Port | |
| Serverzertifikat: | Auswahl des Zertifikates, mit dem der Server sich Authentifiziert Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten. | |
| Servernetzwerke freigeben: | »192.168.175.0/24 | An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll. |
Schritt 4
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
Schritt 5
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
- None = Authentifizierung nur über die Zertifikate
- Local = Lokale Benutzer und AD Gruppen
- Radius = Radius Server
Abschluss
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden:
Dabei werden alle SSL-VPN-Tunnel unterbrochen!
Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
Regelwerk
Implizite Regeln
Unter Abschnitt Vpn kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden.
Im Beispiel Ein SSL VPN UDP
Diese Implizite Regel gibt die Ports, die für SSL VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal
Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriern den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name: | SSL-VPN-RW-Network | Frei wählbarer Name |
| Typ: | ||
| Adresse: | 192.168.192.0/24 | Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde. |
| Zone: | die Zone, über die das Tunnel-Netzwerk angesprochen wird. | |
| Gruppe: | Optional |
Portfilter Regel
Menü Reiter Portfilter Schaltfläche
Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| 1. Regel | ||
| Quelle | SSL-VPN-RW-Network | Eingehende Regel |
| Ziel | internal-network | |
| Dienst | benötigter Dienst | Es sollten nur tatsächlich benötigte Dienste freigegeben werden ! |
Benutzer und Gruppen anlegen
Gruppe
Unter muss man für die Benutzer, die auf den Roadwarrior-Server zugreifen sollen zunächst eine .
Einstellungen im Reiter Berechtigungen
Gruppenname: RW-SSL-VPN
Folgende Berichtigungen müssen erteilt werden:
- Ein SSL-VPN
- Ein Userinterface
Einstellungen im Reiter SSL-VPN
| Client im Userinterface herunterladbar: | Ein | Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar |
| SSL-VPN Verbindung: | RW-Securepoint | Soeben angelegte Verbindung wählen |
| Client-Zertifikat: | Nur für interne Prüfzwecke | |
| Remote Gateway: | 192.0.2.192 | Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein. |
| Redirect Gateway | Aus | Bei Aktivierung werden auch Anfragen der Roadwarrier-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM |
| Im Portfilter verfügbar: | Ein | Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN |
Benutzer
Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Reiter Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.
Reiter Benutzer Schaltfläche oder Benutzer bearbeiten .
AllgemeinAllgemein | ||
| Gruppen: | RW-SSL-VPN | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden. |
SSL-VPNSSL-VPN | ||
| Einstellungen aus der Gruppe verwenden: | Ein | |
| Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden. | ||
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.
Herunterladen des SSL-VPN Clients im Userinterface
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung.
Anmeldung im Userinterface per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Der Client wird angeboten als:
SSL-VPN Client Installer
- Die Installation muss mit Administrator-Rechten durchgeführt werden.
- SSL-VPN Portable Client
- Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
- Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
- Konfiguration und Zertifikat
Zur Verwendung in anderen SSL-VPN-Clients
Die komprimierten Ordner enthalten neben dem SSL-VPN Client
- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
Ab Windows 10 können ältere SSL-VPN Clients < V2 nicht mehr verwendet werden.
Der Tap-Treiber für Windows wird nun durch Securepoint GmbH signiert. Weitere Hinweise hier.
SSL-VPN Verbindung als Client herstellen
Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf 
Hinweise
Verschlüsselung
Standartmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden. Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich
Hashverfahren
Standartmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden. Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Search Domain
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
DNS/WINS übermitteln
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren. Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.