UTM/VPN/SSL VPN-Roadwarrior: Unterschied zwischen den Versionen

Version vom 20. Juli 2022, 12:00 Uhr

Konfiguration von SSL-VPN Roadwarrior-Verbindungen

Letzte Anpassung zur Version: 12.2.2

Neu:

(v12.2)
(v12.2)

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.2 11.8.7 11.7.1 11.7 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.

Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.

Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.

Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate

Vorbereitungen

Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt.
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.

Auflösung interner Hostnamen im SSL-VPN

Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:

UTM v12.6 SSL-VPN Roadwarrior DNS-WINS aktiviert.png

Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

Wenn vorhanden, Domain eingeben.

UTM v12.6 SSL-VPN Roadwarrior Allgemeine Search Domain.png

Search Domain vorgeben

Roadwarrior Konfiguration

Einrichtungsassistent

Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.

UTM v12.6 SSL-VPN Roadwarrior Schritt1.png

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.
Es stehen folgende Verbindungen zur Verfügung.

Roadwarrior Server
Site to Site Server
Site to Site Client

Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.

UTM v12.6 SSL-VPN Roadwarrior Schritt2.png

Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.

Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.

Beschriftung	Wert	Beschreibung
		Eindeutige Bezeichnung, frei wählbar
Protokoll:		Gewünschtes Protokoll
	1194	Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat:	Serverzertifikat	Auswahl des Zertifikates, mit dem der Server sich Authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche Zertifikat hinzufügen. Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden. Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.
Servernetzwerke freigeben:	»192.168.175.0/24	An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.

UTM v12.6 SSL-VPN Roadwarrior Schritt3.png

UTM v12.6 SSL-VPN Roadwarrior Schritt4.png

Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

UTM v12.6 SSL-VPN Roadwarrior Schritt5.png

Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.
Danach kann der Einrichtungsassistent abgeschlossen werden.

None = Authentifizierung nur über die Zertifikate
Local = Lokale Benutzer und AD Gruppen
Radius = Radius Server
Local OTP = Lokale Benutzer und AD Gruppen mit verpflichtendem OTP für diesen Tunnel notempty
Neu ab v12.7.3

Abschluss

UTM v12.6 SSL-VPN Roadwarrior Schritt6.png

In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten

Dabei werden alle SSL-VPN-Tunnel unterbrochen!

Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!

Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.

Regelwerk

Implizite Regeln

Unter Firewall Implizite Regeln Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

Im Beispiel Ein SSL-VPN UDP ➊

Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal ➋

Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.

Netzwerkobjekte

Netzwerkobjekt für das Tunnelnetzwerk

Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

Beschriftung	Wert	Beschreibung
	SSL-VPN-RW-Network	Eindeutige Bezeichnung, frei wählbar
Typ	VPN-Netzwerk	Passenden Typen wählen
Adresse	192.168.192.0/24	Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
	vpn-ssl-RW-Securepoint	Die Zone, über die das Tunnel-Netzwerk angesprochen wird.
Gruppen		Optionale Zuordnung zu Netzwerkgruppen

Speichern

[[Datei: |hochkant=2.5|mini| ]]

Beschriftung	Wert	Beschreibung
Quelle	SSL-VPN-RW-Network	Eingehende Regel
Ziel	internal-network	Als Ziel muss internal-network angegeben werden
Dienst

Benutzer und Gruppen anlegen

Gruppe

SSL-VPN Einstellungen für die Gruppe

Unter Bereich Gruppe Schaltfläche + Gruppe hinzufügen klicken.

Folgende Berichtigungen müssen erteilt werden:

Ein Userinterface
Ein SSL-VPN


Client im Userinterface herunterladbar:	Ein	Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
SSL-VPN Verbindung:		Soeben angelegte Verbindung wählen
		Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde. Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
	192.0.2.192	Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
	Aus	Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM.
Im Portfilter verfügbar:	Ein	Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN

Benutzer

SSL-VPN Einstellungen für die Benutzer

Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Abschnitt Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.

Bereich Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .

Allgemein Reiter Allgemein
Gruppen	RW-SSL-VPN	Optionale Zuordnung zu Netzwerkgruppen
SSL-VPN Reiter SSL-VPN
Einstellungen aus der Gruppe verwenden	Ein	Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
Konfiguration	Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.

Der SSL-VPN Client

Herunterladen des SSL-VPN Clients im Userinterface

Userinterface SSL-VPN

Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:

Zum Download gelangt man über den Menüpunkt SSL-VPN .
Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.

Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter Bereich VPN Option Ein User Interface Portal aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

Der Client wird angeboten als:

Die Installation muss mit Administrator-Rechten durchgeführt werden.

Erforderliche Prozessorarchitektur: x86 / x64

Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.

Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.

Erforderliche Prozessorarchitektur: x86 / x64

Konfiguration und Zertifikat
Zur Verwendung in anderen SSL-VPN-Clients

Die komprimierten Ordner enthalten neben dem SSL-VPN Client

- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
  Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client

SSL-VPN Verbindung als Client herstellen

Aktive SSL-VPN-Verbindung

Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf

Mehrere VPN-Server als Ziele für eine Verbindung

In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.

Rechter Mausklick auf die Verbindung
Kontextmenü Einstelungen

Schaltfläche Erweitert

IP: utm1.anyideas.de
Port: 1194

Eingabe von Hostnamen oder IP und verwendeten Port
Angaben mit Hinzufügen übernehmen
Fenster mit OK schließen

UAC Benutzerkonten Meldung bestätigen.

Mehrere VPN-Profile nutzen

Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen

Linksklick auf das Zahnradsymbol im Client-Fenster
Kontextmenü Importieren

Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren

SSL-VPN Client Einstellungen Allgemein.png

Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
- Linksklick auf das Zahnradsymbol
- Menü Client Einstellungen
- Reiter Allgemein → Schaltfläche TAP hinzufügen

Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren

Hinweise

Verschlüsselung

Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

Anpassung der default Cipher ab v12.2.2

Fehler: Zeichenkette überschreitet Zeichenlimit von 1.000

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default.png

Cipher und Hash mit Default-Einstellungen
notempty

Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish.png

Cipher mit Blowfish-kompatiblen Einstellungen notempty

Nicht empfohlen

UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128.png

notempty

Empfohlene Einstellung
Muss auch auf der Gegenstelle konfiguriert sein

Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

Hashverfahren

Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.

Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.

IPv6 für eingehende Verbindungen

In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll oder für IPv6 aktiviert werden.

Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)

@@ Zeile 21: / Zeile 21: @@
 }}
 === {{#var:Einleitung}} ===
-{{#var:Einleitung--desc}}
+<div class="Einrücken">{{#var:Einleitung--desc}}
-{{Hinweis| !! {{#var:Einleitung--Hinweis}} | gelb |c=graul }}
+{{Hinweis-neu| !! {{#var:Einleitung--Hinweis}} | gelb |c=graul }}
 <div class="Einrücken3">{{#var:Roadwarrior Konfiguration--Zertifikate-Link}}</div>
+</div>
 ----
@@ Zeile 35: / Zeile 35: @@
 <li class="list--element__alert list--element__hint">{{#var:Roadwarrior Konfiguration--Hinweis}}</li><br>
-==== {{#var:DNS/WINS übermitteln}} ====
+==== {{#var:Auflösung interner Hostnamen im SSL-VPN}} ====
+<div class="Einrücken"><p>{{#var:Auflösung interner Hostnamen im SSL-VPN--desc}}</p>
+===== {{#var:DNS/WINS übermitteln}} =====
+<div class="Einrücken">
 {{#var:DNS/WINS übermitteln--desc}}
-{{Einblenden|{{#var:Abb}}|{{#var:hide}}|true|dezent|id=DNS}}{{Bild|{{#var:DNS/WINS übermitteln--Bild}} | {{#var:DNS/WINS übermitteln--cap}} }}
+{{Einblenden|{{#var:Abb}}|{{#var:hide}}|true|bigdezent|id=DNS}}
+{{Gallery3| {{#var:DNS/WINS übermitteln--Bild}} | {{#var:DNS/WINS übermitteln--cap}}
+| {{#var:DNS WINS übermitteln--Bild}}|{{#var:DNS WINS übermitteln--desc}}
+| i=3}}
 <br clear=all>
-</div></div></span>
+</div></div></span></div>
-==== {{#var:Search Domain}} ====
+===== {{#var:Search Domain}} =====
-{{#var:Search Domain--desc}}
+<div class="Einrücken">
-{{Einblenden|{{#var:Abb}}|{{#var:hide}}|true|dezent|id=Search}} {{Bild| {{#var:Search Domain--Bild}} | {{#var:Search Domain--cap}} }}
+{{#var:Search Domain--desc}}{{Einblenden|{{#var:Abb}}|{{#var:hide}}|true|bigdezent|id=Search}} {{Bild| {{#var:Search Domain--Bild}} | {{#var:Search Domain--cap}}|class=width-s }}
 <br clear=all>
 </div></div></span>
 </div>
+===== {{#var:Block Outside DNS}} =====
+<div class="Einrücken">
+{{#var:Block Outside DNS--desc}}
+{{Einblenden|{{#var:Abb}}|{{#var:hide}}|true|bigdezent|id=DNS}} {{Bild| {{#var:Block Outside DNS--Bild}} | {{#var:Block Outside DNS--cap}} |class=width-s}}
+</div></span></div>
+</div>
+</div></div>
 ----
@@ Zeile 55: / Zeile 70: @@
 ==== {{#var:Einrichtungsassistent}} ====
-{{#var:Einrichtungsassistent--desc}}
+<div class="Einrücken">{{#var:Einrichtungsassistent--desc}}</div>
 <br clear=all>
-{| class="sptable blank pd5 zh1"
+{| class="sptable2 blank pd5 zh1 Einrücken"
 |-
 |
@@ Zeile 120: / Zeile 135: @@
 <li class="list--element__alert list--element__warning pd5">{{#var:Abschluss--Hinweis--Tunnel-unterbrochen}}</li>
 <li class="list--element__alert list--element__positivt">{{#var:Abschluss--Hinweis--1Server}}</li>
+<li class="list--element__alert list--element__hint">{{#var:DNS WINS übermitteln--desc}}</li>
 |- class="Leerzeile"
 |
@@ Zeile 128: / Zeile 144: @@
 ==== {{#var:Regelwerk}} ====
+<div class="Einrücken">
 ===== {{#var:Implizite Regeln}} =====
+<div class="Einrücken">
 {{pt3| {{#var:Implizite Regeln--Bild}} | {{#var:Implizite Regeln--cap}} }}
 {{#var:Implizite Regeln--desc}}
 <li class="list--element__alert list--element__hint">{{#var:Implizite Regeln--Hinweis--Portänderung}}</li>
-<br clear=all>
+</div><br clear=all>
 ===== {{#var:Netzwerkobjekte}} =====
 {{pt3| {{#var:Netzwerkobjekte--Bild}} | {{#var:Netzwerkobjekte--cap}} }}
-{{#var:Netzwerkobjekte--desc}}
+<div class="Einrücken">{{#var:Netzwerkobjekte--desc}}</div>
-{| class="sptable2"
+{| class="sptable2 Einrücken"
 ! {{#var:cap}} || {{#var:val}} !! {{#var:desc}}
 |-
@@ Zeile 153: / Zeile 171: @@
 |}
 <br>
-{{Button| {{#var:Speichern}} }}
+<div class="Einrücken">{{Button| {{#var:Speichern}} }}</div>
 ===== {{#var:Portfilter Regel}} =====
 {{pt3| {{#var:Portfilter Regel--Bild}} | hochkant=2.5 | {{#var:Portfilter Regel--cap}} }}
-{{#var:Portfilter Regel--desc}}
+<div class="Einrücken">{{#var:Portfilter Regel--desc}}</div>
 <br clear=all>
-{| class="sptable2"
+{| class="sptable2 Einrücken"
 ! {{#var:cap}} || {{#var:val}} !! {{#var:desc}}
 |-
@@ Zeile 170: / Zeile 188: @@
 | {{b| {{#var:Dienst}} }} || {{ic | {{#var:Dienst--val}} }} || <li class="list--element__alert list--element__hint">{{#var:Dienst--cap}}</li>
 |}
-<br clear=all>
+</div><br clear=all>
 ----
 ==== {{#var:Benutzer und Gruppen anlegen}} ====
+<div class="Einrücken">
 ===== {{#var:Gruppe}} =====
 {{pt3| {{#var:Gruppe--Bild}}|{{#var:Gruppe--cap}} }}
-{{#var:Gruppe--desc}}
+<div class="Einrücken">{{#var:Gruppe--desc}}</div>
-{| class="sptable2 block pd5"
+{| class="sptable2 block pd5 Einrücken"
 |-
 ! colspan="3" | {{#var:Einstellungen im Reiter SSL-VPN}}
@@ Zeile 201: / Zeile 219: @@
 ===== {{#var:Benutzer}} =====
 {{pt3| {{#var:Benutzer--Bild}} | {{#var:Benutzer--cap}} }}
+<div class="Einrücken">
 <p><li class="list--element__alert list--element__hint">{{#var:Benutzer--Hinweis}}</li> </p>
-{{#var:Benutzer--desc}}<br>
+{{#var:Benutzer--desc}}<br></div>
-{| class="sptable2 pd5 block"
+{| class="sptable2 pd5 block Einrücken"
 |-
 | class="Leerzeile" | {{h6| {{#var:Allgemein}} }}<br>{{#var:Reiter}} {{Reiter| {{#var:Allgemein}} }}
@@ Zeile 214: / Zeile 233: @@
 |-
 | {{Button| {{#var:Installer}} |d}}<br>{{Button| {{#var:Portable Client}} |d}}<br>{{Button| {{#var:Konfiguration}} |d}} ||  colspan="2" | {{#var:Konfiguration--desc}}
+|- class="Leerzeile"
+| {{#var:Weitere Angaben}}
 |}
-{{#var:Weitere Angaben}}
+</div><br clear=all>
-<br clear=all>
@@ Zeile 224: / Zeile 244: @@
 ==== {{#var:Herunterladen des SSL-VPN Clients im Userinterface}} ====
 {{pt3| {{#var:Download--Bild}} | {{#var:Download--cap}} }}
+<div class="Einrücken">
 <p>{{#var:Download--desc}}
 <li class="list--element__alert list--element__hint">{{#var:Download--Hinweis}}</li></p>
@@ Zeile 231: / Zeile 252: @@
 * <p>{{#var:SSL-VPN Client Installer}}</p>
-::{{Hinweis| !  {{#var:SSL-VPN Client Installer--Adminrechte}} |gelb| c=graul}}{{Hinweis|!|g}} {{#var:Prozessorarchitektur}}
+<div class="Einrücken2">
+{{Hinweis-neu| !  {{#var:SSL-VPN Client Installer--Adminrechte}} |gelb| c=graul}}<li class="list--element__alert list--element__hint Hinweis-neu">{{#var:Prozessorarchitektur}}</li></div>
-* {{#var:SSL-VPN Portable Client}}<br>
+* <p>{{#var:SSL-VPN Portable Client}}</p>
-::<p>{{#var:SSL-VPN Portable Client--desc}}</p>{{Hinweis| ! {{#var:SSL-VPN Portable Client--Adminrechte}} |gelb| c=graul}}{{Hinweis|!|g}} {{#var:Prozessorarchitektur}}<br>
+<div class="Einrücken2">
+<p>{{#var:SSL-VPN Portable Client--desc}}</p>
+{{Hinweis-neu| ! {{#var:SSL-VPN Portable Client--Adminrechte}} |gelb| c=graul}}<li class="list--element__alert list--element__hint">{{#var:Prozessorarchitektur}}</li></div>
 * {{#var:Konfiguration und Zertifikat}}<br>{{#var:Konfiguration und Zertifikat--desc}}
-::{{Hinweis | !|g}} {{#var:Konfiguration und Zertifikat--Hinweis}}
 <div class="Einrücken2">
+<li class="list--element__alert list--element__hint">{{#var:Konfiguration und Zertifikat--Hinweis}}</li>
 {{#var:Konfiguration und Zertifikat--Liste}}<br>{{#var:Adminrechte TAP-Treiber}}
 </div>
+<li class="list--element__alert list--element__hint Hinweis-neu">{{#var:Keine Clients kleiner v2 bei Win10}}</li>
-{{Hinweis | !|g}} {{#var:Keine Clients klein v2 bei Win10}}<br>
+<p>{{#var:Installationshinweise}}</p>
-<!-- {{ Hinweis | ! |gr}} {{#var:TAP-Signatur durch Securepoint}}<br> -->
+</div><br clear=all>
-{{#var:Installationshinweise}}
-<br clear=all>
@@ Zeile 254: / Zeile 276: @@
 ==== {{#var:SSL-VPN Verbindung als Client herstellen}} ====
 {{pt3| {{#var:SSL-VPN Verbindung als Client herstellen--Bild}} | {{#var:SSL-VPN Verbindung als Client herstellen--cap}} }}
-{{#var:SSL-VPN Verbindung als Client herstellen--desc}}
+<div class="Einrücken">{{#var:SSL-VPN Verbindung als Client herstellen--desc}}</div>
 <br clear=all>
 ==== {{#var:Mehrere VPN-Server als Ziele für eine Verbindung}} ====
+<div class="Einrücken">
 {{#var:Mehrere VPN-Server als Ziele für eine Verbindung--desc}}
@@ Zeile 266: / Zeile 289: @@
 | i=5}}
-<br clear=all>
+</div><br clear=all>
 ----
 ==== {{#var:Mehrere VPN-Profile nutzen}} ====
+<div class="Einrücken">
 {{#var:Mehrere VPN-Profile nutzen--desc}}
@@ Zeile 278: / Zeile 302: @@
 | i=4}}
 {{#var:VPN-Profile 2--cap}}
-<br clear=all>
+</div><br clear=all>
+</div>
 ----
@@ Zeile 286: / Zeile 311: @@
 {{#var:Verschlüsselung--desc}}
-<p>{{Hinweis| ! {{#var:Cipher-Anpassung}} }}</p>
+<p>{{Hinweis-neu| ! {{#var:Cipher-Anpassung}} }}</p>
-{{#var:Cipher-Anpassung--desc}}
+{{Hinweis-neu| !! {{#var:Cipher-Anpassung--desc}} |g}}
+----
 {{Gallery3	| {{#var:Cipher-Anpassung--Default--Bild}}|{{#var:Cipher-Anpassung--Default--cap}}
 			|{{#var:Cipher-Anpassung--Blowfish--Bild}}|{{#var:Cipher-Anpassung--Blowfish--cap}}
@@ Zeile 293: / Zeile 319: @@
 }}
-{{Hinweis| ! {{#var:Parameter müssen identisch sein}} | g| c=graul}}
+{{Hinweis-neu| ! {{#var:Parameter müssen identisch sein}} | g| c=graul}}
 </div>
 <br clear=all>
@@ Zeile 301: / Zeile 327: @@
 {{#var:Hashverfahren--desc}}<br>
-{{Hinweis | ! {{#var:Parameter müssen identisch sein}} | g| c=graul}}
+{{Hinweis-neu | ! {{#var:Parameter müssen identisch sein}} | g| c=graul}}
 </div>
 ----
@@ Zeile 311: / Zeile 337: @@
 {{#var:Hinweis zu vorgeschalteten Routern/Modems--desc}}
-{{Hinweis | ! {{#var:Hinweis zu vorgeschalteten Routern/Modems--Porthinweis}} | g| c=graul}}
+{{Hinweis-neu | ! {{#var:Hinweis zu vorgeschalteten Routern/Modems--Porthinweis}} | g| c=graul}}
 </div>
 ----