UTM/VPN/SSL VPN-Roadwarrior.lang: Unterschied zwischen den Versionen

| Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann der Einrichtungs-Assistent mit {{Menu|VPN|SSL-VPN| |SSL-VPN Verbindung hinzugefügen|+}} aufgerufen werden.

| After the login on the firewall's administration interface (by default: [https://192.168.175.1:11115 https://192.168.175.1:11115]), the setup wizard can be called up  with {{Menu|VPN|SSL-VPN| |Add SSL-VPN connection|+}}. }}

{{var | Schritt

| Schritt

| Step }}

| Im Installationsschritt 1 wird der Verbindungstyp ausgewählt.<br> Es stehen folgende Verbindungen zur Verfügung.

| In installation step 1, the connection type is selected.<br> The following connections are available.

| UTM_v11.8.7_VPN_SSLVPN_S2Ss2-en.png }}

| Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.

| Gewünschtes Protokoll

| Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.

| Default port for the first SSL VPN connection. May not be used for any other purpose. For further connections, the next free port is selected. }}

| 2=Auswahl des Zertifikates, mit dem der Server sich Authentifiziert.<br> Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit {{Button||mw}}<br>

* Erstellung einer CA im Reiter {{Reiter|CA}} mit der Schaltfläche {{Button|CA hinzufügen|+}}

* Erstellung eines Serverzertifikates im Reiter {{Reiter|Zertifikate}} mit der Schaltfläche {{Button|Zertifikat hinzufügen|+}}.<br> Bitte beachten: {{b|Serverzertifikat:}} {{ButtonAn|Ein}} aktivieren

* Erstellung des Client-Zertifikates mit der Schaltfläche {{Button|Zertifikat hinzufügen|+}}

<li class="list--element__alert list--element__hint">Beide Zertifikate (Server ''CS'' und Client ''CC'') müssen mit der selben CA erstellt werden!</li>

<li class="list--element__alert list--element__hint">Das ''Client''-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche {{Button||d}} exportiert werden.</li>

| 3=Selection of the certificate with which the server authenticates itself.<br> If there is no server certificate yet, this (and if necessary also a CA) can be created in the certificate management. Call with {{Button||mw}}<br>

* Creation of a CA in the tab {{Reiter|CA}} with the button {{Button|Add CA|+}}

* Create a server certificate in the {{Reiter|Certificates}} tab using the {{Button|Add Certificate|+}}.<br> Please note: activate {{b|Server certificate:}} {{ButtonAn|Enable}}

* Creation of the client certificate with the button {{Button|Add certificate|+}}

<li class="list--element__alert list--element__hint">Both certificates (server ''CS'' and client ''CC'') must be created with the same CA!</li>

<li class="list--element__alert list--element__hint">The ''client'' certificate and the associated CA are also needed to configure the remote peer (client). They must be exported using the {{Button||d}} button.</li> }}

         | Weitere Hinweise im Wiki-Artikel zur Nutzung von [[UTM/AUTH/Zertifikate| Zertifikaten.]]

         | Further notes in the wiki article on the use of [[UTM/AUTH/Zertifikate| Certificates. ]] }}

| Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.<br> Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.

| In installation step 4, the transfer network for the Roadwarrior is entered.<br> The transfer network can be freely selected, but must be otherwise unused on the UTM. }}

| Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.<br> Danach kann der Einrichtungsassistent abgeschlossen werden.

<p>Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: {{Button|Neustarten|renew}}

<p>In order for the connection to become active, the SSL VPN service must be restarted: {{Button|Restart|renew}} }}

{{var | Reiter Allgemein

| Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt)

| }}

{{var | Reiter Allgemein Protokoll--desc

| Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)

| Das verwendete Zertifikat kann hier geändert werden

| Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assitenten im Schritt 3 angegeben) können editiert werden.

{{var | Search Domain--desc

| }}

{{var | Stunden

| }}

| Zeitraum, ab dem die Verbindung erneut vermittelt wird.

{{var | Speichern

| Speichern

| Save }}

{{var | Speichern--desc

| Saves the settings }}

|  }}

{{var | Erweitert--Bild

| UTM v12.4 VPN SSL-VPN Erweitert Default Einstellungen.png

| UTM v12.4 VPN SSL-VPN Erweitert Default Einstellungen-en.png }}

{{var | MTU--desc

| DNS übermitteln

{{var | WINS übermitteln

| LZO-Kompression<br> {{Hinweis-neu|!|g}} Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!

{{var | Pass TOS--desc

| Erlaubt das Weiterleiten von TOS-Pakete

{{var | Ping Intervall--desc

| Intervall der Ping-Anfragen

|  }}

{{var | Regelwerk

| Policy }}

{{var | Implizite Regeln--desc

| <p>Unter {{Menu|Firewall|Implizite Regeln|VPN}} kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden. </p>

| <p>Under {{Menu|Firewall|Implied rules|VPN}} the protocol used for the connection can be enabled. </p>

{{ButtonAn|On}} {{ic|User Interface Portal|tr-odd}} </p> }}

| Netzwerkobjekte

{{var | Netzwerkobjekte--desc

| <p>Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>". </p>  

<p>Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.<br> Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden. </p>

| <p>A TUN interface was created when the connection was set up. It automatically receives the first IP from the transfer network configured in the connection and a zone "vpn-ssl-<servername>". </p>  

<p>The Roadwarrior clients will receive an IP from this network and will be located in this zone.<br> To grant the roadwarriors access to your own network, a network object must be created. </p> }}

| Passenden Typen wählen

| Select suitable type }}

| Adresse

| Adress }}

| Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.

| The network IP that was specified as the tunnel pool in step 4. }}

| Die Zone, über die das Tunnel-Netzwerk angesprochen wird.

| The zone over which the tunnel network is addressed. }}

| Gruppen

| Groups }}

{{var | Portfilter Regel--desc

| Menü {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}}<br> Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:

| Menu {{Menu|Firewall|Port Filter|Port Filter|Add Rule|+}}<br> A rule allows RW clients to access the local network: }}

| General }}

| UTM v12.4 Firewall Portfilter SSL-VPN-RW.png

| UTM v12.4 Firewall Portfilter SSL-VPN-RW-en.png }}

| Quelle

{{var | Quelle--desc

| Destination }}

| Als Ziel muss ''internal-network'' angegeben werden

| The destination must be ''internal-network'' }}

{{var | Dienst--desc

| Only services that are actually needed should be released! }}

| Action }}

{{var | Gruppe

| Gruppe

| Group }}

| Einstellungen im Reiter {{Reiter|SSL-VPN}}

| Settings in {{Reiter|SSL VPN}} tab }}

| UTM v12.4 Authentifizierung Benutzer Gruppe hinzufügen SSL-VPN-en.png }}

| Client-Zertifikat

| Client certificate }}

| Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen  vom Schutz der UTM.

| When activated, requests from roadwarrior clients to the Internet or networks outside the VPN are also redirected via the local gateway. As a result, these connections also benefit from the protection of the UTM. }}

| {{Menu|Authentifizierung|Benutzer|Benutzer|Benutzer hinzufügen|+}} oder Benutzer bearbeiten {{Button| |w}}.

| {{Menu|Authentication|User|User|Add User|+}} or Edit User {{Button| |w}}. }}

{{var | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden

| Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:<br>

* The user interface is reached via the '''internal interface''' of the Securepoint appliance. }}

| Ein Zugriff von ''externen'' Benutzern ist nur möglich, wenn die Implizite SSL Regel unter {{Menu|Firewall|Implizite Regeln}} aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.

| Access from ''external'' users is only possible if the Implied SSL rule is enabled under {{Menu|Firewall|Implied Rules}}, which allows access from the Internet to the external interface via HTTPS. }}

{{var | 1=Konfiguration und Zertifikat--Liste

| 2=** eine Konfigurationsdatei

** die CA- und Client-Zertifikate  

** sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.

| 3=** a configuration file

** the CA and client certificates  

** and a driver for the virtual TAP network interface. }}

{{var | 1=SSL-VPN Verbindung als Client herstellen--desc

| 2=Ein Doppelklick auf das Schloss-Symbol <i class="fas fa-lock-alt"></i> in der Taskleiste öffnet den SSL-VPN-Client.<br>

Starten der Verbindung mit Klick auf [[Datei:SSL-VPN-Client-Doppelpfeil.png|x20px]]

| 3=Double-click on the lock icon <i class="fas fa-lock-alt"></i> in the taskbar to open the SSL VPN client.<br>

Start the connection by clicking [[Datei:SSL-VPN-Client-Doppelpfeil.png|x20px]] }}

| * Rechter Mausklick auf die Verbindung

| * Schaltfläche '''Erweitert'''

| * Button '''Advanced''' }}

| Multiple VPN profiles can be imported and used at the same time. }}

{{var | VPN-TAP hinzufügen--Bild

| SSL-VPN Client Einstellungen Allgemein.png

| SSL-VPN Client Einstellungen Allgemein.png }}

** Tab ''General'' → Button {{Button| Add TAP|Anw=UMA}} }}

{{var | Hinweise

| Hinweise

| Notes }}

{{var | Verschlüsselung

| Verschlüsselung

{{var | Verschlüsselung--desc

| Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

| By default, an AES128-CBC method is used. The encryption method can be customized in the server or/and client profile. }}

| 2=Ab v12.2.2 ist in der Einstellung {{Button|Default|dr}} der {{b|Cipher für Datenverbindung}} nicht mehr Blowfish-CBC enthalten.<br>Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.<br> Es wird '''dringend empfohlen''', die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.<br>Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.<br> Anpassung auf der UTM mit der Schaltfläche {{Button||w}} der jeweiligen Verbindung im Reiter Allgemein im Feld ''Cipher für Datenverbindung''.

| 3=As of v12.2.2, the {{Button|Default|dr}} setting of the {{b|Cipher for data connection}} no longer includes Blowfish-CBC.<br>If the client uses this cipher and is not able to handle NCP, with which the cipher is negotiated automatically, no connection is established. The cipher must be adjusted.<br> It is '''strongly recommended''' to stop using the BF-CBC cipher because it is considered '''not''' secure.<br>If the BF-CBC cipher is to be used anyway, it can be selected explicitly.<br> Adjustment on the UTM with the {{Button||w}} button of the respective connection in the General tab in the ''Cipher for data connection'' field. }}

| UTM v12.4 SSL-VPN bearbeiten Default.png

| UTM v12.4 SSL-VPN bearbeiten Default-en.png }}

| UTM v12.4 SSL-VPN bearbeiten Blowfisch.png

| UTM v12.4 SSL-VPN bearbeiten Blowfisch-en.png }}

| UTM v12.4 SSL-VPN bearbeiten AES128.png

| UTM v12.4 SSL-VPN bearbeiten AES128-en.png }}

{{var | Parameter müssen identisch sein

| Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

{{var | Hashverfahren--desc

| Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.

| By default, a SHA256 hash method is used. The hash method can be customized in the server or/and client profile. }}

{{var | QoS--desc

| Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

| For the VPN connection, the TOS fields for automatic QoS can be set in the packets. This setting can be enabled in the VPN connection settings under "Advanced". }}

{{var | Hinweis zu vorgeschalteten Routern Modems

| Hinweis zu vorgeschalteten Routern/Modems

| Note on upstream routers/modems }}

{{var | Hinweis zu vorgeschalteten Routern/Modems--desc

| Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

| There are always problems with the stability of the connection if a router/modem in front of the appliance also has an active firewall. Please do not use any firewall functionality on these devices. }}

{{var | Hinweis zu vorgeschalteten Routern/Modems--Porthinweis

| Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.

| It must be ensured that the required ports are forwarded. }}

{{var | IPv6 für eingehende Verbindungen

| IPv6 für eingehende Verbindungen

| IPv6 for incoming connections }}

{{var | IPv6 für eingehende Verbindungen--desc

| In den Einstellungen des Roadwarriorservers {{Button||w}} kann im Reiter {{Reiter|Allgemein}} / {{b|Protokoll}} das Protokoll {{Button|UDP6|dr}} oder {{Button|TCP6|dr}} für IPv6 aktiviert werden.

| In the settings of the roadwarrior server {{Button||w}}, the protocol {{Button|UDP6|dr}} or {{Button|TCP6|dr}} for IPv6 can be activated under {{Reiter|General}} / {{b| Protocol}}. }}

{{var | Troubleshooting

| Troubleshooting

| Troubleshooting }}

{{var | 1=Troubleshooting--desc

| 2=Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im [https://download.securepoint.de/s/NdtmQwK5j79f2ob?path=%2FSSL-VPN Troubleshooting Guide SSL-VPN] <nowiki>(pdf-Dokument)</nowiki>

| 3=For advice on troubleshooting SSL VPN, see the [https://download.securepoint.de/s/NdtmQwK5j79f2ob?path=%2FSSL-VPN Troubleshooting Guide SSL-VPN] <nowiki>(pdf document)</nowiki>. }}