Mithilfe von SSL-VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.
Site-to-Site Server
Site-to-Site Server
S2S Server
Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.
Site-to-Site Client
Site-to-Site Client
S2S Client
Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.
Site-to-Site Server Konfiguration
notempty
Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.
SSL-VPN-Verbindung
Einrichten der Verbindung unter VPN SSL-VPN Schaltfläche + SSL-VPN Verbindung hinzufügen
Installationsassistent
Schritt 1
Schritt 1 S2S Server
SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Installationsschritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
Roadwarrior Server
Site-to-Site Server
Site-to-Site Client
Für die Konfiguration des Site-to-Site Server wird dieser ausgewählt.
Schritt 2
Schritt 2 S2S Server
Installationsschritt 2
Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.
Schritt 3
Schritt 3 S2S Server
Lokale Einstellungen für den Site-to-Site Server
Beschriftung
Wert
Beschreibung
Installationsschritt 3
Name:
S2S-server
Eindeutiger Name
Protokoll:
UDP
Gewünschtes Protokoll wählen
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat:
cs-ttt-point
Auswahl des Zertifikates, mit dem der Server sich authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen
Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen Bitte beachten: Serverzertifikat:Ein aktivieren
Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
Beide Zertifikate müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt. Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben:
» 192.168.175.0/24
An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
Schritt 4
Schritt 4 S2S Server
Im Installationsschritt 4 wird das Transfernetz für den Site-to-Site Server eingetragen.
Beschriftung
Wert
Beschreibung
Installationsschritt 4
Transfer-Netzwerk:
192.168.190.0/24
Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
Server-Tunneladresse:
192.168.190.1/32
Die Server- und Client-Tunneladresse wird automatisch ermittelt.
IPv4 Client-Tunneladresse:
192.168.190.2/24
Schritt 5
Schritt 5 S2S Server
Beschriftung
Wert
Beschreibung
Installationsschritt 5
Name:
S2S-client
Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
Client-Zertifikat:
.ttt-point.de
Zertifikat des Client-Netzwerks
Clientnetzwerke freigeben:
»192.168.174.0/24
Netzwerke der Gegenstelle, die freigegeben werden sollen. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
notempty
Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.
Abschnitt Allgemein
Allgemein S2S Server
Bereits angelegte SSL-VPN-Verbindungen können unter VPN SSL-VPN Schaltfläche bearbeitet werden.
Beschriftung
Wert
Beschreibung
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Allgemein
Name:
S2S-server
Name der SSL-Verbindung
Schnittstelle:
tun2
Verwendete Schnittstelle
Modus:
SERVER
Je nach Verbindungstyp
Protokoll:
UDP (Default) TCP
Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Authentifizierung:
NONE (Default) LOCAL RADIUS
Passende Authentifizierungsmethode wählen
Zertifikat:
cs-ttt-point
Das verwendete Zertifikat kann hier geändert werden
Cipher für Datenverbindung:
Default
Default-Einstellungen von OpenSSL werden verwendet. notempty
Zeitraum, ab dem die Verbindung erneut vermittelt wird
Abschnitt Erweitert
Erweitert S2S Server
Beschriftung
Wert
Beschreibung
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Erweitert
MTU:
1500
Maximale Übertragungseinheit des größten Pakets (Byte)
Maximale Clients:
1024
Maximale Anzahl an Clients. Wird kein Wert festgelegt, gilt der Default-Wert von 1024.
DNS übermitteln:
Nein
Erlaubt die DNS-Übermittlung
Die IP-Adressen vom DNS und WINS werden im Menü VPN Globale VPN Einstellungen gesetzt.
WINS übermitteln:
Nein
Erlaubt die WINS-Übermittlung
Die IP-Adressen vom DNS und WINS werden im Menü VPN Globale VPN Einstellungen gesetzt.
Multihome:
Ein
Erlaubt die Nutzung von mehrere Default-Routen
Nur zugewiesene Zertifikate akzeptieren:
Ein
Es können nur noch zugewiesene Zertifikate akzeptiert werden
LZO:
Aus
LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:
Nein
Pass TOS:
Aus
Erlaubt das Weiterleiten der TOS-Felder für das automatische QoS in den Paketen
Ping Intervall:
10 Sekunden
Intervall der Ping-Anfragen
Ping Wartezeit:
120 Sekunden
Wartezeit der Ping-Anfragen
Ausgehende Puffergröße:
65536 Bytes
Steuert die Größe des Puffers für den Socket
Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
Eingehende Puffergröße:
65536 Bytes
s.o.
Replay window Sequenzgröße:
64
Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
Replay window Wartezeit:
15 Sekunden
Zeitfenster in dem die Sequenzgröße maximal angewendet wird
Weitere Client-Gegenstellen
Weitere Client-Gegenstellen S2S Server
SSL-VPN UTMbenutzer@firewall.name.fqdnVPN SSL-VPN LogNeustarten Übersicht der SSL-VPN-Verbindungen
Weitere Gegenstellen, welche über diesen Site-to-Site Server angebunden werden sollen, können über die Schaltfläche hinzugefügt werden. Anzeige der Gegenstellen mit Klick auf das Ordnersymbol
SSL-VPN Server-Gegenstelle hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Weitere Gegenstellen des S2S-SSL-.VPNs
Unter Firewall Implizite Regeln Abschnitt VPN kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. Hier Ein SSL-VPN UDP. Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.
Netzwerkobjekte
Netzwerkobjekte
S2S Server
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>". Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen angelegt werden. Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.
Beschriftung
Wert
Beschreibung
Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:
sslvpn-S2S-Client-Network
Eindeutiger Name
Typ:
VPN-Netzwerk
Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:
192.168.174.0/24
Die Netzwerk-Adresse, die in Schritt 5 als Clientnetzwerk freigegeben wurde
Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:
vpn-ssl-S2S-Server
Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen
Zwei Regeln erlauben den Zugriff auf das S2S-Client-Netzwerk bzw. aus dem Netzwerk:
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
4
sslvpn-S2S-client-network
internal-network
default-internet
Accept
Ein
5
internal-network
sslvpn-S2S-client-network
default-internet
Accept
Ein
Routen
Routen
S2S Server
Die Routen werden automatisch gesetzt. Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist. Menü Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche + Route hinzufügen. Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.
Beschriftung
Wert
Beschreibung
Route hinzufügen UTMbenutzer@firewall.name.fqdn Route für Gegenstelle
Gateway-Schnittstelle:
tun2
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
Zielnetzwerk:
192.168.174.0/24
Das Netzwerk der Gegenstelle (S2S Client)
Site-to-Site Client Konfiguration
SSL-VPN-Verbindung
Installationsassistent
notempty
Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.
Schritt 1
Schritt 1 S2S Client
SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Installationsschritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:
Roadwarrior Server
Site-to-Site Server
Site-to-Site Client
Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.
Schritt 2
Schritt 2 S2S Client
Installationsschritt 2
Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.
Schritt 3
Schritt 3 S2S Client
Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.
Beschriftung
Wert
Beschreibung
Installationsschritt 3
Name:
S2S-client
Eindeutiger Name
Protokoll:
UDP
Gewünschtes Protokoll wählen
Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
Client-Zertifikat:
CC-S2S-Client-Network1
Auswahl des Zertifikates, mit dem der Client sich authentifiziert Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde.
Aufruf mit
Abschnitt CA Schaltfläche CA importieren Import der CA vom
S2S Server
Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem
S2S Server
erstellt wurde.
Schritt 4
Schritt 4 S2S Client
Dieser Installationsschritt entfällt beim Site-to-Site Client.
Schritt 5
Schritt 5 S2S Client
Installationsschritt 5
Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen. notempty
Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.
Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.
Abschnitt Allgemein
Allgemein S2S Client
Bereits angelegte SSL-VPN-Verbindungen können unter VPN SSL-VPN Schaltfläche bearbeitet werden.
Beschriftung
Wert
Beschreibung
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Allgemein
Name:
S2S-client
Name der SSL-Verbindung
Schnittstelle:
tun4
Verwendete Schnittstelle
Modus:
CLIENT
Protokoll:
UDP (Default) TCP
Gewünschtes Protokoll wählen
Zertifikat:
CC-S2S-Client-Network1
Das verwendete Zertifikat kann hier geändert werden
Cipher für Datenverbindung:
Default
Default-Einstellungen von OpenSSL werden verwendet. notempty
Zeitraum, ab dem die Verbindung erneut vermittelt wird
Abschnitt Erweitert
Erweitert S2S Client
Beschriftung
Wert
Beschreibung
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Erweitert
MTU:
1500
Maximale Übertragungseinheit des größten Pakets (Byte)
LZO:
Aus
LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:
Nein
Pass TOS:
Aus
Erlaubt das Weiterleiten der TOS-Felder für das automatische QoS in den Paketen
Ping Intervall:
10 Sekunden
Intervall der Ping-Anfragen
Ping Wartezeit:
120 Sekunden
Wartezeit der Ping-Anfragen
Ausgehende Puffergröße:
65536 Bytes
Eingehende Puffergröße:
65536 Bytes
Replay window Sequenzgröße:
64
Replay window Wartezeit:
15 Sekunden
S2S Client Regelwerk
S2S Client Implizite Regeln
Da der Site-to-Site Client die Verbindung zum S2S Server aufbaut und ausgehende Verbindungen der Firewall selbst per Default immer erlaubt sind, sind keine impliziten Regeln notwendig.
S2S Client Netzwerkobjekte
Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen erstellt werden.
Beschriftung
Wert
Beschreibung
Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:
sslvpn-S2S-Server-Network
Eindeutiger Name
Typ:
VPN-Netzwerk
Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:
192.168.175.0/24
Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:
vpn-ssl-S2S-client
die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
Gruppe:
Optional
S2S Client Paketfilter-Regeln
S2S Client Paketfilter-Regeln
S2S Client
Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Paketfilter-Regeln im
Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen. Zwei Regeln erlauben den Zugriff auf das S2S-Server-Netzwerk bzw. aus dem Netzwerk:
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
5
internal-network
sslvpn-S2S-server-network
default-internet
Accept
Ein
4
sslvpn-S2S-server-network
internal-network
default-internet
Accept
Ein
S2S Client Routen
S2S Client Routen
S2S Client
Die Routen werden automatisch gesetzt. Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist. Menü Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche + Route hinzufügen. Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.
Beschriftung
Wert
Beschreibung
Route hinzufügen UTMbenutzer@firewall.name.fqdn Route für Gegenstelle
Gateway-Schnittstelle:
tun4
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
Zielnetzwerk:
192.168.175.0/24
Das Netzwerk der Gegenstelle (S2S Server)
Hinweise
Multipath
Multipath
S2S Client
Bei Multipath auf der Client Seite, muss die VPN-Verbindung im Client auf eine Schnittstelle gebunden werden. Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl openvpn get die ID der Verbindung ausfindig gemacht werden. Über den Befehl openvpn set id $ID_DES_TUNNELS local_addr $IP_DES_INTERFACES kann dann die ausgehende IP gesetzt werden. Zusätzlich wird in der ausgehenden Regel (internal-network → VPN-Netzwerk → $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.
Der transparente HTTP-Proxy
Wenn aus dem internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen. Damit dies nicht passiert muss im Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus Schaltfläche + Transparente Regel hinzufügen eine Regel hinzugefügt werden:
Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungHTTP-Proxy
Protokoll:
HTTP
Typ:
Exclude
Quelle:
internal-network
Ziel:
name-vpn-netzwerk-objekt
Wird die SSL-Interception verwendet, sollte das zusätzlich für das Protokoll HTTPS vorgenommen werden.