Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden. SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
notempty
Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.
Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate
Vorbereitungen
Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt. Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.
Auflösung interner Hostnamen im SSL-VPN
Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:
DNS/WINS übermitteln
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Reiter Erweitert aktiviert werden.
IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Reiter Erweitert aktiviert werden.
Search Domain
Wenn vorhanden, Domain eingeben.
Search Domain vorgeben
Block Outside DNS
Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen: Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS
Roadwarrior Konfiguration
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit → VPN →SSL-VPN Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.
Schritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung.
Roadwarrior Server
Site to Site Server
Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
Schritt 2
Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.
Schritt 3
Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.
Beschriftung
Wert
Beschreibung
Name:
RW-Securepoint
Eindeutige Bezeichnung, frei wählbar
Protokoll:
UDP
Gewünschtes Protokoll
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat:
Serverzertifikat
Auswahl des Zertifikates, mit dem der Server sich Authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
Erstellung einer CA im Reiter CA mit der Schaltfläche CA hinzufügen
Erstellung eines Serverzertifikates im Reiter Zertifikate mit der Schaltfläche Zertifikat hinzufügen. Bitte beachten: Serverzertifikat:Ein aktivieren
Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
Für jeden Benutzer sollte ein eigenes User-Zertifikat erstellt werden.
Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden!
Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.
Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben
»192.168.175.0/24
Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
Schritt 4
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
Schritt 5
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
None = Authentifizierung nur über die Zertifikate
Local = Lokale Benutzer und AD Gruppen
Radius = Radius Server
Abschluss
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten
Dabei werden alle SSL-VPN-Tunnel unterbrochen!
Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Reiter Erweitert aktiviert werden.
Reiter: Allgemein
Beschriftung
Wert
Beschreibung
Name:
RW Default
Name der SSL-Verbindung
Schnittstelle:
tun1
Verwendete Schnittstelle
Modus:
Server
Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt)
Protokoll:
UDP (Default) TCP
Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Authentifizierung:
NONE (Default) LOCAL RADIUS
Passende Authentifizierungsmethode wählen
Zertifikat:
cs-ttt-point
Das verwendete Zertifikat kann hier geändert werden
Cipher für Datenverbindungen:
Default
Default-Einstellungen von OpenSSL werden verwendet. Sämtliche Gegenstellen müssen denselben Cipher benutzen!
Default-Einstellungen von OpenSSL werden verwendet. Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen!
SHA1SHA224SHA256SHA384SHA512whirlpool
Erlaubte Cipher für automatische Aushandlung (NCP):
AES-192-CBC
Es lassen sich gezielt einzelne Cipher aus einer Liste auswählen
IPv4 Pool:
192.168.192.0/24
Pool-Adresse eintragen
IPv6 Pool:
/64
Pool-Adresse eintragen
Servernetzwerke freigeben:
Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
Zeitraum, ab dem die Verbindung erneut vermittelt wird.
Speichern
Speichert die Einstellungen
Erweitert
MTU:
1500
Maximale Übertragungseinheit des größten Pakets (Byte)
Maximale Clients:
1024
Maximale Anzahl an Clients Wird kein Wert festgelegt, gilt der Default-Wert von 1024
Doppelte Clients erlauben:notempty
Neu ab v12.5.1
Nein
Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden.
Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde
Konfiguration unter → Authentifizierung →BenutzerReiter Benutzer Schaltfläche Reiter VPN Abschnitt
SSL-VPN
DNS übermitteln:
Nein
Erlaubt die DNS-Übermittlung
WINS übermitteln:
Nein
Erlaubt die WINS-Übermittlung
Multihome:
Ein
Erlaubt die Nutzung von mehrere Default-Routen
LZO:
Aus
LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:
Nein
Pass TOS:
Aus
Übergibt dem Tunnelpaket den ursprünglichen Type of Service-Header des Datenpaketes
Ping Intervall:
10 Sekunden
Intervall der Ping-Anfragen
Ping Wartezeit:
120 Sekunden
Ausgehende Puffergröße:
65536 Bytes
Steuert die Größe des Puffers für den Socket
Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
Eingehende Puffergröße:
65536 Bytes
s.o.
Replay window Sequenzgröße:
64
Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
Replay window Wartezeit:
15 Sekunden
Zeitfenster, in dem die Sequenzgröße maximal angewendet wird
Speichern
Speichert die Einstellungen
Regelwerk
Implizite Regeln
Unter → Firewall →Implizite RegelnReiter VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.
Im Beispiel Ein SSL-VPN UDP
Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf der WAN-Schnittstellen frei
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden: EinUser Interface Portal
Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
Beschriftung
Wert
Beschreibung
Netzwerkobjekt für das Tunnelnetzwerk
Name:
SSL-VPN-RW-Network
Eindeutige Bezeichnung, frei wählbar
Typ:
VPN-Netzwerk
Passenden Typen wählen
Adresse:
192.168.192.0/24
Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
Zone:
vpn-ssl-RW-Securepoint
Die Zone, über die das Tunnel-Netzwerk angesprochen wird.
Gruppen:
Optionale Zuordnung zu Netzwerkgruppen
Speichern
Speichert die Einstellungen
Portfilter Regel
Menü → Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:
Allgemein
Quelle
SSL-VPN-RW-Network
Eingehende Regel
Ziel
internal-network
Als Ziel muss internal-network angegeben werden
Dienst
ms-rdp
Es sollten nur tatsächlich benötigte Dienste freigegeben werden!
Aktion
Accept
Benutzer und Gruppen anlegen
Gruppe
SSL-VPN Einstellungen für die Gruppe
Unter → Authentifizierung →BenutzerReiter Gruppe Schaltfläche + Gruppe hinzufügen klicken.
Folgende Berichtigungen müssen erteilt werden:
EinUserinterface
EinSSL-VPN
Einstellungen im Reiter SSL-VPN
Client im Userinterface herunterladbar:
Ein
Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
SSL-VPN Verbindung:
RW-Securepoint
Soeben angelegte Verbindung wählen
Client-Zertifikat:
Client-Zertifikat
Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
Remote Gateway:
192.0.2.192
Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Redirect Gateway:
Aus
Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM.
Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Reiter Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.
Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
SSL-VPN
Einstellungen aus der Gruppe verwenden
Ein
Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
Installer Portable Client Konfiguration
Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.
Der SSL-VPN Client
Herunterladen des SSL-VPN Clients im Userinterface
Userinterface
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:
Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter → Firewall →Implizite Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Der Client wird angeboten als:
SSL-VPN Client Installer
Die Installation muss mit Administrator-Rechten durchgeführt werden.
Erforderliche Prozessorarchitektur: x86 / x64
SSL-VPN Portable Client
Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
Erforderliche Prozessorarchitektur: x86 / x64
Konfiguration und Zertifikat
Zur Verwendung in anderen SSL-VPN-Clients
Die komprimierten Ordner enthalten neben dem SSL-VPN Client
eine Konfigurationsdatei
die CA- und Client-Zertifikate
sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
notempty
Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden
Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client
SSL-VPN Verbindung als Client herstellen
Aktive SSL-VPN-Verbindung
Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf
Mehrere VPN-Server als Ziele für eine Verbindung
In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.
Rechter Mausklick auf die Verbindung
Kontextmenü Einstelungen
Schaltfläche Erweitert
IP:utm1.anyideas.de
Port:1194
Eingabe von Hostnamen oder IP und verwendeten Port Angaben mit Hinzufügen übernehmen Fenster mit OK schließen
UAC Benutzerkonten Meldung bestätigen.
Mehrere VPN-Profile nutzen
Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen
Linksklick auf das Zahnradsymbol im Client-Fenster
Kontextmenü Importieren
Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren
Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
Linksklick auf das Zahnradsymbol
Menü Client Einstellungen
Reiter Allgemein → Schaltfläche TAP hinzufügen
Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren
Hinweise
Verschlüsselung
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Anpassung der default Cipher ab v12.2.2
notempty
Ab v12.2.2 ist in der Einstellung Default der Cipher für Datenverbindung nicht mehr Blowfish-CBC enthalten. Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden. Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt. Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden. Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Reiter Allgemein im Feld Cipher für Datenverbindung.
Cipher und Hash mit Default-Einstellungen notempty
Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt
Cipher mit Blowfish-kompatiblen Einstellungen notempty
Nicht empfohlen
notempty
Empfohlene Einstellung Muss auch auf der Gegenstelle konfiguriert sein
notempty
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.
Hashverfahren
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
notempty
Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorservers kann im Reiter Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.