- Aktualisierung zum Redesign des Webinterfaces
- Es ist möglich mehrere Clients mit den selben Zugangsdaten zuzulassen (v12.5.1)
Einleitung
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate
Vorbereitungen
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.
Auflösung interner Hostnamen im SSL-VPN
Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:
DNS/WINS übermitteln
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.
Search Domain
Wenn vorhanden, Domain eingeben.
Block Outside DNS
Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen:
Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS
Roadwarrior Konfiguration
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit Schaltfläche aufgerufen werden.
Schritt 1 |
UTMbenutzer@firewall.name.fqdnVPNSSL-VPN  Einrichtung Schritt 1
| ||||||||||||||||||
| Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung.
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt. | |||||||||||||||||||
Schritt 2 |
 | ||||||||||||||||||
| Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. | |||||||||||||||||||
Schritt 3Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden. | |||||||||||||||||||
|
 | ||||||||||||||||||
Schritt 4 |
 | ||||||||||||||||||
| Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden. | |||||||||||||||||||
Schritt 5 |
 | ||||||||||||||||||
| Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
| |||||||||||||||||||
Abschluss |
UTMbenutzer@firewall.name.fqdnVPN  Einrichtung Abschluss
| ||||||||||||||||||
| In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt. Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: | |||||||||||||||||||
Verbindung bearbeiten
AllgemeinAllgemein
| |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnVPNSSL-VPN 
|
|---|---|---|---|
| Name: | RW Securepoint | Name der SSL-Verbindung | |
| Schnittstelle: | tun1 | Verwendete Schnittstelle | |
| Modus: | Server | Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt) | |
| Protokoll: | (Default) |
Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden) | |
| Port: | 1194 |
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt. | |
| Authentifizierung: | (Default) |
Passende Authentifizierungsmethode wählen | |
| Zertifikat: | Das verwendete Zertifikat kann hier geändert werden | ||
| Cipher für Datenverbindungen: | Standardmäßig wird AES-128-CBC verwendet. Sämtliche Gegenstellen müssen denselben Cipher benutzen! | ||
| Hash für Datenverbindung: | Standardmäßig wird SHA256 verwendet. Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen! | ||
| Erlaubte Cipher für automatische Aushandlung (NCP): | Es lassen sich gezielt einzelne Cipher aus einer Liste auswählen | ||
| IPv4 Pool: | Pool-Adresse eintragen | ||
| IPv6 Pool: | Pool-Adresse eintragen | ||
| Servernetzwerke freigeben: | Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden. | ||
| Search Domain: | Wenn vorhanden, Domain eingeben. | ||
| Renegotiation: | (Default) |
Zeitraum, ab dem die Verbindung erneut vermittelt wird. | |
| Die Einstellungen können mit gespeichert werden.
| |||
ErweitertErweitert
| |||
| MTU: | 1500 |
Maximale Übertragungseinheit des größten Pakets (Byte) | UTMbenutzer@firewall.name.fqdnVPNSSL-VPN 
|
| Maximale Clients: | 1024 | Maximale Anzahl an Clients Wird kein Wert festgelegt, gilt der Default-Wert von 1024 | |
| Doppelte Clients erlauben: | Nein | Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden. Konfiguration unter Bereich Benutzer Schaltfläche Reiter VPN Abschnitt SSL-VPN | |
| DNS übermitteln: | Nein | Erlaubt die DNS-Übermittlung | |
| WINS übermitteln: | Nein | Erlaubt die WINS-Übermittlung | |
| Multihome: | Ein | Erlaubt die Nutzung von mehrere Default-Routen | |
| LZO: | Aus | LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen! | |
| Deaktiviert: | Nein | ||
| Pass TOS: | Aus | Übergibt dem Tunnelpaket den ursprünglichen Type of Service-Header des Datenpaketes | |
| Ping Intervall: | 10 Sekunden |
Intervall der Ping-Anfragen | |
| Ping Wartezeit: | 120 Sekunden |
||
| Ausgehende Puffergröße: | 65536 Bytes |
Steuert die Größe des Puffers für den Socket | |
| Eingehende Puffergröße: | 65536 Bytes |
s.o. | |
| Replay window Sequenzgröße: | 64 |
Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden. | |
| Replay window Wartezeit: | 15 Sekunden |
Zeitfenster, in dem die Sequenzgröße maximal angewendet wird | |
| Die Einstellungen können mit gespeichert werden.
| |||
Regelwerk
Implizite Regeln
Unter Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden. Im Beispiel Ein SSL-VPN UDP ➊ Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln. |
UTMbenutzer@firewall.name.fqdnFirewall 
|
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Netzwerkobjekt für das Tunnelnetzwerk
|
|---|---|---|---|
| Name: | SSL-VPN-RW-Network | Eindeutige Bezeichnung, frei wählbar | |
| Typ: | Passenden Typen wählen | ||
| Adresse: | 192.168.192.0/24 | Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde. | |
| Zone: | Die Zone, über die das Tunnel-Netzwerk angesprochen wird. | ||
| Gruppen: | Optionale Zuordnung zu Netzwerkgruppen | ||
| Die Einstellungen können mit gespeichert werden.
| |||
Paketfilter Regel
| Menü Schaltfläche Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk: |
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter 
| ||
Allgemein
| |||
| Quelle |  SSL-VPN-RW-Network |
Eingehende Regel | |
| Ziel | internal-network |
Als Ziel muss internal-network angegeben werden | |
| Dienst |  ms-rdp |
Es sollten nur tatsächlich benötigte Dienste freigegeben werden! | |
| Aktion | |||
Benutzer und Gruppen anlegen
Gruppe
| Berechtigungen | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer 
| |
| Unter Bereich Gruppe Schaltfläche klicken. Folgende Berichtigungen müssen erteilt werden:
| ||
| SSL-VPN | |||
| Client im Userinterface herunterladbar: | Ja | Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar |  |
| SSL-VPN Verbindung: | RW-Securepoint | Soeben angelegte Verbindung wählen | |
| Clientzertifikat: | Clientzertifikat | Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
| |
| Remote Gateway: | 192.0.2.192 | Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein. | |
| Redirect Gateway: | Aus | Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM. | |
| Im Portfilter verfügbar: | Ja | Ermöglicht Identity-Based Firewall (IBF) für SSL-VPN | |
Benutzer
| Allgemein | |||
| Gruppen: | RW-SSL-VPN | Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden. | |
| SSL-VPN | UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer  SSL-VPN Einstellungen für die Benutzer
| ||
| Einstellungen aus der Gruppe verwenden: | Ein | Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden. | |
| Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden. | |||
| Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden. | |||
Der SSL-VPN Client
Herunterladen des SSL-VPN Clients im Userinterface
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:
- Zum Download gelangt man über den Menüpunkt .
- Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
- Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
- Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
Der Client wird angeboten als:
- SSL-VPN Client Installer
- Erforderliche Prozessorarchitektur: x86 / x64
- SSL-VPN Portable Client
- Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
- Erforderliche Prozessorarchitektur: x86 / x64
- Konfiguration und Zertifikat
- Zur Verwendung in anderen SSL-VPN-Clients
- eine Konfigurationsdatei
- die CA- und Client-Zertifikate
- sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
- Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
notempty
Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client
SSL-VPN Verbindung als Client herstellen
Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf 
Mehrere VPN-Server als Ziele für eine Verbindung
In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.
- Rechter Mausklick auf die Verbindung
- Kontextmenü Einstelungen
- Schaltfläche Erweitert
- IP: utm1.anyideas.de
- Port: 1194
Angaben mit Hinzufügen übernehmen
Fenster mit OK schließen
Mehrere VPN-Profile nutzen
Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen
- Linksklick auf das Zahnradsymbol im Client-Fenster
- Kontextmenü Importieren
- Mit Klick auf … im Abschnitt Quelldatei:kann eine Datei im .ovpn-Format ausgewählt werden.
- Im Abschnitt Importieren als:kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
- Abschluss mit der Schaltfläche
- Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
- Linksklick auf das Zahnradsymbol
- Menü Client Einstellungen
- Reiter Allgemein → Schaltfläche
- Mit Klick auf … im Abschnitt Quelldatei:kann eine Datei im .ovpn-Format ausgewählt werden.
- Im Abschnitt Importieren als:kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
- Abschluss mit der Schaltfläche
Hinweise
Verschlüsselung
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.
Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.
Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.
Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Abschnitt Allgemein im Feld Cipher für Datenverbindung.
notempty
Muss auch auf der Gegenstelle konfiguriert sein
Hashverfahren
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll oder für IPv6 aktiviert werden.
Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)