Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden. SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
notempty
Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.
Zum Erstellen von Zertifikaten auf der UTM gibt es einen eigenen Artikel: Zertifikate
Vorbereitungen
Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt. Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.
Auflösung interner Hostnamen im SSL-VPN
Sollen Server im SSL-VPN für den Roadwarrior unter ihrem Hostnamen erreichbar sein, sind folgende Einstellungen erforderlich:
DNS/WINS übermitteln
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.
IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.
Search Domain
Wenn vorhanden, Domain eingeben.
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Search Domain vorgeben
Block Outside DNS
Bei manchen Windows 10 Clients kann es notwendig sein, in der Konfiguration des SSL-VPN Clients die Option "block-outside-dns" zu hinterlegen: Im Securepoint SSL-VPN Client mit der rechten Maustaste auf die gewünschte Verbindung klicken, Menü Einstellungen Schaltfläche Erweitert Reiter OS Eintrag DNS Block Outside DNS
Roadwarrior Konfiguration
Einrichtungsassistent
Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit VPN SSL-VPN Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.
Schritt 1
SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Einrichtung Schritt 1
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung.
Roadwarrior Server
Site to Site Server
Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
Schritt 2
Einrichtung Schritt 2
Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.
Schritt 3
Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.
Beschriftung
Wert
Beschreibung
Name:
RW-Securepoint
Eindeutige Bezeichnung, frei wählbar
Protokoll:
UDP
Gewünschtes Protokoll
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat:
CS-RW-Securepoint-Server
Auswahl des Zertifikates, mit dem der Server sich Authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit
Erstellung einer CA im Abschnitt CA mit der Schaltfläche CA hinzufügen
Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche Zertifikat hinzufügen. Bitte beachten: Serverzertifikat:Ein aktivieren
Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen
Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden.
Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden!
Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden.
Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben
»192.168.175.0/24
Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
Einrichtung Schritt 3
Schritt 4
Einrichtung Schritt 4
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
Schritt 5
Einrichtung Schritt 5
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
None = Authentifizierung nur über die Zertifikate
Local = Lokale Benutzer und AD Gruppen
Radius = Radius Server
Local OTP = Lokale Benutzer und AD Gruppen mit verpflichtendem OTP für diesen Tunnel notempty
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt. Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten
Dabei werden alle SSL-VPN-Tunnel unterbrochen!
Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!
Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet und im Abschnitt Erweitert aktiviert werden.
Verbindung bearbeiten
Allgemein
Allgemein
Beschriftung
Wert
Beschreibung
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Name:
RW Securepoint
Name der SSL-Verbindung
Schnittstelle:
tun1
Verwendete Schnittstelle
Modus:
Server
Je nach Verbindungstyp (wie in Schritt 1 des Assistenten gewählt)
Protokoll:
UDP(Default) TCP
Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
Port:
1194
Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Authentifizierung:
NONE LOCAL(Default) RADIUS
Passende Authentifizierungsmethode wählen
Zertifikat:
CS-RW-Securepoint-Server
Das verwendete Zertifikat kann hier geändert werden
Statischer SSL-VPN Schlüsseltyp:notempty
Neu ab v12.6.1
Aus tls-authtls-crypt
Die Aktivierung von tls-auth bewirkt eine zusätzliche Authentifizierung des Kontrollkanals
tls-crypt bewirkt eine zusätzliche Authentifizierung und Verschlüsselung des Kontrollkanals
Statischer SSL-VPN Schlüssel:notempty
Neu ab v12.6.1
SSL-VPN RW-Securepoint
Absicherung der Verbindung mit tls-auth.
Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.
Cipher für Datenverbindungen:
AES-128-CBC
Standardmäßig wird AES-128-CBC verwendet. Sämtliche Gegenstellen müssen denselben Cipher benutzen!
Standardmäßig wird SHA256 verwendet. Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen!
DefaultSHA1SHA224SHA384SHA512whirlpool
Erlaubte Cipher für automatische Aushandlung (NCP):
Es lassen sich gezielt einzelne Cipher aus einer Liste auswählen
IPv4 Pool:
192.168.192.0/24
Pool-Adresse eintragen
IPv6 Pool:
/64
Pool-Adresse eintragen
Servernetzwerke freigeben:
Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen (wie im Assistenten im Schritt 3 angegeben) können editiert werden.
Zeitraum, ab dem die Verbindung erneut vermittelt wird.
Die Einstellungen können mit
gespeichert werden.
Erweitert
Erweitert
MTU:
1500
Maximale Übertragungseinheit des größten Pakets (Byte)
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Maximale Clients:
1024
Maximale Anzahl an Clients Wird kein Wert festgelegt, gilt der Default-Wert von 1024
Doppelte Clients erlauben:
Nein
Bei Aktivierung können sich mehrere Clients mit den selben Zugangsdaten gleichzeitig verbinden.
Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde
Konfiguration unter Authentifizierung Benutzer Bereich Benutzer Schaltfläche Reiter VPN Abschnitt
SSL-VPN
DNS übermitteln:
Nein
Erlaubt die DNS-Übermittlung
WINS übermitteln:
Nein
Erlaubt die WINS-Übermittlung
Multihome:
Ein
Erlaubt die Nutzung von mehrere Default-Routen
LZO:
Aus
LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:
Nein
Pass TOS:
Aus
Übergibt dem Tunnelpaket den ursprünglichen Type of Service-Header des Datenpaketes
Ping Intervall:
10 Sekunden
Intervall der Ping-Anfragen
Ping Wartezeit:
120 Sekunden
Ausgehende Puffergröße:
65536 Bytes
Steuert die Größe des Puffers für den Socket
Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
Eingehende Puffergröße:
65536 Bytes
s.o.
Replay window Sequenzgröße:
64
Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
Replay window Wartezeit:
15 Sekunden
Zeitfenster, in dem die Sequenzgröße maximal angewendet wird
Die Einstellungen können mit
gespeichert werden.
Regelwerk
Implizite Regeln
Unter Firewall Implizite Regeln Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.
Im Beispiel Ein SSL-VPN UDP ➊
Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden: EinUser Interface Portal➋
Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
Netzwerkobjekte
Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone. Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.
Beschriftung
Wert
Beschreibung
Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:
SSL-VPN-RW-Network
Eindeutige Bezeichnung, frei wählbar
Typ:
VPN-Netzwerk
Passenden Typen wählen
Adresse:
192.168.192.0/24
Die Netzwerk-IP, die in Schritt 4 als Tunnel-Pool angegeben wurde.
Zone:
vpn-ssl-RW-Securepoint
Die Zone, über die das Tunnel-Netzwerk angesprochen wird.
Gruppen:
Optionale Zuordnung zu Netzwerkgruppen
Die Einstellungen können mit
gespeichert werden.
Paketfilter Regel
Menü Firewall Paketfilter Schaltfläche Regel hinzufügen Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk:
Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Allgemein
Quelle
SSL-VPN-RW-Network
Eingehende Regel
Ziel
internal-network
Als Ziel muss internal-network angegeben werden
Dienst
ms-rdp
Es sollten nur tatsächlich benötigte Dienste freigegeben werden!
Aktion
ACCEPT
Benutzer und Gruppen anlegen
Gruppe
Berechtigungen
Gruppe hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer
Unter Authentifizierung Benutzer Bereich Gruppe Schaltfläche + Gruppe hinzufügen klicken.
Folgende Berichtigungen müssen erteilt werden:
EinUserinterface
EinSSL-VPN
SSL-VPN
Client im Userinterface herunterladbar:
Ja
Per default über den Port 443, also z.b. unter https://192.168.75.1 erreichbar
SSL-VPN Einstellungen für die Gruppe
SSL-VPN Verbindung:
RW-Securepoint
Soeben angelegte Verbindung wählen
Clientzertifikat:
Clientzertifikat
Auswahl des Client-Zertifikates, das in Schritt 3 des Einrichtungsassistenten beschrieben wurde.
Server- und Client-Zertifikat müssen mit der selben CA erstellt werden!
Remote Gateway:
192.0.2.192
Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
Redirect Gateway:
Aus
Bei Aktivierung werden auch Anfragen der Roadwarrior-Clients ins Internet bzw. in Netzwerke außerhalb des VPN über das lokale Gateway umgeleitet. Dadurch profitieren auch diese Verbindungen vom Schutz der UTM.
Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Abschnitt Verzeichnis Dienst keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden.
Authentifizierung Benutzer Bereich Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .
Allgemein
Gruppen:
RW-SSL-VPN
Dem Benutzer muss die vorher erstellte Gruppe zugeordnet werden.
SSL-VPN
Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer SSL-VPN Einstellungen für die Benutzer
Einstellungen aus der Gruppe verwenden:
Ein
Wurden bereits für die Gruppe Einstellungen getroffen, können statt individueller Werte diese hier übernommen werden.
Installer Portable Client Konfiguration
Wurden die Angaben gespeichert, können bereits an dieser Stelle die entsprechenden Dateien vom Administrator herunter geladen werden.
Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.
Der SSL-VPN Client
Herunterladen des SSL-VPN Clients im Userinterface
Userinterface SSL-VPN
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:
Zum Download gelangt man über den Menüpunkt SSL-VPN .
Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.
Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regel unter Firewall Implizite Regeln Bereich VPN OptionEinUser Interface Portal aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Der Client wird angeboten als:
SSL-VPN Client Installer
Die Installation muss mit Administrator-Rechten durchgeführt werden.
Erforderliche Prozessorarchitektur: x86 / x64
SSL-VPN Portable Client
Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.
Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen.
Erforderliche Prozessorarchitektur: x86 / x64
Konfiguration und Zertifikat
Zur Verwendung in anderen SSL-VPN-Clients
Die komprimierten Ordner enthalten neben dem SSL-VPN Client
eine Konfigurationsdatei
die CA- und Client-Zertifikate
sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.
notempty
Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden
Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client
SSL-VPN Verbindung als Client herstellen
Aktive SSL-VPN-Verbindung
Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf
Mehrere VPN-Server als Ziele für eine Verbindung
In den Einstellungen einer Verbindung können unter Erweitert/Remote weitere VPN Server mit IP oder Hostname als Ziel hinterlegt werden.
Rechter Mausklick auf die Verbindung
Kontextmenü Einstelungen
Schaltfläche Erweitert
IP:utm1.anyideas.de
Port:1194
Eingabe von Hostnamen oder IP und verwendeten Port Angaben mit Hinzufügen übernehmen Fenster mit OK schließen
UAC Benutzerkonten Meldung bestätigen.
Mehrere VPN-Profile nutzen
Es lassen sich mehrere VPN-Profile importieren und ggf. auch gleichzeitig nutzen
Linksklick auf das Zahnradsymbol im Client-Fenster
Kontextmenü Importieren
Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren
Sollen mehrere VPN-Profile gleichzeitig genutzt werden, müssen weitere TAP-Treiber hinzugefügt werden:
Linksklick auf das Zahnradsymbol
Menü Client Einstellungen
Reiter Allgemein → Schaltfläche TAP hinzufügen
Mit Klick auf … im Abschnitt
Quelldatei:
kann eine Datei im .ovpn-Format ausgewählt werden.
Im Abschnitt
Importieren als:
kann entweder der Dateiname oder eine beliebige eigene Bezeichung gewählt werden, die dann im Clientfenster für diese Verbindung angezeigt wird.
Abschluss mit der Schaltfläche Importieren
Hinweise
Verschlüsselung
Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Anpassung der default Cipher ab v12.2.2
notempty
Ab v12.2.2 ist in der Einstellung Default der Cipher für Datenverbindung nicht mehr Blowfish-CBC enthalten. Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden. Es wird dringend empfohlen, die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt. Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden. Anpassung auf der UTM mit der Schaltfläche der jeweiligen Verbindung im Abschnitt Allgemein im Feld Cipher für Datenverbindung.
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Cipher und Hash mit Default-Einstellungen notempty
Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
Cipher mit Blowfish-kompatiblen Einstellungen notempty
Nicht empfohlen
SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN
notempty
Empfohlene Einstellung Muss auch auf der Gegenstelle konfiguriert sein
notempty
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.
Hashverfahren
Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
notempty
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.
QoS
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
Hinweis zu vorgeschalteten Routern/Modems
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
notempty
Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.
IPv6 für eingehende Verbindungen
In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.