SSL-VPN Site-to-Site

Konfiguration von SSL-VPN Site-to-Site-Verbindungen

Letzte Anpassung zur Version: 12.6.2

Neu:

Neue Funktion: Route nur bei aufgebauter Verbindung
Neue Funktion zum Absichern der genutzten Ports: Connection Rate Limit
Neue Funktion: Statischer SSL-VPN Schlüssel für tls-auth oder tls-crypt (v12.6.1)

Zuletzt aktualisiert:

Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.4.1 11.8.7 11.7.3 11.7 11.6.12

Einleitung

Mithilfe von SSL-VPN können auch Site-to-Site-Verbindungen aufgebaut werden. Da hierzu die entsprechende Instanz des Dienstes explizit im Client- oder Servermodus laufen muss, ist es möglich, mehrere Instanzen des SSL-VPN-Dienstes zu erzeugen.

Site-to-Site Server

S2S Server

Diese Methode wird verwendet, wenn die Gegenstelle der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Servermodus starten.

Site-to-Site Client

S2S Client

Diese Methode wird verwendet, wenn die UTM selbst der Initiator der Verbindung ist. Hierzu muss der Dienst explizit im Clientmodus starten.

Site-to-Site Server Konfiguration

notempty

Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.

SSL-VPN-Verbindung

Einrichten der Verbindung unter VPN SSL-VPN Schaltfläche + SSL-VPN Verbindung hinzufügen

Installationsassistent

Schritt 1 S2S Server

SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Installationsschritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:

Roadwarrior Server
Site-to-Site Server
Site-to-Site Client

Für die Konfiguration des Site-to-Site Server wird dieser ausgewählt.

Schritt 2 S2S Server

Installationsschritt 2

Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.

Schritt 3 S2S Server

Lokale Einstellungen für den Site-to-Site Server

Beschriftung	Wert	Beschreibung	Installationsschritt 3
Name:	S2S-server	Eindeutiger Name
Protokoll:	UDP	Gewünschtes Protokoll wählen
Port:	1194	Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Serverzertifikat: Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar	cs-ttt-point	Auswahl des Zertifikates, mit dem der Server sich authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche + CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche + Zertifikat hinzufügen Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Beide Zertifikate müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Zur Nutzung bei einer UTM als Client wird das PEM-Format benötigt. Weitere Hinweise im Wiki-Artikel zur Nutzung von Zertifikaten.
Servernetzwerke freigeben:	» 192.168.175.0/24	An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.

Schritt 4 S2S Server

Im Installationsschritt 4 wird das Transfernetz für den Site-to-Site Server eingetragen.

Beschriftung	Wert	Beschreibung	Installationsschritt 4
Transfer-Netzwerk:	192.168.190.0/24	Es muss eine Netzwerkadresse angegeben werden, die in keinem Netz der beteiligten Appliances verwendetet wird.
Server-Tunneladresse:	192.168.190.1/32	Die Server- und Client-Tunneladresse wird automatisch ermittelt.
IPv4 Client-Tunneladresse:	192.168.190.2/24

Schritt 5 S2S Server

Beschriftung	Wert	Beschreibung	Installationsschritt 5
Name:	S2S-client	Wird automatisch aus dem in Schritt 3 festgelegtem Namen gebildet
Client-Zertifikat:	.ttt-point.de	Zertifikat des Client-Netzwerks
Clientnetzwerke freigeben:	»192.168.174.0/24	Netzwerke der Gegenstelle, die freigegeben werden sollen. (Eingabe mit Klick in die Klickbox und anschließend über die Tastatur.)
notempty Das ausgewählte Zertifikat sollte mit keinem anderen Client / -Netzwerk verwendet werden.

Abschnitt Allgemein Allgemein S2S Server

Bereits angelegte SSL-VPN-Verbindungen können unter VPN SSL-VPN Schaltfläche bearbeitet werden.

Beschriftung	Wert	Beschreibung	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Allgemein
Name:	S2S-Server	Name der SSL-Verbindung
Schnittstelle:	tun0	Verwendete Schnittstelle
Modus:	SERVER	Je nach Verbindungstyp
Protokoll:	UDP (Default) TCP	Bevorzugtes Protokoll wählen (UDP und TCP können jeweils auf IPv4 oder IPv6 begrenzt werden)
Port:	1194	Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt.
Authentifizierung:	NONE (Default) LOCAL RADIUS	Passende Authentifizierungsmethode wählen
Zertifikat:	cs-ttt-point	Das verwendete Zertifikat kann hier geändert werden
Statischer SSL-VPN Schlüsseltyp: notempty Neu ab v12.6.1	Aus tls-authtls-crypt	Die Aktivierung von tls-auth bewirkt eine zusätzliche Authentifizerung des Kontrollkanals tls-crypt bewirkt eine zusätzliche Authentifizerung und Verschlüssung des Kontrollkanals
Statischer SSL-VPN Schlüssel: notempty Neu ab v12.6.1	SSL-VPN S2S	Schlüssel zur Absicherung der Verbindung Der Schlüssel muss den Typ OVPN_STATIC_KEY haben
Cipher für Datenverbindung:	Default	Default-Einstellungen von OpenSSL werden verwendet. notempty Die Gegenstelle muss denselben Cipher nutzen!
Cipher für Datenverbindung:	BF-CBC DES-EDE-CBC DES-EDE3-CBC CAST5-CBC AES-128-CBC AES-192-CBC AES-256-CBC AES-128-GCM AES-192-GCM AES-256-GCM
Hash für Datenverbindung:	Default	Default-Einstellungen von OpenSSL werden verwendet. notempty Die Gegenstelle muss dasselbe Hashverfahren nutzen!
Hash für Datenverbindung:	SHA1 SHA224 SHA256 SHA384 SHA512 whirlpool
Erlaubt Cipher für automatische Aushandlung (NCP):		Es lassen sich gezielt einzelne Cipher aus eine Liste auswählen
IPv4 Transfer-Netzwerk:	192.168.190.0/24	Pool-Adresse eintragen
IPv6 Transfer-Netzwerk:	/64	Pool-Adresse eintragen
Servernetzwerk global freigeben:		Netz-IP für Netzwerke hinter der UTM, die über die SSL-VPN-Verbindung erreichbar sein sollen können editiert werden.
Search Domain:		Die Angabe einer Search Domain ist nur bei einer Roadwarrior-Verbindung sinnvoll! Alternativen: 1. Die Domain immer komplett ausschreiben 2. Die Domain in den DHCP-Server eintragen, damit der sie vergibt 3. Ein Active Directory nutzen
Renegotiation:	nie 1 Stunde (Default) 2 Stunden 4 Stunden 8 Stunden 12 Stunden	Zeitraum, ab dem die Verbindung erneut vermittelt wird

Erweitert S2S Server

Beschriftung	Wert	Beschreibung	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Erweitert
MTU:	1500	Maximale Übertragungseinheit des größten Pakets (Byte)
Maximale Clients:	1024	Maximale Anzahl an Clients. Wird kein Wert festgelegt, gilt der Default-Wert von 1024.
DNS übermitteln:	Nein	Erlaubt die DNS-Übermittlung Die IP-Adressen vom DNS und WINS werden im Menü VPN Globale VPN Einstellungen gesetzt.
WINS übermitteln:	Nein	Erlaubt die WINS-Übermittlung Die IP-Adressen vom DNS und WINS werden im Menü VPN Globale VPN Einstellungen gesetzt.
Multihome:	Ein	Erlaubt die Nutzung von mehrere Default-Routen
Nur zugewiesene Zertifikate akzeptieren:	Ein	Es können nur noch zugewiesene Zertifikate akzeptiert werden
LZO:	Aus	LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:	Nein
Pass TOS:	Aus	Erlaubt das Weiterleiten der TOS-Felder für das automatische QoS in den Paketen
Ping Intervall:	10 Sekunden	Intervall der Ping-Anfragen
Ping Wartezeit:	120 Sekunden	Wartezeit der Ping-Anfragen
Ausgehende Puffergröße:	65536 Bytes	Steuert die Größe des Puffers für den Socket Je größer, desto mehr kann zwischen gespeichert werden. Das kann aber auch die Latenz erhöhen.
Eingehende Puffergröße:	65536 Bytes	s.o.
Replay window Sequenzgröße:	64	Anzahl der Pakete innerhalb derer noch ältere Sequenznummern akzeptiert werden.
Replay window Wartezeit:	15 Sekunden	Zeitfenster in dem die Sequenzgröße maximal angewendet wird

Weitere Client-Gegenstellen S2S Server

SSL-VPN UTMbenutzer@firewall.name.fqdnVPN SSL-VPN Log Neustarten Übersicht der SSL-VPN-Verbindungen

Weitere Gegenstellen, welche über diesen Site-to-Site Server angebunden werden sollen, können über die Schaltfläche hinzugefügt werden.
Anzeige der Gegenstellen mit Klick auf das Ordnersymbol

SSL-VPN Server-Gegenstelle hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Weitere Gegenstellen des S2S-SSL-.VPNs

Regelwerk

Implizite Regeln

S2S Server

Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall Implizite Regeln

Unter Firewall Implizite Regeln Abschnitt VPN kann das Protokoll, das für die Verbindung genutzt wird aktiviert werden. Hier Ein SSL-VPN UDP. Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf der WAN-Schnittstelle frei.

Netzwerkobjekte

S2S Server

Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".
Um das Clientnetzwerk der Gegenstelle erreichen zu können, muss dafür ein Netzwerkobjekt unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen angelegt werden.
Das TUN-Interface des Site-to-Site-Clients erhält ebenfalls eine IP aus diesem Netz. Diese dient als Gateway in das Subnetz des Site-to-Site-Clients. Das Subnetz des Clients muss als Netzwerkobjekt angelegt werden und befindet sich in der Zone auf dem zugehörigen TUN-Interface.

Beschriftung	Wert	Beschreibung	Netzwerkobjekte hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	sslvpn-S2S-Client-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Client-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.174.0/24	Die Netzwerk-Adresse, die in Schritt 5 als Clientnetzwerk freigegeben wurde Wurden mehrere Clientnetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-Server	Die Zone auf dem S2S Server, über die das S2S Client-Netzwerk angesprochen wird.
Gruppe:		Optional

Paketfilter-Regeln

S2S Server

Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Paketfilter-Regeln

Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen

Zwei Regeln erlauben den Zugriff auf das S2S-Client-Netzwerk bzw. aus dem Netzwerk:

	#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
Zugriff vom Client aus auf das (interne) Server-Netzwerk (Gegenstelle initiert die Verbindung)	9	sslvpn-S2S-client-network	internal-network	default-internet		Accept	Ein
Zugriff auf das Client-Netzwerk (lokale UTM initiiert die Verbindung)	10	internal-network	sslvpn-S2S-client-network	default-internet		Accept	Ein

Routen

S2S Server

Die Routen werden automatisch gesetzt.
Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
Menü Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche + Route hinzufügen.
Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.

Beschriftung	Wert	Beschreibung	Route hinzufügen UTMbenutzer@firewall.name.fqdn Route für Gegenstelle
Gateway-Schnittstelle:	tun2	Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
Zielnetzwerk:	192.168.174.0/24	Das Netzwerk der Gegenstelle (S2S Client)
Ausgangslage Es kann gewünscht sein, die Routen für VPN-Verbindungen Nur für interne Prüfzwecke erst dann zu setzen, wenn die Verbindung wirklich steht. Dadurch wird verhindert das Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern. Dies kann von Vorteil sein wenn zum Beispiel VoIP durch den Tunnel gehen soll. Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird. CLI-Befehl Verbindung per SSH oder über Menü Extras CLI : route set id <ID> flags BLACKHOLE_IF_OFFLINE Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist. Bei SSL-VPN oder bei Wireguard zum Beispiel wenn der Tunnel nicht steht. Zuvor kann mit route get die korrekte Verbindungs-ID ermittelt werden notempty neu im Wiki

Site-to-Site Client Konfiguration

SSL-VPN-Verbindung

Installationsassistent

notempty

Für die Einrichtung des S2S Server wird eine CA, ein Server- und ein Client-Zertifikat benötigt.

Schritt 1 S2S Client

SSL-VPN Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Installationsschritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung:

Roadwarrior Server
Site-to-Site Server
Site-to-Site Client

Für die Konfiguration des Site-to-Site Client wird dieser ausgewählt.

Schritt 2 S2S Client

Installationsschritt 2

Soll ein lokales IPv6-Netz angebunden werden, muss die Option IPv6 über IPv4 verwenden: aktiviert Ja werden.

Schritt 3 S2S Client

Lokale Einstellungen für den Site-to-Site Client können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll ausgewählt, ein Serverzertifikat gewählt werden- durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat importiert werden.

Beschriftung	Wert	Beschreibung	Installationsschritt 3
Name:	S2S-client	Eindeutiger Name
Protokoll:	UDP	Gewünschtes Protokoll wählen Es muss das gleiche Protokoll, wie beim Site-to-Site Server ausgewählt werden.
Client-Zertifikat:	CC-S2S-Client-Network1	Auswahl des Zertifikates, mit dem der Client sich authentifiziert Hier muss das gleiche Zertifikat verwendet werden, dass beim Site-to-Site Server in Schritt 5 als Zertifikat der Gegenstelle (Client) ausgewählt wurde. Aufruf mit Abschnitt CA Schaltfläche CA importieren Import der CA vom S2S Server Abschnitt Zertifikate Schaltfläche Zertifikat importieren Import des Client-Zertifikates, das auf dem S2S Server erstellt wurde.

Schritt 4 S2S Client

Dieser Installationsschritt entfällt beim Site-to-Site Client.

Schritt 5 S2S Client

Installationsschritt 5

Im Schritt 5 wird die öffentliche Remotegateway IP-Adresse oder SPDyn-Adresse des Site-to-Site Servers als Gegenstelle eingetragen.
notempty

Die Portadresse muss mit einem Doppelpunkt hinter die IP-Adresse gesetzt werden.

Wird der Port 1194 verwendet, kann diese Angabe auch weggelassen werden.

Abschnitt Allgemein Allgemein S2S Client

Bereits angelegte SSL-VPN-Verbindungen können unter VPN SSL-VPN Schaltfläche bearbeitet werden.

Beschriftung	Wert	Beschreibung	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Allgemein
Name:	S2S-client	Name der SSL-Verbindung
Schnittstelle:	tun4	Verwendete Schnittstelle
Modus:	CLIENT
Protokoll:	UDP (Default) TCP	Gewünschtes Protokoll wählen
Zertifikat:	CC-S2S-Client-Network1	Das verwendete Zertifikat kann hier geändert werden
Statischer SSL-VPN Schlüsseltyp: notempty Neu ab v12.6.1	Aus tls-authtls-crypt	Die Aktivierung von tls-auth bewirkt eine zusätzliche Authentifizerung des Kontrollkanals tls-crypt bewirkt eine zusätzliche Authentifizerung und Verschlüssung des Kontrollkanals
Statischer SSL-VPN Schlüssel: notempty Neu ab v12.6.1	SSL-VPN S2S	Schlüssel zur Absicherung der Verbindung Der Schlüssel muss den Typ OVPN_STATIC_KEY haben
Cipher für Datenverbindung:	Default	Default-Einstellungen von OpenSSL werden verwendet. notempty Die Gegenstelle muss denselben Cipher nutzen!
Cipher für Datenverbindung:	BF-CBC DES-EDE-CBC DES-EDE3-CBC CAST5-CBC AES-128-CBC AES-192-CBC AES-256-CBC AES-128-GCM AES-192-GCM AES-256-GCM
Hash für Datenverbindung:	Default	Default-Einstellungen von OpenSSL werden verwendet. notempty Die Gegenstelle muss dasselbe Hashverfahren nutzen!
Hash für Datenverbindung:	SHA1 SHA224 SHA256 SHA384 SHA512 whirlpool
Erlaubt Cipher für automatische Aushandlung (NCP):		Es lassen sich gezielt einzelne Cipher aus eine Liste auswählen
Renegotiation:	nie 1 Stunde (Default) 2 Stunden 4 Stunden 8 Stunden 12 Stunden	Zeitraum, ab dem die Verbindung erneut vermittelt wird

Erweitert S2S Client

Beschriftung	Wert	Beschreibung	SSL-VPN Verbindung bearbeiten UTMbenutzer@firewall.name.fqdnVPNSSL-VPN Abschnitt Erweitert
MTU:	1500	Maximale Übertragungseinheit des größten Pakets (Byte)
LZO:	Aus	LZO-Kompression Nach der Änderung dieser Option müssen die entsprechenden Client-Gegenstellen ihre Konfiguration anpassen!
Deaktiviert:	Nein
Pass TOS:	Aus	Erlaubt das Weiterleiten der TOS-Felder für das automatische QoS in den Paketen
Ping Intervall:	10 Sekunden	Intervall der Ping-Anfragen
Ping Wartezeit:	120 Sekunden	Wartezeit der Ping-Anfragen
Ausgehende Puffergröße:	65536 Bytes
Eingehende Puffergröße:	65536 Bytes
Replay window Sequenzgröße:	64
Replay window Wartezeit:	15 Sekunden

S2S Client Regelwerk

S2S Client Implizite Regeln

Da der Site-to-Site Client die Verbindung zum S2S Server aufbaut und ausgehende Verbindungen der Firewall selbst per Default immer erlaubt sind, sind keine impliziten Regeln notwendig.

S2S Client Netzwerkobjekte

Ein neues Netzwerkobjekt kann unter Firewall Netzwerkobjekte Schaltfläche + Objekt hinzufügen erstellt werden.

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt für das Tunnelnetzwerk
Name:	sslvpn-S2S-Server-Network	Eindeutiger Name
Typ:	VPN-Netzwerk	Soll im Server-Netzwerk nur ein einzelner Host freigegeben werden, kann hier auch VPN-Host ausgewählt werden.
Adresse:	192.168.175.0/24	Wurden mehrere Servernetzwerke freigegeben, muss für jedes dieser Netzwerke ein eigenes Netzwerkobjekt angelegt werden. Anschließend können die Netzwerkobjekte dann zu einer Gruppe zusammengefasst werden.
Zone:	vpn-ssl-S2S-client	die Zone auf dem S2S Client, über die das S2S Server-Netzwerk angesprochen wird.
Gruppe:		Optional

S2S Client Paketfilter-Regeln

S2S Client

Paketfilter UTMbenutzer@firewall.name.fqdnFirewall Regeln aktualisieren Paketfilter-Regeln im

Menü Firewall Paketfilter Schaltfläche + Regel hinzufügen.
Zwei Regeln erlauben den Zugriff auf das S2S-Server-Netzwerk bzw. aus dem Netzwerk:

#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
5	internal-network	sslvpn-S2S-server-network	default-internet		Accept	Ein
4	sslvpn-S2S-server-network	internal-network	default-internet		Accept	Ein

S2S Client Routen

S2S Client

Die Routen werden automatisch gesetzt.
Bei Verwendung von VoIP durch den Tunnel sollten jedoch Routen gesetzt werden, damit die Verbindung der Telefone korrekt zur TK-Anlage gewährleistet ist.
Menü Netzwerk Netzwerkkonfiguration Bereich Routing Schaltfläche + Route hinzufügen.
Damit das Netzwerk der Gegenstelle zuverlässig gefunden werden kann, sollte noch eine Route gesetzt werden.

Beschriftung	Wert	Beschreibung	Route hinzufügen UTMbenutzer@firewall.name.fqdn Route für Gegenstelle
Gateway-Schnittstelle:	tun4	Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt, das hier angegeben werden muss.
Zielnetzwerk:	192.168.175.0/24	Das Netzwerk der Gegenstelle (S2S Server)
Ausgangslage Es kann gewünscht sein, die Routen für VPN-Verbindungen Nur für interne Prüfzwecke erst dann zu setzen, wenn die Verbindung wirklich steht. Dadurch wird verhindert das Pakete in das Internet geroutet und vom Conntrack gespeichert werden und so einen korrekten Aufbau der Verbindung verhindern. Dies kann von Vorteil sein wenn zum Beispiel VoIP durch den Tunnel gehen soll. Load Balancing über eine zweite Firewall wird deutlich vereinfacht, wenn nur die UTM eine Route bekommt, bei der der Tunnel auch tatsächlich aufgebaut wird. CLI-Befehl Verbindung per SSH oder über Menü Extras CLI : route set id <ID> flags BLACKHOLE_IF_OFFLINE Z.B.: route set id "2" flags BLACKHOLE_IF_OFFLINE Dieser Befehl verwirft Pakete zu diesem Ziel wenn die Route nicht vorhanden ist. Bei SSL-VPN oder bei Wireguard zum Beispiel wenn der Tunnel nicht steht. Zuvor kann mit route get die korrekte Verbindungs-ID ermittelt werden notempty Neu ab 12.6.2

Hinweise

Multipath

S2S Client

Bei Multipath auf der Client Seite, muss die VPN-Verbindung im Client auf eine Schnittstelle gebunden werden.
Um eine Client-Verbindung an eine Schnittstelle zu binden, muss über den CLI-Befehl openvpn get die ID der Verbindung ausfindig gemacht werden.
Über den Befehl openvpn set id $ID_DES_TUNNELS local_addr $IP_DES_INTERFACES kann dann die ausgehende IP gesetzt werden.
Zusätzlich wird in der ausgehenden Regel (internal-network → VPN-Netzwerk → $DIENST) eine Rule-Route über die entsprechende tunX-Schnittstelle benötigt.

Der transparente HTTP-Proxy

Wenn aus dem internen Netzwerk via HTTP auf einen Server hinter der Site-to-Site Verbindung zugegriffen werden soll, kann es sein das der transparente HTTP-Proxy die Pakete filtert. Dies kann zu Fehlern bei den Zugriffen auf das Ziel führen.
Damit dies nicht passiert muss im Menü Anwendungen HTTP-Proxy Bereich Transparenter Modus Schaltfläche + Transparente Regel hinzufügen eine Regel hinzugefügt werden:

Transparente Regel hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungHTTP-Proxy
Protokoll:	HTTP
Typ:	Exclude
Quelle:	internal-network
Ziel:	name-vpn-netzwerk-objekt

Wird die SSL-Interception verwendet, sollte das zusätzlich für das Protokoll vorgenommen werden.

Connection Rate Limit

Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

notempty

Die Funktion befindet sich noch in der Erprobungsphase und wird weiter ausgebaut.
Die Funktion ist zunächst ausschließlich über das CLI zu konfigurieren

Die Funktion soll helfen Angriffe abzuwehren.
SSL-VPN-Zugänge können so z.B. vor aggressiven Scans oder Anmeldeversuchen geschützt werden.

Die UTM kann ab v12.6.2 die Anzahl der TCP- und/oder UDP-Verbindungen von einer externen IP-Adresse auf einen Port limitieren.
Dabei gelten folgende Bedingungen:

Es werde nur eingehende Verbindungen überwacht, für die eine Default-Route existiert
Es werden die Verbindungen von einer IP-Adresse auf einen Port der UTM innerhalb einer Minute gezählt
Bei Aktivierung werden 5 Verbindungen / Verbindungsversuche je Minute zugelassen.
Danach werden die Verbindungen limitiert:
- Dabei werden die zusätzlich zugelassenen Verbindungen innerhalb von 60 Sekunden seit der ersten Verbindung gleichmäßig verteilt.
- Bei einem CONNECTION_RATE_LIMIT-Wert von 20 kommt also alle 3 Sekunden eine zusätzliche Verbindung hinzu.
- 10 Sekunden nach der 1 Anmeldung könnten 3 weitere Verbindungen aufgebaut werden (jeweils von der gleichen IP-Adresse aus auf den selben Ziel-Port)
Die Sperrung einer IP-Adresse wirkt nur für den Zugriff auf den Port, der zu oft genutzt wurde.
Andere Ports können weiterhin erreicht werden.
Die Funktion ist bei Neuinstallationen per Default auf 20 UDP-Verbindungen / Minute auf allen Ports aktiviert
Bei Updates muss die Funktion manuell aktiviert werden

extc-Variable	Default	Beschreibung
CONNECTION_RATE_LIMIT_TCP	0	Anzahl der zugelassenen TCP-Verbindungen einer IP-Adresse je Port 0 = Funktion deaktiviert, es werden keine Sperrungen vorgenommen
CONNECTION_RATE_LIMIT_TCP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports würden (bei Aktivierung) überwacht werden. Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]
CONNECTION_RATE_LIMIT_UDP	20 / 0 Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert.	Anzahl der zugelassenen UDP-Verbindungen einer IP-Adresse je Port
CONNECTION_RATE_LIMIT_UDP_PORTS		Ports die überwacht werden sollen. Per Default leer=alle Ports werden überwacht (nur bei Neuinstallationen!). Einzelne Ports werden durch Leerzeichen getrennt: [ 1194 1195 ]

Konfiguration mit CLI-Befehlen

CLI-Befehl	Funktion
extc value get application securepoint_firewall Alternativ als root-User: spcli extc value get application securepoint_firewall \| grep RATE	Listet alle Variablen der Anwendung securepoint_firewall auf. Für das Connection Limit sind die Variablen zuständig, die mit CONNECTION_RATE_LIMIT_ beginnen. application \|variable \|value --------------------+-------------------------------+----- securepoint_firewall \|… \|… \|CONNECTION_RATE_LIMIT_TCP \|0 \|CONNECTION_RATE_LIMIT_TCP_PORTS\| \|CONNECTION_RATE_LIMIT_UDP \|20 \|CONNECTION_RATE_LIMIT_UDP_PORTS\|
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule	Begrenzt die zugelassene Anzahl von TCP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule	Deaktiviert die Überwachung von TCP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule	Beschränkt die Überwachung von TCP-Verbindungen auf die Ports 443 und 11115 Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule	Begrenzt die zugelassene Anzahl von UDP-Verbindungen von einer einzelnen IP-Adresse auf jeweils einen bestimmten Port auf 20 pro Minute Default Einstellung bei Neuinstallationen ab v12.6.2: 20 Bei Update Installationen ist der Wert 0, damit ist die Funktion deaktiviert. Eine Änderung wird durch ein Regelupdate direkt durchgeführt. Der Wert muss nicht zuerst auf 0 gesetzt werden!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule	Deaktiviert die Überwachung von UDP-Verbindungen
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule	Beschränkt die Überwachung von UDP-Verbindungen auf die Ports 1194 und 1195. (Beispielhaft für 2 angelegte SSL-VPN Tunnel.) Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule	Vor und nach den eckigen Klammern [ ] müssen jeweils Leerzeichen stehen!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule notempty Zum Abschluss muss der CLI-Befehl system update rule eingegeben werden, damit die Werte in den Regeln angewendet werden.	Beispiel, um maximal 20 Verbindungen pro Minute je IP-Adresse und Port zuzulassen. Bei TCP wird die Überwachung auf die Ports 443 und 11115 beschränkt. Es werden alle Ports auf UDP-Verbindungen überwacht.

Einleitung

Site-to-Site Server

Site-to-Site Client

Site-to-Site Server Konfiguration

SSL-VPN-Verbindung

Installationsassistent

Schritt 1

Schritt 2

Schritt 3

Schritt 4

Schritt 5

Abschnitt Allgemein Allgemein S2S Server

Abschnitt Erweitert

Weitere Client-Gegenstellen

Regelwerk

Implizite Regeln

Netzwerkobjekte

Paketfilter-Regeln

Routen

Site-to-Site Client Konfiguration

SSL-VPN-Verbindung

Installationsassistent

Schritt 1

Schritt 2

Schritt 3

Schritt 4

Schritt 5

Abschnitt Allgemein Allgemein S2S Client

Abschnitt Erweitert

S2S Client Regelwerk

S2S Client Implizite Regeln

S2S Client Netzwerkobjekte

S2S Client Paketfilter-Regeln

S2S Client Routen

Hinweise

Multipath

Der transparente HTTP-Proxy

Connection Rate Limit

Konfiguration mit CLI-Befehlen