Połączenie SSL-VPN Roadwarrior

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Beta-Version bezieht

- Zakładka Ogólne → Przycisk Dodaj TAP }}

Konfiguracja połączeń SSL-VPN Roadwarrior

Last adaptation to the version: 14.1.3 (03.2026)

New:

Only AES-based Cipher fpr data connection are now supported
Whirpool as Hash for data connection is no longer supported
Authentication with Entra ID (OpenID Connect) possible
Auth token lifetime can be set for connections with OTP

Default value for the Cipher for data connection updated to AES-256-GCM

Last updated:

Termination notice for deprecated certificates added

notempty

This article refers to a Beta version

14.0.3 12.7.3 12.6.2 12.5.1 12.4 i starsze

Wstęp

Połączenie Roadwarrior łączy pojedyncze hosty z siecią lokalną. Dzięki temu, na przykład, terenowy przedstawiciel handlowy może połączyć się z siecią centrali.
SSL-VPN używa standard TLS/SSL do szyfrowania połączeń.

notempty

Przez użycie połączenia SSL-VPN Roadwarrior na UTM można podłączyć wielu klientów.

Istnieje osobny artykuł dotyczący tworzenia certyfikatów na UTM: Certyfikaty

Przygotowania

Do skonfigurowania Roadwarrior potrzebne są: urząd certyfikacji (CA), certyfikat serwera i certyfikat użytkownika.
Te certyfikaty można ewentualnie utworzyć również podczas konfiguracji.

```markdown

```

Proszę zwrócić uwagę na minimalne wymagania dla certyfikatów od wersji UTM 14.2!

notempty

Wsparcie dla certyfikatów o długości klucza 1024 bitów lub mniejszej zostanie zakończone od wersji UTM 14.2.
Wsparcie dla certyfikatów z algorytmem podpisywania SHA1 zostanie również zakończone od wersji 14.2.
Połączenia HTTP-Proxy lub SSL-VPN z takimi przestarzałymi certyfikatami nie będą działać od wersji 14.2!
Niebezpieczne certyfikaty należy pilnie wymienić!
BSI zaleca — stan na 01.2025 — długości kluczy od 3000 bitów i SHA256
BSI – Wytyczne techniczne — Metody kryptograficzne: Zalecenia i długości kluczy BSI TR-02102-1 | Rozdział 2.3: Szyfrowanie RSA
Domyślne ustawienie UTM dla nowych certyfikatów to szyfrowanie RSA z 3072 bitami i SHA256 jako algorytm skrótu
Dotknięte aplikacje:
- OpenVPN
  - Certyfikat serwera w roli serwera (Roadwarrior lub S2S)
  - Certyfikat klienta dla S2S
  - Jeśli dotyczy, certyfikat określony jako certyfikat klienta za pomocą atrybutu użytkownika (Uwierzytelnianie → Użytkownicy → Edytuj użytkownika)
- Mailrelay
  - Przekazywanie "Certyfikatu" (pod szyfrowaniem TLS jako serwer)
- Reverse-Proxy
  - Ustawienia → Certyfikat SSL
- Webserver
  - Sieć → Ustawienia serwera → Serwer WWW → Certyfikat
- HTTP-Proxy
  - Przechwytywanie SSL → Certyfikat CA

Rozwiązywanie wewnętrznych nazw hostów w SSL-VPN

Jeśli serwery w SSL-VPN mają być dostępne dla Roadwarrior pod swoją nazwą hosta, wymagane są następujące ustawienia:

Przekazywanie DNS/WINS

Żeby móc przesłać DNS/WINS, musi zostać skonfigurowane połączenie VPN i musi być one uruchomionye w zakładce Zaawansowane.

Wprowadź adres IP serwera DNS w sieci UTM jako główny serwer DNS/WINS.

Żeby móc przesłać DNS/WINS, musi zostać skonfigurowane połączenie VPN i musi być one uruchomionye w zakładce Zaawansowane.

Search Domain

Uzupełnia wewnętrzne nazwy o domenę wyszukiwania: tk-Server1 → tk-Server1.intern.ttt-point.de
To ustawienie można skonfigurować w ustawieniach połączenia VPN w zakładce Ogólne.

Określ domenę wyszukiwania

Block Outside DNS

W przypadku niektórych klientów Windows 10 może być konieczne ustawienie opcji "block-outside-dns" w konfiguracji klienta SSL-VPN:
Prawym przyciskiem myszy kliknij na pożądane połączenie w Securepoint SSL-VPN Client, menu Ustawienia Zaawansowane zakładka OS zaznacz pole wyboru DNS Block Outside DNS

Konfiguracja Roadwarrior

Kreator instalacji

Po zalogowaniu się do interfejsu administracyjnego zapory (domyślnie: https://192.168.175.1:11115) kreatora instalacji można uruchomić za pomocą VPN SSL-VPN button Dodaj połączenie SSL-VPN.

Krok 1

Krok konfiguracji 1

W pierwszym kroku instalacji wybierany jaki ma być typ połączenia.
Dostępne są następujące połączenia:

Serwer Roadwarrior
Serwer Site to Site
Klient Site to Site

Do konfiguracji serwera Roadwarrior wybierany jest ten typ połączenia.

Krok 2

Krok konfiguracji 2

Jeśli w sieci źródłowej i docelowej ma być używany IPv6, należy go tutaj włączyć.

Krok 3

Lokalne ustawienia dla serwera Roadwarrior można skonfigurować w kroku 3.

Caption	Value	Description
Name:	RW-Securepoint	Unikalna nazwa, zawierająca dowolny tekst
Protokół:	UDP	Pożądany protokół
Port:	1194	Domyślny port dla pierwszego połączenia SSL-VPN. Nie może być używany do innych celów. Dla kolejnych połączeń wybierany jest następny wolny port.
Certyfikat serwera: Można wybrać tylko certyfikaty z częścią prywatnego klucza	CS-RW-Securepoint-Server	Wybór certyfikatu, za pomocą którego serwer się uwierzytelnia. Jeśli nie ma jeszcze certyfikatu serwera, można go utworzyć (oraz ewentualnie urząd certyfikacji) w zarządzaniu certyfikatami. Wybór za pomocą Utworzenie urzędu certyfikacji w zakładce CA przyciskiem Dodaj CA Utworzenie certyfikatu serwera w zakładce Certyfikaty przyciskiem Dodaj certyfikat. Należy pamiętać, aby włączyć Certyfikat serwera: Włącz Utworzenie certyfikatu klienta przyciskiem Dodaj certyfikat Dla każdego użytkownika należy utworzyć osobny certyfikat klienta. Oba certyfikaty (serwer CS i klient CC) muszą być utworzone za pomocą tego samego urzędu certyfikacji! Certyfikat klienta i powiązany urząd certyfikacji (CA) są również potrzebne do skonfigurowania strony przeciwnej (strona klienta). Muszą zostać wyeksportowane za pomocą przycisku . Dodatkowe informacje na temat używania Certyfikatów. ```markdown ``` Proszę zwrócić uwagę na minimalne wymagania dla certyfikatów od wersji UTM 14.2! notempty Wsparcie dla certyfikatów o długości klucza 1024 bitów lub mniejszej zostanie zakończone od wersji UTM 14.2. Wsparcie dla certyfikatów z algorytmem podpisywania SHA1 zostanie również zakończone od wersji 14.2. Połączenia HTTP-Proxy lub SSL-VPN z takimi przestarzałymi certyfikatami nie będą działać od wersji 14.2! Niebezpieczne certyfikaty należy pilnie wymienić! BSI zaleca — stan na 01.2025 — długości kluczy od 3000 bitów i SHA256 BSI – Wytyczne techniczne — Metody kryptograficzne: Zalecenia i długości kluczy BSI TR-02102-1 \| Rozdział 2.3: Szyfrowanie RSA Domyślne ustawienie UTM dla nowych certyfikatów to szyfrowanie RSA z 3072 bitami i SHA256 jako algorytm skrótu Dotknięte aplikacje: OpenVPN Certyfikat serwera w roli serwera (Roadwarrior lub S2S) Certyfikat klienta dla S2S Jeśli dotyczy, certyfikat określony jako certyfikat klienta za pomocą atrybutu użytkownika (Uwierzytelnianie → Użytkownicy → Edytuj użytkownika) Mailrelay Przekazywanie "Certyfikatu" (pod szyfrowaniem TLS jako serwer) Reverse-Proxy Ustawienia → Certyfikat SSL Webserver Sieć → Ustawienia serwera → Serwer WWW → Certyfikat HTTP-Proxy Przechwytywanie SSL → Certyfikat CA
Udostępnianie sieci serwera	»192.168.175.0/24	Sieć zlokalizowana na tym urządzeniu (serwer VPN), która ma być dostępna przez SSL-VPN.

Krok konfiguracji 3

Krok 4

Krok konfiguracji 4

W kroku instalacji 4 wprowadzana jest sieć transferowa dla Roadwarrior.
Sieć transferowa może być dowolnie wybrana, ale nie może być już zajęta w UTM.

Adresy IP są przydzielane klientom w kolejności rosnącej (zaczynając od .2)

poprawiono błąd w opisie kolejności

Jeśli klientom mają być przydzielane stałe adresy IP, w przykładzie z siecią /24 powinny one zaczynać się od .253

poprawiono błąd, .254 jest zajęte przez wirtualny serwer DHCP

w kolejności malejącej.

Sieć dla puli adresów IP musi być wystarczająco duża, aby przedzielić wszystkim klientom adres IP tunelu oraz wykluczyć nakładanie się adresów (stałe adresy IP są przydzielane malejąco od góry a dynamiczne przydzielanie są rosnąco od dołu)

Krok 5

Krok konfiguracji 5

Weryfikacja użytkownika jest wybierana w ostatnim kroku.
Następnie kreator instalacji może zostać zakończony.

Brak = Weryfikacja tylko za pomocą certyfikatów
Lokalne = Lokalni użytkownicy i grupy AD
Radius = Serwer Radius
Lokalne OTP = Lokalni użytkownicy i grupy AD z obowiązkowym OTP dla tego tunelu
Entra ID (OpenID Connect) = Weryfikacja za pomocą Entra ID przez OpenID Connect (z i bez 2FA/OTP)
notempty
Wymaga klienta Windows VPN 3.5.0 lub nowszego

notempty
New as of v14.1.2

Datei:Entra OIDC VPN 01 Nazwa użytkownika-pl.png

Fig.1

Nazwa logowania, ewentualnie Wybierz konto

Datei:Entra OIDC VPN 02 Hasło-pl.png

Fig.2

Wprowadź hasło

Datei:Entra OIDC VPN 03 Kod-pl.png

Fig.3

W przypadku 2FA ewentualnie przesłać drugi czynnik (tu: OTP)

Datei:Entra OIDC VPN 04 Uprawnienia-pl.png

Fig.4

Podana jest aplikacja utworzona w centrum administracyjnym Entra ID

Datei:Entra OIDC VPN 05 Informacje o aplikacji-pl.png

Fig.5

Kliknięcie Informacje o aplikacji pokazuje szczegóły

Datei:Entra OIDC VPN 06 Sukces-pl.png

Fig.6

Komunikat o sukcesie OAuth z UTM
Tunel jest nawiązywany.

Zakończenie

Zakończenie instalacji

W przeglądzie SSL-VPN wyświetlane są wszystkie skonfigurowane połączenia.
Aby połączenie stało się aktywne, usługa SSL-VPN musi zostać uruchomiona ponownie: Uruchom ponownie

Wszystkie tunele SSL-VPN zostaną przerwane!

Potrzebny jest tylko jeden serwer Roadwarrior, aby podłączyć wielu użytkowników VPN!

Żeby móc przesłać DNS/WINS, musi zostać skonfigurowane połączenie VPN i musi być one uruchomionye w zakładce Zaawansowane.

Konfiguracja połączenia

Ogólne Ogólne
Caption	Value	Description	Konfiguracja połączenia SSL-VPN UTMuser@firewall.name.fqdnVPNSSL-VPN
Name:	RW Securepoint	Nazwa połączenia SSL
Interfejs:	tun1	Używany interfejs
Modus:	Server	W zależności od typu połączenia (wybranego w pierwszym kroku kreatora)
Protokół:	UDP (Default) TCP	Wybierz preferowany protokół (UDP i TCP mogą być ograniczone odpowiednio do IPv4 lub IPv6).
Port:	1194	Domyślny port dla pierwszego połączenia SSL-VPN. Nie może być używany do innych celów. Dla kolejnych połączeń wybierany jest następny wolny port.
Weryfikacja:	NONE LOCAL(Default) RADIUS Local OTP Entra ID (OpenID Connect)	Wybierz odpowiednią metodę weryfikacji
Certyfikat:	CS-RW-Securepoint-Server	Używany certyfikat może zostać tutaj zmieniony ```markdown ``` Proszę zwrócić uwagę na minimalne wymagania dla certyfikatów od wersji UTM 14.2! notempty Wsparcie dla certyfikatów o długości klucza 1024 bitów lub mniejszej zostanie zakończone od wersji UTM 14.2. Wsparcie dla certyfikatów z algorytmem podpisywania SHA1 zostanie również zakończone od wersji 14.2. Połączenia HTTP-Proxy lub SSL-VPN z takimi przestarzałymi certyfikatami nie będą działać od wersji 14.2! Niebezpieczne certyfikaty należy pilnie wymienić! BSI zaleca — stan na 01.2025 — długości kluczy od 3000 bitów i SHA256 BSI – Wytyczne techniczne — Metody kryptograficzne: Zalecenia i długości kluczy BSI TR-02102-1 \| Rozdział 2.3: Szyfrowanie RSA Domyślne ustawienie UTM dla nowych certyfikatów to szyfrowanie RSA z 3072 bitami i SHA256 jako algorytm skrótu Dotknięte aplikacje: OpenVPN Certyfikat serwera w roli serwera (Roadwarrior lub S2S) Certyfikat klienta dla S2S Jeśli dotyczy, certyfikat określony jako certyfikat klienta za pomocą atrybutu użytkownika (Uwierzytelnianie → Użytkownicy → Edytuj użytkownika) Mailrelay Przekazywanie "Certyfikatu" (pod szyfrowaniem TLS jako serwer) Reverse-Proxy Ustawienia → Certyfikat SSL Webserver Sieć → Ustawienia serwera → Serwer WWW → Certyfikat HTTP-Proxy Przechwytywanie SSL → Certyfikat CA
Typ statycznego klucza SSL-VPN:	Wyłącz tls-authtls-crypt	Aktywacja tls-auth powoduje dodatkowe uwierzytelnienie kanału kontrolnego tls-crypt powoduje dodatkowe uwierzytelnienie i szyfrowanie kanału kontrolnego
Statyczny klucz SSL-VPN: notempty New as of v12.6.1	SSL-VPN RW-Securepoint	Zabezpieczenie połączenia za pomocą tls-auth. Klucz musi mieć typ OVPN_STATIC_KEY.
Szyfr dla połączenia danych:	AES-256-GCM	Domyślnie używany jest AES-256-GCM. notempty Od wersji v14.0.3 Wszystkie strony przeciwne muszą używać tego samego szyfru!
Szyfr dla połączenia danych:	Default AES-128-CBC AES-192-CBC AES-256-CBC AES-128-GCM AES-192-GCM AES-256-GCM as of v14.1.3: Only AES-based ciphers are supported The following ciphers will no longer be supported from version 14.1.3 onwards: BF-CBC DES-EDE-CBC DES-EDE3-CBC CAST5-CBC
Wartość hash połączenia danych:	SHA256	Domyślnie używany jest SHA256. Wszystkie strony przeciwne muszą używać tej samej procedury skrótu!
Wartość hash połączenia danych:	Default SHA1 SHA224 SHA384 SHA512 as of v14.1.3 : Whirpool is no longer supported
Dozwolone szyfry dla automatycznej negocjacji (NCP):		Można wybrać poszczególne szyfry z listy
IPv4 Pool:	192.168.192.0/24	Wprowadź pulę adresów
IPv6 Pool:	/64	Wprowadź pulę adresów
Udostępnianie sieci serwera:		Można edytować adres IP sieci za UTM, które mają być dostępne przez połączenie SSL-VPN (jak określono w 3 kroku kreatora instalacji)
Search Domain:		Jeśli dostępna, wprowadź domenę.
Renegotiation:	nigdy 1 Godzina (Default) 2 Godziny 4 Godziny 8 Godziny 12 Godziny	Okres, po którym nastąpi renegocjacja połączenia.
Ustawienia można zapisać za pomocą .

Zaawansowane Zaawansowane
MTU:	1500	Maksymalny rozmiar przesyłanego pakietu (bajt)	Konfiguracja połączenia SSL-VPN UTMuser@firewall.name.fqdnVPNSSL-VPN
Maksymalna liczba klientów:	1024	Maksymalna liczba klientów Jeśli nie zostanie określona żadna wartość, zostanie użyta wartość domyślna 1024
Zezwalaj na podwójne klienty:	Nie	Po aktywacji wielu klientów może jednocześnie łączyć się przy użyciu tych samych danych uwierzytelniających. Nie powinno być aktywowane, jeśli użytkownikowi przypisano stały adres IP Konfiguracja w Uwierzytelnianie Użytkownik Area Użytkownik button zakładka VPN sekcja SSL-VPN
Przekazywanie DNS:	Nie	Umożliwia przekazywanie DNS
Przekazywanie DNS WINS:	Nie	Umożliwia przekazywanie WINS
Multihome:	Włączone	Zezwala na używanie wielu domyślnych tras
LZO:	Wyłącz	Kompresja LZO Po zmianie tej opcji odpowiednie strony klienta muszą dostosować swoją konfigurację!
Wyłącz:	Nie
Pass TOS:	Wyłącz	Przekazuje oryginalny nagłówek Type of Service do pakietu tunelowemgo
Użyj Auth-Token do renegocjacji: Tylko dla uwierzytelniania: LOKALNE OTP notempty New as of v14.1.2	Wyłącz	Podczas nawiązywania połączenia po przerwaniu (np. zmiana sieci) token uwierzytelniający z pierwotnego nawiązywania połączenia jest ponownie używany. Nie jest wymagane ponowne uwierzytelnianie.
Interwał ping:	10 Sekundy	Interwał żądań ping
Czas oczekiwania na ping:	120 Sekundy
Rozmiar bufora wychodzącego:	65536 Bytes	Kontroluje rozmiar bufora dla gniazda Im większy, tym więcej można przechować. Może to jednak zwiększyć opóźnienie.
Rozmiar bufora przychodzącego:	65536 Bytes	patrz wyżej
Rozmiar sekwencji okna replay:	64	Liczba pakietów, w ramach których akceptowane są starsze numery sekwencji.
Czas oczekiwania okna replay:	15 Sekundy	Okno czasowe, w którym rozmiar sekwencji jest stosowany maksymalnie
Czas życia Auth-Token notempty New as of v14.1.2	12 Godziny	Czas życia oryginalnego Auth-Token. Możliwe wartości: nieograniczony 1 godzina 2 godziny 4 godziny 8 godzin 12 godzin (domyślnie przy aktywacji)
Ustawienia można zapisać za pomocą .

Zasady

Reguły domyślne

W Zapora Reguły domyślne Area VPN można aktywować protokół używany do połączenia.

W przykładzie Włącz SSL-VPN UDP 1

Ta reguła domyślna udostępnia porty używane do połączeń SSL-VPN na wszystkich interfejsach. Reguły filtra pakietów zamiast reguł domyślnych mogą regulować to indywidualnie dla poszczególnych interfejsów.
Jeśli użytkownik ma pobrać klienta z interfejsu użytkownika, musi to być tutaj dodatkowo włączone:
Włącz Portal interfejsu użytkownika 2

Datei:UTM v12.6 SSL-VPN Roadwarrior Reguły domyślne-pl.png

Jeśli to konieczne, interfejs użytkownika musi zostać przeniesiony na inny port, jeśli port 443 został przekierowany na wewnętrzny serwer.

Obiekty sieciowe

Podczas konfiguracji połączenia został utworzony interfejs tun. Otrzymuje on automatycznie pierwszy adres IP z sieci transferowej skonfigurowanej w połączeniu i strefę "vpn-ssl-<nazwa_serwera>".

Klienci Roadwarrior otrzymają adres IP z tej sieci i będą się znajdować w tej strefie.
Aby przyznać Roadwarriorom dostęp do własnej sieci, należy utworzyć obiekt sieciowy.

Caption	Value	Description	Dodaj obiekt sieciowy UTMuser@firewall.name.fqdnFirewallObiekty sieciowe Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie obiektu sieciowego-pl.pngObiekt sieciowy dla sieci tunelowej
Name:	SSL-VPN-RW-Network	Unikalna nazwa, zawierająca dowolny tekst
Typ:	Sieć VPN	Wybierz odpowiedni typ
Adres:	192.168.192.0/24	Adres IP sieci, który został określony jako pula tuneli w kroku 4.
Zone:	vpn-ssl-RW-Securepoint	Strefa, przez którą adresowana jest sieć tunelowa.
Grupy:		Opcjonalne przypisanie do grup sieciowych
Ustawienia można zapisać za pomocą .

Reguła filtra pakietów

Menu Zapora Filtr pakietów Area Filtr pakietów button Dodaj regułę Reguła zezwala klientom RW na dostęp do lokalnej sieci:			Dodaj regułę UTMuser@firewall.name.fqdnFirewallFiltr pakietów Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie reguły filtra pakietów-pl.png
Ogólne
Źródło	SSL-VPN-RW-Network	Reguła przychodząca
Cel	internal-network	Jako cel musi zostać podane internal-network
Usługa	ms-rdp	Powinny być udostępniane tylko usługi, które są rzeczywiście potrzebne!
Akcja	ACCEPT

Tworzenie użytkowników i grup

Grupa

Uprawnienia

Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie grupy uprawnienia-pl.png

W Area Grupa button + Dodaj grupę.

Następujące uprawnienia muszą zostać przyznane:

Włącz Interfejs użytkownika
Włącz SSL-VPN

SSL-VPN
Klient do pobrania w interfejsie użytkownika:	Tak	Domyślnie przez port 443, np. pod adresem https://192.168.75.1 dostępny	Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie grupy SSL-VPN-pl.png Ustawienia SSL-VPN dla grupy
Połączenie SSL-VPN:	RW-Securepoint	Wybierz właśnie utworzone połączenie
Certyfikat klienta:	Certyfikat klienta	Wybór certyfikatu klienta opisanego w Krok 3 kreatora konfiguracji. ```markdown ``` Proszę zwrócić uwagę na minimalne wymagania dla certyfikatów od wersji UTM 14.2! notempty Wsparcie dla certyfikatów o długości klucza 1024 bitów lub mniejszej zostanie zakończone od wersji UTM 14.2. Wsparcie dla certyfikatów z algorytmem podpisywania SHA1 zostanie również zakończone od wersji 14.2. Połączenia HTTP-Proxy lub SSL-VPN z takimi przestarzałymi certyfikatami nie będą działać od wersji 14.2! Niebezpieczne certyfikaty należy pilnie wymienić! BSI zaleca — stan na 01.2025 — długości kluczy od 3000 bitów i SHA256 BSI – Wytyczne techniczne — Metody kryptograficzne: Zalecenia i długości kluczy BSI TR-02102-1 \| Rozdział 2.3: Szyfrowanie RSA Domyślne ustawienie UTM dla nowych certyfikatów to szyfrowanie RSA z 3072 bitami i SHA256 jako algorytm skrótu Dotknięte aplikacje: OpenVPN Certyfikat serwera w roli serwera (Roadwarrior lub S2S) Certyfikat klienta dla S2S Jeśli dotyczy, certyfikat określony jako certyfikat klienta za pomocą atrybutu użytkownika (Uwierzytelnianie → Użytkownicy → Edytuj użytkownika) Mailrelay Przekazywanie "Certyfikatu" (pod szyfrowaniem TLS jako serwer) Reverse-Proxy Ustawienia → Certyfikat SSL Webserver Sieć → Ustawienia serwera → Serwer WWW → Certyfikat HTTP-Proxy Przechwytywanie SSL → Certyfikat CA Certyfikat serwera i klienta muszą być utworzone za pomocą tego samego urzędu certyfikacji!
Remote Gateway:	192.0.2.192	Remote Gateway to adres zewnętrznego interfejsu. Ten adres musi być dostępny z zewnątrz.
Redirect Gateway:	Wyłącz	Po aktywacji żądania klientów Roadwarrior do Internetu lub sieci poza VPN są również przekierowywane przez lokalną bramę. Dzięki temu te połączenia również korzystają z ochrony UTM.
Dostępne w filtrze portów:	Tak	Umożliwia Zapora sieciowa oparta na tożsamości (IBF) dla SSL-VPN

Użytkownik

Jeśli w poprzednim kroku (tworzenie grupy) w zakładce Usługa katalogowa nie dokonano przypisania do grupy, każdy użytkownik musi być również utworzony na UTM.

Area Użytkownik button Dodaj użytkownika lub Edytuj użytkownika .

Ogólne
Grupy:	RW-SSL-VPN	Użytkownikowi musi zostać przypisana wcześniej utworzona grupa.
SSL-VPN			Edytuj użytkownika UTMuser@firewall.name.fqdnWeryfikacjaUżytkownik Datei:UTM v12.6 SSL-VPN Roadwarrior Dodawanie użytkownika SSL-VPN-pl.pngUstawienia SSL-VPN dla użytkowników
Użyj ustawień z grupy:	Włączone	Jeśli dla grupy zostały już dokonane ustawienia, zamiast indywidualnych wartości można je tutaj przejąć.
Installer Portable Client Konfiguracja	Jeśli informacje zostały zapisane, administrator może już w tym miejscu pobrać odpowiednie pliki.
Dodatkowe informacje na temat użytkowników można znaleźć w artykule na temat Zarządzania użytkownikami.

Klient SSL-VPN

Pobieranie klienta SSL-VPN w interfejsie użytkownika

Datei:UTM v12.6 SSL-VPN Roadwarrior Interfejs użytkownika pobieranie klienta-pl.png

Interfejs użytkownika SSL-VPN

Dla użytkowników, którzy chcą połączyć się z UTM przez SSL-VPN, urządzenie udostępnia wstępnie skonfigurowanego klienta SSL-VPN:

Pobieranie odbywa się przez punkt menu SSL-VPN .
Ten klient zawiera pliki konfiguracyjne oraz wszystkie wymagane certyfikaty.
Logowanie do interfejsu użytkownika UTM domyślnie przez port 443, np. pod adresem https://192.168.75.1
Interfejs użytkownika jest dostępny przez interfejs wewnętrzny urządzenia Securepoint.

Dostęp dla zewnętrznych użytkowników jest możliwy tylko wtedy, gdy domyślna reguła SSL w Area Opcja VPN Włącz Portal interfejsu użytkownika jest aktywna, co zezwala na dostęp z Internetu do zewnętrznego interfejsu przez HTTPS.

Klient jest oferowany jako:

SSL-VPN Client Installer

Instalacja musi być wykonana z prawami administratora.

- Wymagana architektura procesora: x86 / x64

SSL-VPN Portable Client
- Wersja przenośna może zostać skopiowana na pendrive i uruchomiona na innych komputerach.

Wymagane są prawa administratora, ponieważ należy zainstalować wirtualne urządzenie TAP i ustawić trasy.

- Wymagana architektura procesora: x86 / x64

Konfiguracja i certyfikat
- Do użycia w innych klientach SSL-VPN

Skompresowane foldery zawierają oprócz klienta SSL-VPN

- plik konfiguracyjny
- certyfikaty urzędu certyfikacji i klienta
- oraz sterownik dla wirtualnego interfejsu sieciowego TAP.
- Do zainstalowania wirtualnego interfejsu TAP użytkownik potrzebuje praw administratora na używanym komputerze.

notempty

Ze względów bezpieczeństwa należy zawsze używać najnowszej wersji

Instalacja: Wskazówki dotyczące instalacji można znaleźć na naszej stronie wiki dotyczącej Klienta VPN

Nawiązywanie połączenia SSL-VPN jako klient

Datei:SSL-VPN-v2 Połączony-pl.png

Aktywne połączenie SSL-VPN

Podwójne kliknięcie na ikonę kłódki na pasku zadań otwiera klienta SSL-VPN.
Uruchom połączenie, klikając x20px

Wiele serwerów VPN jako cele dla jednego połączenia

W ustawieniach połączenia pod Zaawansowane/Zdalne można zapisać dodatkowe serwery VPN z adresem IP lub nazwą hosta jako cel.

Datei:Klient VPN cele zdalne1-pl.png

Prawy przycisk myszy na połączeniu
Menu kontekstowe Ustawienia

Datei:Klient VPN cele zdalne2-pl.png

Przycisk Zaawansowane

Datei:Klient VPN cele zdalne3-pl.png

IP: utm1.anyideas.de

Port: 1194

Wprowadź nazwę hosta lub IP i używany port
Zaakceptuj dane za pomocą Dodaj
Zamknij okno przyciskiem OK.

Datei:Klient VPN cele zdalne UAC-pl.png

Potwierdź komunikat kontroli konta użytkownika UAC.

Korzystanie z wielu profili VPN

Można zaimportować i ewentualnie używać jednocześnie wiele profili VPN.

Datei:Klient VPN import profilu1-pl.png

Lewy przycisk myszy na ikonę koła zębatego w oknie klienta
Menu kontekstowe Importuj

Datei:Klient VPN import profilu2-pl.png

Klikając … w sekcji

Plik źródłowy:

można wybrać plik w formacie .ovpn.

W sekcji

Importuj jako:

można wybrać nazwę pliku lub dowolną własną nazwę, która będzie wyświetlana w oknie klienta dla tego połączenia.

Zakończ przyciskiem Importuj.

Datei:Klient SSL-VPN ustawienia ogólne-pl.png

Jeśli kilka profili VPN ma być używanych jednocześnie, należy dodać dodatkowe sterowniki TAP:

Lewy przycisk myszy na ikonę koła zębatego
Menu {spc

Klikając … w sekcji

Plik źródłowy:

można wybrać plik w formacie .ovpn.

W sekcji

Importuj jako:

można wybrać nazwę pliku lub dowolną własną nazwę, która będzie wyświetlana w oknie klienta dla tego połączenia.

Zakończ przyciskiem Importuj.

Uwagi

Szyfrowanie

Domyślnie stosowana jest metoda AES128-CBC. Metodę szyfrowania można dostosować w profilu serwera lub/i klienta.

notempty

Dostosowanie domyślnego szyfru od wersji v12.2.2

notempty

Od wersji v12.2.2 ustawienie dla Szyfru dla połączenia danych nie zawiera już Blowfish-CBC.
Jeśli klient używa tego szyfru i nie obsługuje NCP, za pomocą którego szyfr jest negocjowany automatycznie, połączenie nie zostanie nawiązane. Szyfr musi zostać dostosowany.
Silnie zaleca się zaprzestanie używania szyfru BF-CBC, ponieważ uważany jest za niebezpieczny.
Jeśli szyfr BF-CBC ma być używany mimo wszystko, można go wybrać jawnie.
Dostosowanie na UTM przyciskiem odpowiedniego połączenia w zakładce Ogólne w polu Szyfr dla połączenia danych.

Datei:UTM v12.6 SSL-VPN Roadwarrior Edycja SSL-VPN domyślne-pl.png

Szyfr i skrót z ustawieniami Domyślne

notempty

Niezgodne, jeśli strona przeciwna szyfruje tylko za pomocą Blowfish

Datei:UTM v12.6 SSL-VPN Roadwarrior Edycja SSL-VPN Blowfish-pl.png

Szyfr z ustawieniami kompatybilnymi z Blowfish

notempty

Nie zalecane

Datei:UTM v12.6 SSL-VPN Roadwarrior Edycja SSL-VPN AES128-pl.png

notempty

Ustawienie zalecane
Muszą być również skonfigurowane na stronie przeciwnej

notempty

Parametry muszą być identyczne po stronie serwera i klienta. W przeciwnym razie transfer danych nie jest możliwy.

Metoda skrótu

Domyślnie stosowana jest metoda skrótu SHA256. Metodę skrótu można dostosować w profilu serwera lub/i klienta.

notempty

Parametry muszą być identyczne po stronie serwera i klienta. W przeciwnym razie transfer danych nie jest możliwy.

QoS

Dla połączenia VPN można ustawić pola TOS dla automatycznego QoS w pakietach. To ustawienie można włączyć w ustawieniach połączenia VPN pod "Zaawansowane".

Uwaga dotycząca routerów/modemów przed urządzeniem

Często występują problemy ze stabilnością połączenia, jeśli router/modem przed urządzeniem ma również aktywną zaporę sieciową. Proszę wyłączyć wszelkie funkcje zapory sieciowej na tych urządzeniach.

notempty

Należy upewnić się, że wymagane porty są przekierowywane.

IPv6 dla połączeń przychodzących

W ustawieniach serwera Roadwarrior w sekcji Ogólne / Protokół można aktywować protokół UDP6 lub TCP6 dla IPv6.

Korzystanie z wielu adresów IP w różny sposób

Jeśli dostępnych jest kilka publicznych adresów IP, porty różnych adresów IP można wykorzystywać w różny sposób (np. dla reverse proxy i VPN)

Może to być pomocne, ponieważ połączenia do niektórych portów z zagranicy są czasami blokowane. Połączenia do portu 443 są jednak zazwyczaj dozwolone

.

W tym celu reguła reverse proxy musi wyraźnie określać, że external-interface konkretnego IP ma być używany jako cel. Do innego zastosowania ruch jest przekierowywany za pomocą DestNAT, czyli ruch przychodzi na port 443, ale następnie jest przekierowywany na inny port (np. 1194 dla VPN) za pomocą reguły filtra pakietów.

#	Źródło	Cel	Usługa	NAT	Logging	Akcja
	internet	external-interface-ip3	openvpn-tcp	DN Obiekt sieciowy: external-interface-ip1 Usługa: https	3/Min	Accept	On
	internet	external-interface-ip2	https		3/Min	Accept	On

Troubleshooting

Wskazówki dotyczące rozwiązywania problemów z SSL-VPN można znaleźć w Przewodniku po rozwiązywaniu problemów SSL-VPN (dokument PDF).

Connection Rate Limit

Drosselung von Zugriffen von bestimmten Quell-IPs auf wiederkehrende Ports

notempty

The function is still in the testing phase and will be further expanded.
The function can initially only be configured via the CLI

The function aims to protect against attacks.
SSL-VPN accesses can be protected against aggressive scans or login attempts, for example.

From v12.6.2, the UTM can limit the number of TCP and/or UDP connections from an external IP address to one port.
The following conditions apply:

Only incoming connections for which a default route exists are monitored
The connections from an IP address to a port of the UTM are counted within one minute
When activated, 5 connections / connection attempts per minute are permitted.
The connections are then limited:
- The additionally permitted connections are distributed evenly within 60 seconds of the first connection.
- With a CONNECTION_RATE_LIMIT value of 20, an additional connection is added every 3 seconds.
- 10 seconds after the first login, 3 further connections could be established (each from the same IP address to the same destination port)
Blocking an IP address only affects access to the port that has been used too often.

Other ports can still be accessed.

The function is activated by default for new installations on 20 UDP connections / minute on all ports
For Updates the function must be manually activated

extc-Variable	Default	Description
CONNECTION_RATE_LIMIT_TCP	0	Number of permitted TCP connections of an IP address per port 0 = Function deactivated, no blocking is performed
CONNECTION_RATE_LIMIT_TCP_PORTS		Ports to be monitored. Empty by default=all ports would be monitored (if activated). Individual ports are separated by spaces: [ 1194 1195 ]
CONNECTION_RATE_LIMIT_UDP	20 / 0 Default setting for new installations from v12.6.2: 20 For update installations the value is 0, so the function is deactivated.	Number of permitted UDP connections of an IP address per port
CONNECTION_RATE_LIMIT_UDP_PORTS		Ports to be monitored. Empty by default=all ports are monitored (only for new installations!). Individual ports are separated by spaces: [ 1194 1195 ]

Configuration with CLI commands

CLI command	Function
extc value get application securepoint_firewall Alternatively as root user: spcli extc value get application securepoint_firewall \| grep RATE	Lists all variables of the securepoint_firewall application. The variables beginning with CONNECTION_RATE_LIMIT_ are responsible for the connection limit. application \|variable \|value --------------------+-------------------------------+----- securepoint_firewall \|… \|… \|CONNECTION_RATE_LIMIT_TCP \|0 \|CONNECTION_RATE_LIMIT_TCP_PORTS\| \|CONNECTION_RATE_LIMIT_UDP \|20 \|CONNECTION_RATE_LIMIT_UDP_PORTS\|
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 system update rule	Limits the allowed number of TCP connections from a single IP address to a specific port to 20 per minute A change is made directly by a rule update. The value must not be set to 0 first!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 0 system update rule	Deactivates the monitoring of TCP connections
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] system update rule	Restricts the monitoring of TCP connections to ports 443 and 11115 There must be spaces before and after the square brackets [ ]!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ ] system update rule	There must be spaces before and after the square brackets [ ]!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 system update rule	Limits the allowed number of UDP connections from a single IP address to a specific port to 20 per minute Default setting for new installations from v12.6.2: 20 For update installations the value is 0, so the function is deactivated. A change is made directly by a rule update. The value must not be set to 0 first!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 0 system update rule	Deactivates the monitoring of UDP connections
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ 1194 1195 ] system update rule	Restricts the monitoring of UDP connections to ports 1194 and 1195. (Example for 2 created SSL-VPN tunnels). There must be spaces before and after the square brackets [ ]!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule	There must be spaces before and after the square brackets [ ]!
extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_TCP_PORTS value [ 443 11115 ] extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP value 20 extc value set application securepoint_firewall variable CONNECTION_RATE_LIMIT_UDP_PORTS value [ ] system update rule notempty Finally, the CLI command system update rule must be entered so that the values in the rules are applied.	For example, to allow a maximum of 20 connections per minute per IP address and port. For TCP, monitoring is restricted to ports 443 and 11115. All ports are monitored for UDP connections.