Wechseln zu:Navigation, Suche
Wiki
 
(19 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
TODO: Screenshots
+
== Informationen ==
 +
Letze Anpassung zur Version: '''11.7'''
 +
<br>
 +
Bemerkung: Funktions- und Designanpassung
 +
<br>
 +
Vorherige Versionen: [[UTM/VPN/IPSec-Roadwarrior_v11.6 | 11.6.12]]
 +
<br>
  
 
== Einleitung ==
 
== Einleitung ==
Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierung über XAuth - also mit einem Usernamen und einem Passwort. Im Falle von iOS ist diese Authentifizierungsmethode sogar zwingend notwendig, um natives IPsec benutzen zu können. Deshalb soll hier dargelegt werden, wie in der Securepoint UTM V11 eine solche Verbindung eingerichtet wird.
+
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.  
 +
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
  
== Regelwerk ==
+
Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierung über XAuth - also mit einem Usernamen und einem Passwort. Im Falle von iOS(iPhone/iPad) ist diese Authentifizierungsmethode sogar zwingend notwendig, um natives IPsec benutzen zu können. Deshalb soll hier dargelegt werden, wie in der Securepoint UTM V11 eine solche Verbindung eingerichtet wird.
Zunächst kümmern wir uns um das Regelwerk. Dazu brauchen wir ein Netzwerk-Objekt, das den Client im Regelwerk repräsentiert. Dieser soll hier beispielhaft IPs aus dem Subnetz 192.168.255.0/24 bekommen. Hierzu gehen wir folgendermaßen vor:
 
  
* Öffnen Sie Firewall -> Portfilter
+
== Konfiguration einer IPSec XAuth Verbindung ==
* Gehen Sie auf den Karteireiter "Netzwerkobjekte"
+
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung  hinzugefügt werden.
* Legen Sie durch Klick auf den Button "+Objekt hinzufügen" ein neues Objekt an:
 
  
[[Datei:Ipsec-xauth-nw-objekt.png|200px|thumb|center|Netzwerkobjekt für die Clients]]
+
===Einrichtungsassistent===
 +
====Schritt 1====
 +
[[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]]
 +
<br>
 +
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
 +
*'''Roadwarrior'''
 +
*Site to Site
 +
Für die Konfiguration einer Roadwarrior Verbindung wird diese ausgewählt.
 +
<div style="clear: both;"></div>
 +
====Schritt 2====
 +
[[Datei:IPSec_XAuth_Verbindung_.png |350px|thumb|right| Einrichtungsschritt 2]]
 +
<br>
 +
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
 +
Bei der Auswahl des Verbindungstyps wählt man IPSec XAuth aus.
 +
<div style="clear: both;"></div>
 +
====Schritt 3====
 +
[[Datei:IPSec_xauth_schritt_3.png |350px|thumb|right| Einrichtungsschritt 3]]
 +
<br>
 +
Im Installationsschritt 3 wird die lokale Gateway ID angegeben.
 +
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
 +
<div style="clear: both;"></div>
 +
====Schritt 4====
 +
[[Datei:IPSec_XAuth_Schritt_4.png |350px|thumb|right| Einrichtungsschritt 4]]
 +
<br>
 +
Im Installationsschritt 4 wird eine IP-Adresse oder ein Netzwerk angegeben. Der Client erhält dann die angegebene IP-Adresse oder eine IP-Adresse aus dem angegebenen Pool. Anschließend kann der Einrichtungsassistent abgeschlossen werden.
 +
<div style="clear: both;"></div>
 +
=====Nachträgliche Anpassung=====
 +
Die Konfiguration der Subnetze hängt vom verwendeten Client ab. Es kann bzw. muss lokal entweder das entsprechende interne Netz oder mit 0.0.0.0/0 der gesamte ipv4-Adressraum konfiguriert werden. Für das entfernte Subnetz muss entweder ein entsprechendes Subnetz oder eine einzelne IP vergeben werden. Folgende Konfigurationen sind möglich:
  
 +
[[Datei:Ipsec-xauth-phase2-ios.png |200px|thumb|right|iOS]]
  
Jetzt können wir Firewall-Regeln erzeugen, und zwar auf dem Reiter "PORTFILTER":
+
[[Datei:Ipsec-xauth-phase2-android.png |200px|thumb|right|Android]]
  
[[Datei:Ipsec-xauth-fw-regel.png|200px|thumb|center|Netzwerkobjekt für die Clients]]
+
[[Datei:Ipsec-xauth-phase2-windows.png |200px|thumb|right|Windows mit Greenbow]]
  
Wichtig ist, dass unter Firewall -> Implizierte Regeln die für IPSec notwendigen Protokolle freigeschaltet werden:
+
<div style="clear: both;"></div>
 
+
=== Benutzer und Gruppe anlegen ===
[[Datei:Ipsec-xauth-implizierte-regeln.png|200px|thumb|center|implizierte Regeln]]
+
====Gruppe====
 
+
[[Datei:IPSec_XAuth_Gruppe.png‎|thumb|300px|IPSec XAuth Einstellungen für die Gruppe]]
Sollen alle VPN-Clients Vollzugriff auf das Netz haben, dann kann dies hier auf dem Karteireiter IPSEC TRAFFIC eingestellt und auf die Anlage von Netzwerkobjekt und Portfilterregel verzichtet werden.
+
<br>
 
+
Unter Authentifizierung -> Benutzer -> Gruppen muss für die Benutzer, die auf den Roadwarrior zugreifen sollen, zunächst eine '''Gruppe''' hinzugefügt werden. Die Gruppe muss die Berechtigung '''IPSEC XAUTH''' erhalten.
== Benutzer ==
+
<div style="clear: both;"></div>
 
+
====Benutzer====
*Öffnen Sie die Userverwaltung unter Authentifizierung -> Benutzer
+
[[Datei:IPSec_XAuth_Benutzer.png‎|thumb|300px|IPSec XAuth Einstellungen für den Benutzer]]
*Zunächst muss eine Gruppe angelegt werden, der die Berechtigung zum Aufbau einer ipsec-Verbindung zugeteilt wird. Wechseln Sie dazu auf den Reiter "Groups".
+
<br>
*Fügen Sie durch einen Klick auf "+Add Group" eine neue Gruppe hinzu. Nennen Sie diese "ipsec-xauth" und fügen Sie die Berechtigung IPSEC-XAUTH hinzu.
+
Anschließend wird unter Authentifizierung -> Benutzer ein Benutzer angelegt, der sich mit dem Roadwarrior verbinden soll.
 
+
Man vergibt einen Namen und ein Passwort für den Benutzer und fügt diesen der soeben erstellten Gruppe hinzu.
[[Datei:Ipsec-xauth-usergruppe.png|200px|thumb|center|Usergruppe]]
+
<div style="clear: both;"></div>
 
+
=== Regelwerk ===
:Wechseln Sie nun auf den Karteireiter "Benutzer". Legen Sie einen User an und fügen die Gruppe ipsec-xauth hinzu, indem Sie diese mit der Maus markieren:
+
[[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizierte Regeln]]
 
+
<br>
[[Datei:Ipsec-xauth-benutzer-allgemein.png |200px|thumb|center|Allgemeine Benutzereinstellungen]]
+
Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.
 
+
<div style="clear: both;"></div>
[[Datei:Ipsec-xauth-benutzer-gruppe.png |200px|thumb|center|Hinzufügen der Gruppe]]
+
[[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizierte Regeln]]
 
+
<br>
== Verbindung anlegen ==
+
Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
 
+
<div style="clear: both;"></div>
* Öffnen Sie die Übersicht der IPSec-Verbindungen unter VPN -> IPSec
+
==== Netzwerkobjekt anlegen ====
* Fügen Sie durch Klick auf die Schaltfläche "+Roadwarrior" eine neue Verbindung zu:
+
[[Datei:Netzwerkobjekt XAuth.png|thumb|300px|Netzwerkobjekt]]
 
+
<br>
* Schritt 1: Wählen Sie einen Namen für die Verbindung und wählen Sie als Connection Type "IKEv1-Xauth" aus
+
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
 
+
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
[[Datei:Ipsec-xauth-assistent-step1.png|200px|thumb|left|Alternativer Text]]
+
* Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
 
+
* Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben. In diesem Beispiel wird also das Netzwerk 192.168.255.0/24 ausgewählt.
* Schritt 2: Wählen Sie als Verschlüsselung 3des/md5/modp1024 aus
+
<div style="clear: both;"></div>
 
 
[[Datei:Ipsec-xauth-assistent-step2.png|200px|thumb|left|Alternativer Text]]
 
 
 
* Schritt 3: Geben Sie für die Authentifizierung einen Preshared Key an
 
 
 
[[Datei:Ipsec-xauth-assistent-step3.png|200px|thumb|left|Alternativer Text]]
 
 
 
* Schritt 4: Die Gateway-IDs können im Normalfall so gelassen werden.
 
 
 
[[Datei:Ipsec-xauth-assistent-step4.png|200px|thumb|left|Alternativer Text]]
 
 
 
* Schritt 5: Die Konfiguration der Subnetze hängt vom verwendeten Client ab. Es kann bzw. muss lokal entweder das entsprechende interne Netz oder mit 0.0.0.0/0 der gesamte ipv4-Adressraum konfiguriert werden. Für das entfernte Subnetz muss entweder ein entsprechendes Subnetz oder eine einzelne IP vergeben werden. Folgende Konfigurationen sind möglich:
 
 
 
[[Datei:Ipsec-xauth-assistent-step5.png|200px|thumb|left|Alternativer Text]]
 
 
 
===Apple iOS:===
 
* Lokales Subnetz: 0.0.0.0/0
 
* Entferntes Subnetz: 192.168.255.0/24
 
 
 
===Android:===
 
* Lokales Subnetz: 172.31.0.0/24
 
* Entferntes Subnetz: 192.168.255.0/24
 
* Android-Clients funktionieren auch mit der Einstellung für iOS.
 
 
 
===Windoes IPSec-Client (z.B. Greenbow):===
 
* Lokales Subnetz: 172.31.0.0/24
 
* Entferntes Subnetz: 192.168.255.1/32
 
  
 +
==== Portfilterregel anlegen ====
 +
[[Datei:IPSec XAuth regel.png|thumb|350px|Portfilterregel]]
 +
<br>
 +
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem IPSec-Netzwerk in das interne Netzwerk zuzulassen.
 +
* Als Quelle wird das IPSec-Netzwerk ausgewählt.
 +
* Als Ziel wird das interne Netzwerk ausgewählt.
 +
* Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
 +
<div style="clear: both;"></div>
 
== Client-Konfiguration ==
 
== Client-Konfiguration ==
=== iOS ===
+
=== iOS (iPhone/iPad) ===
 
+
[[Datei:IPhone-IPSec.PNG|200px|thumb|right|IPsec-Einstellungen unter iOS]]
Die Konfiguration von VPN-Verbindungen erreichen Sie unter Einstellungen -> Allgemein -> Netzwerk -> VPN. Dort können Sie eine VPN-Verbindung hinzufügen. Wählen Sie IPsec als Art der Verbindung und füllen Sie die Eingabemaske entsprechend aus:
+
<br>
 
+
Die Konfiguration von VPN-Verbindungen wird unter Einstellungen -> Allgemein -> Netzwerk -> VPN erreicht. Dort lässt sich nun eine VPN-Verbindung hinzufügen. Als Art der Verbindung wird IPSec ausgewählt und die Eingabemaske wird entsprechend ausgefüllt:
[[Datei:IOS-ipsec.PNG|200px|thumb|center|IPsec-Einstellungen unter iOS]]
 
 
 
Die Beschreibung ist quasi der Name der Verbindung und ist frei wählbar. Account und Kennwort entsprechen dem Userkonto auf der Appliance. Server ist die IP bzw. der Hostname auf dem externen Interface. Shared Secret ist der innerhalb der IPSec-Verbindung konfigurierte Preshared Key.
 
  
 +
Die Beschreibung ist der Name der Verbindung und ist frei wählbar. Account und Kennwort entsprechen dem Userkonto auf der Appliance. Server ist die IP bzw. der Hostname auf dem externen Interface. Shared Secret ist der innerhalb der IPSec-Verbindung konfigurierte Preshared Key.
 +
<div style="clear: both;"></div>
 
=== Android ===
 
=== Android ===
 +
[[Datei:VPN XAuth Android 6.jpg|200px|thumb|right|VPN Einstellungen unter Android ]]
 +
<br>
 +
Die VPN-Einstellungen werden bei Android 6.0.x unter Einstellungen -> weitere Verbindungseinstellungen -> VPN erreicht.
  
Die VPN-Einstellungen erreichen Sie unter Android 4.0.x unter Einstellungen -> Mehr -> VPN.
+
Nun kann eine VPN Verbindung hinzugefügt werden. Anschließend wird der Verbindungstyp "IPSEC Xauth PSK" ausgewählt. Hier wird ein Name für die Verbindung ausgewählt, die Serveradresse (das externe Interface der Appliance) und der Preshared Key wird eingetragen.
 
 
Fügen Sie ein VPN hinzu. Wählen Sie als Verbindungstyp "IPSEC Xauth PSK". Tragen Sie anschließend einen Namen für die Verbindung, die Serveradresse (das externe Interface der Appliance) und den innerhalb der IPSec-Verbindung konfigurierten Preshared Key ein.
 
  
 
Bei Aufbau der Verbindung werden dann Username und Passwort abgefragt. Dies kann wahlweise für spätere Anmeldungen gespeichert werden.
 
Bei Aufbau der Verbindung werden dann Username und Passwort abgefragt. Dies kann wahlweise für spätere Anmeldungen gespeichert werden.
  
{|
+
<div style="clear: both;"></div>
|[[Datei:2012-11-05 14-08-59.png|200px|thumb|center|Einrichtung von Server und Verbindungsart]]
 
|[[Datei:2012-11-05 14-11-04.png |200px|thumb|center|Einrichtung des Preshared Key]]
 
|[[Datei:2012-11-05 14-29-12.png |200px|thumb|left|Eingabe von Usernamen und Passwort]]
 
|}
 
  
aus Sicherheitsgründen ist unter Android die Anlage einer VPN-Verbindung nur möglich, wenn auch eine Bildschirmsperre konfiguriert ist.
+
<div>
 +
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
 +
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Aus Sicherheitsgründen wird eine Bildschirmsperre für das Gerät verlangt.</span></div>
 +
</div>
 +
<div style="clear: both;"></div>
  
 
=== Greenbow-Client (Windows) ===
 
=== Greenbow-Client (Windows) ===
 +
[[Datei:GREENBOW.PNG|300px|thumb|right|Phase 1: Konfiguration von Remote Gateway und PSK]]
 +
<br>
 +
Nach Installation des Greenbow-Clients muss gegebenenfalls noch von der Verbindungsanzeige auf die Konfigurationsanzeige umgestellt werden (Klick auf [+])
  
Nach Installation des Greenbow-Clients müssen Sie diesen ggf. von der Verbindungsanzeige noch auf die Konfigurationsanzeige umstellen (Klick auf [+])
+
Jetzt kann die bestehende Testverbindung bearbeitet oder eine neue Verbindung angelegt werden.
 
 
Jetzt können Sie die bestehende Testverbindung bearbeiten oder eine neue Verbindung anlegen.
 
 
 
[[Datei:Greenbow-1.png|200px|thumb|center|Phase 1: Konfiguration von Remote Gateway und Preshared Key]]
 
  
Konfigurieren Sie in der Phase 1 zunächst das Remote Gateway (externe Adresse Ihrer Appliance und dann den Preshared Key. Passen Sie dann das IKE-Proposal wie in der Abbildung an.
 
  
[[Datei:Greenbow-2.png |200px|thumb|center|Phase 2: Konfiguration von Usernamen und Passwort]]
+
In der Phase 1 wird zunächst das Remote Gateway (externe IP-Adresse Ihrer Appliance) und dann der Preshared Key konfiguriert. Anschließend werden noch die IKE-Proposals angepasst.
 +
<div style="clear: both;"></div>
  
Auf dem Karteireiter "Erweitert" können Sie entweder Userdaten hinterlegen oder bestimmen, dass bei Einwahl ein Fenster zur Eingabe der Authentifizierung erscheint.
+
[[Datei:GREENBOW2.PNG |300px|thumb|right|Phase 2: Konfiguration von Usernamen und Passwort]]
 +
<br>
 +
Auf dem Karteireiter "Erweitert" lassen sich entweder Userdaten hinterlegen oder es kann ausgewählt werden, dass bei der Einwahl ein Fenster zur Eingabe der Authentifizierung erscheint.
  
[[Datei:Greenbow-3.png |200px|thumb|center|Phase 3: Konfiguration von lokaler IP und entferntem Subnetz]]
+
<div style="clear: both;"></div>
 +
[[Datei:GREENBOW3.PNG |300px|thumb|right|Konfiguration von lokaler IP und entferntem Subnetz]]
 +
<br>
 +
In den Einstellungen der Phase 2 wird die lokale IP-Adresse des VPN-Clients sowie das entfernte Subnetz konfiguriert.
 +
<div style="clear: both;"></div>
  
In den Einstellungen der Phase 2 konfigurieren Sie die lokale IP-Adresse des VPN-Clients sowie das entfernte Subnetz wie in der Abbildung.
+
== Hinweis zu vorgeschalteten Routern/Modems==
 +
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität

Aktuelle Version vom 10. Juli 2017, 10:52 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.

Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierung über XAuth - also mit einem Usernamen und einem Passwort. Im Falle von iOS(iPhone/iPad) ist diese Authentifizierungsmethode sogar zwingend notwendig, um natives IPsec benutzen zu können. Deshalb soll hier dargelegt werden, wie in der Securepoint UTM V11 eine solche Verbindung eingerichtet wird.

Konfiguration einer IPSec XAuth Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Schritt 1

Einrichtungsschritt 1


Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.

  • Roadwarrior
  • Site to Site

Für die Konfiguration einer Roadwarrior Verbindung wird diese ausgewählt.

Schritt 2

Einrichtungsschritt 2


Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen. Bei der Auswahl des Verbindungstyps wählt man IPSec XAuth aus.

Schritt 3

Einrichtungsschritt 3


Im Installationsschritt 3 wird die lokale Gateway ID angegeben. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.

Schritt 4

Einrichtungsschritt 4


Im Installationsschritt 4 wird eine IP-Adresse oder ein Netzwerk angegeben. Der Client erhält dann die angegebene IP-Adresse oder eine IP-Adresse aus dem angegebenen Pool. Anschließend kann der Einrichtungsassistent abgeschlossen werden.

Nachträgliche Anpassung

Die Konfiguration der Subnetze hängt vom verwendeten Client ab. Es kann bzw. muss lokal entweder das entsprechende interne Netz oder mit 0.0.0.0/0 der gesamte ipv4-Adressraum konfiguriert werden. Für das entfernte Subnetz muss entweder ein entsprechendes Subnetz oder eine einzelne IP vergeben werden. Folgende Konfigurationen sind möglich:

iOS
Android
Windows mit Greenbow

Benutzer und Gruppe anlegen

Gruppe

IPSec XAuth Einstellungen für die Gruppe


Unter Authentifizierung -> Benutzer -> Gruppen muss für die Benutzer, die auf den Roadwarrior zugreifen sollen, zunächst eine Gruppe hinzugefügt werden. Die Gruppe muss die Berechtigung IPSEC XAUTH erhalten.

Benutzer

IPSec XAuth Einstellungen für den Benutzer


Anschließend wird unter Authentifizierung -> Benutzer ein Benutzer angelegt, der sich mit dem Roadwarrior verbinden soll. Man vergibt einen Namen und ein Passwort für den Benutzer und fügt diesen der soeben erstellten Gruppe hinzu.

Regelwerk

Implizierte Regeln


Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.

Implizierte Regeln


Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.

Netzwerkobjekt anlegen

Netzwerkobjekt


Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.

  • Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
  • Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
  • Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben. In diesem Beispiel wird also das Netzwerk 192.168.255.0/24 ausgewählt.

Portfilterregel anlegen

Portfilterregel


Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem IPSec-Netzwerk in das interne Netzwerk zuzulassen.

  • Als Quelle wird das IPSec-Netzwerk ausgewählt.
  • Als Ziel wird das interne Netzwerk ausgewählt.
  • Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.

Client-Konfiguration

iOS (iPhone/iPad)

IPsec-Einstellungen unter iOS


Die Konfiguration von VPN-Verbindungen wird unter Einstellungen -> Allgemein -> Netzwerk -> VPN erreicht. Dort lässt sich nun eine VPN-Verbindung hinzufügen. Als Art der Verbindung wird IPSec ausgewählt und die Eingabemaske wird entsprechend ausgefüllt:

Die Beschreibung ist der Name der Verbindung und ist frei wählbar. Account und Kennwort entsprechen dem Userkonto auf der Appliance. Server ist die IP bzw. der Hostname auf dem externen Interface. Shared Secret ist der innerhalb der IPSec-Verbindung konfigurierte Preshared Key.

Android

VPN Einstellungen unter Android


Die VPN-Einstellungen werden bei Android 6.0.x unter Einstellungen -> weitere Verbindungseinstellungen -> VPN erreicht.

Nun kann eine VPN Verbindung hinzugefügt werden. Anschließend wird der Verbindungstyp "IPSEC Xauth PSK" ausgewählt. Hier wird ein Name für die Verbindung ausgewählt, die Serveradresse (das externe Interface der Appliance) und der Preshared Key wird eingetragen.

Bei Aufbau der Verbindung werden dann Username und Passwort abgefragt. Dies kann wahlweise für spätere Anmeldungen gespeichert werden.

Alert-yellow.png
Aus Sicherheitsgründen wird eine Bildschirmsperre für das Gerät verlangt.

Greenbow-Client (Windows)

Phase 1: Konfiguration von Remote Gateway und PSK


Nach Installation des Greenbow-Clients muss gegebenenfalls noch von der Verbindungsanzeige auf die Konfigurationsanzeige umgestellt werden (Klick auf [+])

Jetzt kann die bestehende Testverbindung bearbeitet oder eine neue Verbindung angelegt werden.


In der Phase 1 wird zunächst das Remote Gateway (externe IP-Adresse Ihrer Appliance) und dann der Preshared Key konfiguriert. Anschließend werden noch die IKE-Proposals angepasst.

Phase 2: Konfiguration von Usernamen und Passwort


Auf dem Karteireiter "Erweitert" lassen sich entweder Userdaten hinterlegen oder es kann ausgewählt werden, dass bei der Einwahl ein Fenster zur Eingabe der Authentifizierung erscheint.

Konfiguration von lokaler IP und entferntem Subnetz


In den Einstellungen der Phase 2 wird die lokale IP-Adresse des VPN-Clients sowie das entfernte Subnetz konfiguriert.

Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität