Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/IPSec-S2E v11.8: Unterschied zwischen den Versionen

Aus Securepoint Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint UTM IPSec Site-to-End}}
== Informationen ==
==Einleitung==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Funktions- und Designanpassung
<br>
Vorherige Versionen: [[UTM/VPN/IPSec-S2E_v11.6 | 11.6.12]]
<br>


Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End oder Roadwarrior genannt.
== Einleitung ==
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.  
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.


Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
In dieser Schritt für Schritt Anleitung wird die Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[IPSec Arten| mögliche IPSec Verbindungen]].
Für native IPSec Verbindungen wird ein separates Client Programm benötigt. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet bereits einen Client für natives IPSec.


In dieser Schritt für Schritt Anleitung wird Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Zur Erstellung der Konfiguration wird das Administrations-Webinterface benutzt.
==Konfiguration einer native IPSec Verbindung==
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung  hinzugefügt werden.


Für native IPSec Verbindungen benötigen Sie ein separates Client Programm. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet schon einen Client für natives IPSec.
===Einrichtungsassistent===
====Schritt 1====
[[Datei:IPSec Verbindung hinzufügen.png |350px|thumb|right| Einrichtungsschritt 1]]
<br>
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*'''Roadwarrior'''
*Site to Site
Für die Konfiguration einer Roadwarrior Verbindung wird diese ausgewählt.
<div style="clear: both;"></div>


==Erstellung der native IPSec Verbindung mit dem Assistenten==
====Schritt 2====
[[Datei:IPSec_Native_Schritt_2.png |350px|thumb|right| Einrichtungsschritt 2]]
<br>
Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen.
Bei der Auswahl des Verbindungstyps wählt man IKEv1 Native aus.
<div style="clear: both;"></div>


====Schritt 1 - Regelwerk====
====Schritt 3====
Wichtig ist, dass unter Firewall -> Implizierte Regeln die für IPSec notwendigen Protokolle freigeschaltet werden:
[[Datei:IPSec_Native_Schritt_3.png |350px|thumb|right| Einrichtungsschritt 3]]
 
<br>
[[Datei:Ipsec-native-implizite-regeln.png|200px|thumb|center|implizierte Regeln]]
Lokale Einstellungen für die Roadwarrior Verbindung können im Schritt 3 getätigt werden. Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.
 
<div style="clear: both;"></div>
 
====Schritt 4====
Wählen Sie in der Navigationsleiste des Administrations-Webinterface den Punkt '''VPN''' und in dem Dropdownmenü den Eintrag '''IPSec'''. Es öffnet sich das Fenster '''IPSec''' in dem alle angelegten IPSec-Verbindungen aufgelistet sind.
[[Datei:IPSec_Native_Schritt_4.png |350px|thumb|right| Einrichtungsschritt 4]]
Für die neue Roadwarrior Verbindung klicken Sie auf die Schaltfläche '''+ Roadwarrior''' im unteren rechten Bereich des Fensters.
<br>
Es öffnet sich das Fenster '''IPSec Roadwarrior hinzufügen'''. Hierbei handelt es sich um einen Assistenten, der Sie mit fünf Schritten durch den Erstellungsvorgang führt.
Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen.
 
Hier wird die Remote Gateway ID sowie eine IP-Adresse oder ein Netzwerk angegeben. Der Client erhält dann die angegebene IP-Adresse oder eine IP-Adresse aus dem angegebenen Pool. Anschließend kann der Einrichtungsassistent abgeschlossen werden.
====Schritt 2 - Name und Typ====
<div style="clear: both;"></div>
[[Datei:IPSec_rw_wizard_step1.png|right|thumb|300px|Name angeben und Typ auswählen]]
=== Regelwerk ===
* Geben Sie im Feld '''Namen''' eine Bezeichnung für die VPN Verbindung an.
[[Datei:Implizierte_Regeln_VPN.png|thumb|300px|Implizierte Regeln]]
* Wählen Sie aus dem Dropdownmenü '''Verbindungstyp''' den Eintrag '''IKEv1 - Native'''.
<br>
* Klicken Sie dann auf '''Weiter'''.
Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.  
<br /><br />
<div style="clear: both;"></div>
<br /><br />
[[Datei:Implizite_Regeln_IPSec.png|thumb|300px|Implizierte Regeln]]
<br /><br />
<br>
 
Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.
====Schritt 3 - Verschlüsselung====
<div style="clear: both;"></div>
[[Datei:IPSec_rw_wizard_step2.png|right|thumb|300px|Verschlüsselung]]
==== Netzwerkobjekt anlegen ====
In diesem Schritt werden die Verschlüsselungsparameter abgefragt. Sie können die voreingestellten Parameter übernehmen. Höhere Sicherheit erreichen Sie aber durch folgende Werte.
[[Datei:IPSec_Netzwerkobjekt_native.png|thumb|300px|Netzwerkobjekt]]
* Im Feld '''Verschlüssselung''' ist '''3des''' voreingestellt. Hier sollten Sie einen '''aes''' Eintrag wählen.
<br>
* Im Feld '''Authentifizierung''' ist '''md5''' voreingestellt. Hier sollten Sie einen '''sha''' Eintrag wählen.
Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.
* Die '''Diffie-Hellman Group''' Einstellung '''modp1024''' kann beibehalten werden.
* Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
<br /><br />
* Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
 
* Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben. In diesem Beispiel wird also das Netzwerk 192.168.255.0/24 ausgewählt.
====Schritt 4 - Authentifizierung====
<div style="clear: both;"></div>
[[Datei:IPSec_rw_wizard_step3_psk.png|left|thumb|230px|PSK]]
==== Portfilterregel anlegen ====
[[Datei:IPSec_rw_wizard_step3_cert.png|center|thumb|230px|Zertifikat]]
[[Datei:IPSec Native Portfilter.png|thumb|350px|Portfilterregel]]
[[Datei:IPSec_rw_wizard_step3_rsa.png|right|thumb|230px|RSA Key]]
<br>
<br />
Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem IPSec-Netzwerk in das interne Netzwerk zuzulassen.
In diesem Schritt können Sie eine Authentifizierungsart wählen. Angeboten werden '''Pre-Shared-Key''' (PSK), '''x.509 Zertifikat''' und '''RSA-Schlüssel'''.
* Als Quelle wird das IPSec-Netzwerk ausgewählt.
Bei dem PSK Verfahren wird ein Kennwort benutzt, welches beiden VPN-Verbindungsstellen bekannt sein muss.
* Als Ziel wird das interne Netzwerk ausgewählt.
Bei der Zertifikat Methode authentifiziert sich der Roadwarrior durch ein Zertifikat, welches durch die Appliance ausgestellt worden ist und an den Roadwarrior weitergegeben wird.
* Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
RSA-Schlüssel ist ein asymmetrisches Schlüsselpaar. Die Appliance stellt ein Schlüsselpaar her, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der öffentliche Schlüssel wird dem Verbindungspartner übergeben.
<div style="clear: both;"></div>
* Wählen Sie die gewünschte Authentifizierungsmethode aus.
<div>
* Für die PSK Methode geben Sie das Kennwort in das Textfeld ein.
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
* Für das Zertifikatverfahren wählen Sie ein Zertifikat aus der Dropdownliste aus.
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Dem Roadwarrior muss zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. der Hostname mitgeteilt und die Authentifizierungsdaten übergeben werden.</span></div>
* Für die RSA Methode wählen Sie den Schlüssel, den die Appliance und der Roadwarrior verwenden. Benutzen Sie dafür die Dropdownfelder.
</div>
 
<div style="clear: both;"></div>
====Schritt 5 - Gateway IDs====
[[Datei:IPSec_rw_wizard_step4.png|right|thumb|300px|Gateways]]
Die Gateway IDs des lokalen und entfernten Gateways gehen mit in die Authentifizierung ein, daher müssen Sie diese hier auswählen.
* Wählen Sie im Dropdownfeld '''Local Gateway ID''' die Schnittstelle aus, über die die VPN Verbindung hergestellt wird. Dies ist meistens das externe Interface '''eth0'''. Durch den Button mit dem Stift können Sie auch Werte eingeben, die nicht in der Auswahlliste eingetragen sind.
* Wählen Sie im Dropdownfeld '''Remote Gateway ID''' die Auswahl '''0.0.0.0''' , da es sich bei Roadwarrior meistens um eine dynamische IP-Adresse handelt.
* Klicken Sie '''Weiter'''.  
<br />
 
 
====Schritt 6 - Zusätzliche Daten====
[[Datei:IPSec_rw_wizard_step5.png|right|thumb|300px|IP-Adressen]]
* Tragen Sie im Feld '''Lokales Netzwerk''' das Netzwerk ein, mit dem sich der Roadwarrior verbindet.
* Weisen Sie dem Roadwarrior eine IP-Adresse im Netzwerk zu. Benutzen Sie dazu das Feld '''Roadwarrior IP-Adresse'''.
* Klicken Sie '''Fertig'''.
<br /><br /><br /><br />
 
Die neu angelegte Roadwarrior Verbindung wird nun in der Übersicht des Fensters '''IPSec''' angezeigt.<br>
Über die Schaltflächen '''Phase 1''' und '''Phase 2''' können Sie die Einstellungen der Verbindung einsehen und ggf. ändern.
 
Dem Roadwarrior müssen Sie zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. den Hostnamen mitteilen und die Authentifizierungsdaten (PSK, Zertifikate, PSE Key) übergeben.

Version vom 10. Juli 2017, 10:45 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.12

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.

In dieser Schritt für Schritt Anleitung wird die Konfiguration einer Site-to-End Verbindung gezeigt. Der gewählte Verbindungstyp ist native IPSec. Für native IPSec Verbindungen wird ein separates Client Programm benötigt. Das Betriebssystem Microsoft Windows ab Version 7 beinhaltet bereits einen Client für natives IPSec.

Konfiguration einer native IPSec Verbindung

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "IPSec" eine IPSec Verbindung hinzugefügt werden.

Einrichtungsassistent

Schritt 1

Einrichtungsschritt 1


Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.

  • Roadwarrior
  • Site to Site

Für die Konfiguration einer Roadwarrior Verbindung wird diese ausgewählt.

Schritt 2

Einrichtungsschritt 2


Im Installationsschritt 2 wird ein Name für die Verbindung gewählt. Zudem wird die Authentifizierungsmethode ausgewählt. Hier hat man die Möglichkeit zwischen einem Pre-Shared-Key, Zertifikaten oder RSA-Schlüsseln zu wählen. Bei der Auswahl des Verbindungstyps wählt man IKEv1 Native aus.

Schritt 3

Einrichtungsschritt 3


Lokale Einstellungen für die Roadwarrior Verbindung können im Schritt 3 getätigt werden. Hier wird die lokale Gateway ID eingetragen und das lokale Netzwerk, welches über die VPN-Verbindung verbunden werden soll. Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine Schnittstelle sein.

Schritt 4

Einrichtungsschritt 4


Die Einstellungen für die Gegenstelle werden im Einrichtungsschritt 4 vorgenommen. Hier wird die Remote Gateway ID sowie eine IP-Adresse oder ein Netzwerk angegeben. Der Client erhält dann die angegebene IP-Adresse oder eine IP-Adresse aus dem angegebenen Pool. Anschließend kann der Einrichtungsassistent abgeschlossen werden.

Regelwerk

Implizierte Regeln


Unter Firewall -> Implizierte Regeln -> VPN können die Protokolle, welche für die Verbindung genutzt werden, aktiviert werden. Diese Implizierten Regeln geben die Ports, welche für IPSec Verbindungen genutzt werden, auf die WAN-Schnittstellen frei.

Implizierte Regeln


Unter Implizierte Regeln -> IPSec -> Accept kann zudem der Ein- und Ausgehende Traffic aller IPSec-Verbindung zugelassen werden. Kein NAT für IPSec Verbindungen nimmt hierbei zusätzlich alle IPSec Verbindungen vom NAT aus.

Netzwerkobjekt anlegen

Netzwerkobjekt


Unter Firewall -> Portfilter -> Netzwerkobjekte können neue Netzwerkobjekte angelegt werden.

  • Ein Netzwerkobjekt für das IPSec-Netzwerk wird angelegt, indem der Button Objekt hinzufügen betätigt wird.
  • Im Feld Name wird ein Name für das IPSec-Netzwerk eingetragen.
  • Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die Roadwarrior IP-Adresse oder der Roadwarrior Pool angegeben. In diesem Beispiel wird also das Netzwerk 192.168.255.0/24 ausgewählt.

Portfilterregel anlegen

Portfilterregel


Unter Firewall -> Portfilter -> Regel hinzufügen kann nun eine Regel erstellt werden, um den Zugriff aus dem IPSec-Netzwerk in das interne Netzwerk zuzulassen.

  • Als Quelle wird das IPSec-Netzwerk ausgewählt.
  • Als Ziel wird das interne Netzwerk ausgewählt.
  • Als Dienst wird der gewünschte Dienst bzw. die gewünschte Dienstgruppe ausgewählt.
Alert-yellow.png
Dem Roadwarrior muss zur Einrichtung der Verbindung auf seinem System die Einwahl IP-Adresse bzw. der Hostname mitgeteilt und die Authentifizierungsdaten übergeben werden.
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/IPSec-S2E_v11.8&oldid=13024