Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 5: Zeile 5:
Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.  
Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.  
   
   
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.


Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines eine der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische.
Zur Übersicht der möglichen Szenarien lesen sie bitte die Seite [[grafische Übersicht möglicher IPSec Verbindungen| Grafische Übersicht möglicher IPSec Verbindungen]].
Zur Übersicht der möglichen Szenarien finden sich Informatonen auf folgender Seite [[grafische Übersicht möglicher IPSec Verbindungen| Grafische Übersicht möglicher IPSec Verbindungen]].


Die Einstellungen können entweder über das Web-Interface oder über das Securitiy Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.
Die Einstellungen können entweder über das Web-Interface oder über das Securepoint Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.


== Mit der Appliance verbinden ==
== Mit der Appliance verbinden ==


Öffnen Sie einen Webbrowser und rufen Sie das Administrations-Webinterface der Securepoint Appliance auf. Die Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Haben Sie die Grundeinstellungen beibehalten, lautet die Adresse:  
Über einen Webbrowser wird das Administrations-Webinterface der Securepoint Appliance aufgerufen. Die aufzurufende Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Wurden die Grundeinstellungen beibehalten, lautet die Adresse:  


https://192.168.175.1:11115  
https://192.168.175.1:11115  
Beachten Sie, dass Sie das Protokoll HTTPS verwenden müssen.  
Hierbei sollte beachtet werden, dass das Protokoll HTTPS verwendet werden muss.  


Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, werden Sie von Ihrem Webbrowser gefragt, ob Sie den Ladevorgang fortsetzen möchten.  
Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, fragt der Webbrowser nach, ob der Vorgang fortgesetzt werden soll.


Bestätigen Sie diese Sicherheitsabfrage.  
Es ist nötig, diese Sicherheitsabfrage zu bestätigen.  


Loggen Sie sich auf der Startseite mit Ihrem Benutzernamen und Ihrem Kennwort ein.  
Anschließend kann die Anmeldung an der Hauptseite mit dem entsprechenden Benutzernamen und Kennwort erfolgen.  


Werkseinstellung:
Werkseinstellung:
Zeile 35: Zeile 35:
Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.
Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.


Wenn Sie eine dynamische Adresse benutzen und einen DynDNS Dienst nutzen, stellen Sie sicher, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. Ist diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.
Wird eine dynamische IP-Adresse in Verbindung mit einem DynDNS-Dienst genutzt, sollte sichergestellt werden, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. In diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.


=== Netzwerkobjekt anlegen ===
=== Netzwerkobjekt anlegen ===
Klicken Sie auf der Navigationsleise auf den Punkt Firewall und wählen Sie den Eintrag Portfilter vom Drop-down-Menü. Anschließen wählen Sie im Fenster den Tab Netzwerkobjekte.  
Um ein Netzwerkobjekt anzulegen muss in der Navigationsleise auf den Punkt Firewall geklickt werden und der Eintrag Portfilter aus dem Drop-down-Menü ausgewählt. Anschließend wird in diesem Fenster auf den Reiter Netzwerkobjekte gewechselt.


Folgende Objekte sind vorkonfiguriert:  
Folgende Objekte sind vorkonfiguriert:  
Zeile 44: Zeile 44:
external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network
external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network


# Legen Sie ein Netzwerkobjekt für das IPSec Netzwerk an, indem Sie auf den Button Objekt hinzufügen klicken.
# Ein Netzwerkobjekt für das IPSec Netzwerk wird angelegt, indem auf der Button Objekt hinzufügen betätigt wird
# Tragen Sie im Feld Name eine Bezeichnung für das IPSec-Netzwerk ein
# Im Feld Name wird eine Bezeichnung für das IPSec-Netzwerk eingetragen
# Wählen Sie als Typ VPN-Netzwerk und tragen Sie unter IP-Adresse die IP-Adresse des IPSec Netzwerkes ein.
# Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des IPSec Netzwerkes eingetragen
# Als Zone wählen Sie vpn-ipsec aus.
# Als Zone wird vpn-ipsec ausgewählt
# Sichern Sie die Einstellungen mit dem Button Speichern.  
# Die Einstellungen werden mit dem Button Speichern gesichert.  




Zeile 55: Zeile 55:
=== VPN-Verbindung anlegen ===
=== VPN-Verbindung anlegen ===


Zum Erstellen der IPSec-VPN-Verbindung nutzen Sie den Assistenten, der Sie durch den Erstellungsvorgang führt.  
Zum Erstellen der IPSec-VPN-Verbindung wird der Assistent genutzt, der den Nutzer durch den Erstellungsvorgang führt.  
<br><br>  
<br><br>  
# Klicken Sie in der Navigationsleiste auf den Punkt VPN und im Drop-down-Menü auf den Eintrag IPSec.
# In der Navigationsleiste wird unter dem Menüpunkt VPN der Eintrag IPSec aufgerufen.
# Klicken Sie nun unten auf den Button Site-to-Site.
# Anschließend wird die Schaltfläche Site-to-Site betätigt.
:Der Site-to-Site-Assistent öffnet sich
:Der Site-to-Site-Assistent öffnet sich
: 3. Tragen Sie in das Feld den Namen für die IPSec-Verbindung ein.
: 3. Im Namensfeld wird der Namen für die IPSec-Verbindung eingegeben
: 4. Tragen Sie in das Feld Remote Gateway die IP-Adresse oder den Hostnamen des entfernten Gateways ein.
: 4. In das Feld Remote Gateway wird die IP-Adresse oder der Hostnamen des entfernten Gateways eingegeben.
: Sie können auch statt der IP-Adresse das standardmäßig ausgewählte "any" im Feld übernehmen.
: Statt der IP-Adresse kann auch das standardmäßig ausgewählte "any" im Feld übernommen werden.
: 5. Klicken Sie auf Weiter.
: 5. Dies wird mit Weiter quittiert.


:[[Datei:ipsec_wiz_step1.png|none|thumb|350px|Assistent 1 - Name+Gateway]]
:[[Datei:ipsec_wiz_step1.png|none|thumb|350px|Assistent 1 - Name+Gateway]]
<br>
<br>
# Wählen Sie nun Ihre gewünschte Authentifizierung. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
# Nun kann die gewünschte Authentifizierung gewählt werden. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
# Tragen Sie den Pre-Shared-Key ein.
# Der Pre-Shared-Key wird eingetragen
# Wählen Sie nun zwischen IKE v1 und IKE v2
# Anschließend wird zwischen IKE v1 und IKE v2 gewählt
:Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.  
:Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.  


:Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.
:Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.


: 4. Klicken Sie auf weiter.
: 4. Dies wird mit Weiter quittiert


:[[Datei:ipsec_wiz_step2.png|none|thumb|350px|Assitent 2 -Authentifizierung]]
:[[Datei:ipsec_wiz_step2.png|none|thumb|350px|Assitent 2 -Authentifizierung]]
Zeile 80: Zeile 80:
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.
Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.
<br>
<br>
# Geben Sie im Feld Local Gateway ID den zu benutzenden Wert für die lokale Appliance ein. Wählen Sie diesen entweder aus dem Drop-down-Menü oder klicken Sie auf den Werkzeugschlüssel und tippen den gewünschten Wert in das Feld ein.
# Im Feld Local Gateway ID wird der zu benutzende Wert für die lokale Appliance eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
# Geben Sie im Feld Remote Gateway ID den zu benutzenden Wert für die Gegenstelle ein. Wählen Sie diesen entweder aus dem Drop-down-Menü oder klicken Sie auf den Werkzeugschlüssel und tippen den gewünschten Wert in das Feld ein.
# Im Feld Remote Gateway ID wird der zu benutzende Wert für die Gegenstelle eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
: Sollten Sie sich hier unsicher sein, können Sie in beiden Feldern jeweils die IP-Adresse 0.0.0.0 eintragen. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
: Sollte hierbei Unsicherheit herrschen, kann bei beiden Feldern jeweils die IP-Adresse 0.0.0.0 eingetragen werden. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
:[[Datei:ipsec_wiz_step3.png|none|thumb|350px| Assistent 3 - Gateway ID]]
:[[Datei:ipsec_wiz_step3.png|none|thumb|350px| Assistent 3 - Gateway ID]]


<br>
<br>
Im letzten Schritt geben Sie noch die Netzwerke an, die miteinander verbunden werden sollen.
Im letzten Schritt müssen noch die Netzwerke angegeben werden, die miteinander verbunden werden sollen.
<br>
<br>
# Geben Sie im Feld Lokales Netzwerk die IP-Adresse des lokalen Netzwerkes, welches über die VPN-Verbindung erreichbar sein soll an.
# Im Feld Lokales Netzwerk wird die IP-Adresse des lokalen Netzwerkes angegeben, welches über die VPN-Verbindung erreichbar sein soll an.
# Geben Sie die IP-Adresse des entfernten Netzwerkes im Feld Remote-Netzwerk an. .  
# Im Feld Remote Netzwerk wird dementsprechend die IP-Adresse des entfernten Netzwerkes eingetragen.
# Klicken Sie dann auf Fertig.
# Anschließend wird dies mit Betätigen der Fertig-Schaltfläche quittiert.


:[[Datei:ipsec_wiz_step4_2.png|none|thumb|350px|Assistent 4 - zu verbindende Netze]]
:[[Datei:ipsec_wiz_step4_2.png|none|thumb|350px|Assistent 4 - zu verbindende Netze]]
Zeile 98: Zeile 98:




# Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Drop-down-Menü auf den Eintrag Portfilter.
# In der Navigationsleiste wird auf den Punkt Firewall geklickt und anschließend im Drop-down-Menü der Eintrag Portfilter aufgerufen
# Klicken Sie im Portfilterdialog auf den Button Regel hinzufügen.
# Im Portfilterdialog wird die Schaltfläche Regel hinzufügen betätigt
# Wählen Sie in der Liste Quelle das Netzwerkobjekt "Internet", in der Liste Ziel das "External Interface" und als Dienst den Eintrag "ipsec".
# In der Liste Quelle wird das Netzwerkobjekt "Internet" ausgewählt, in der Liste Ziel das "External Interface" und als Dienst der Eintrag "ipsec"
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
# Als Aktion muss der Eintrag ACCEPT gewählt werden.
# Die Checkbox AKTIV muss ebenfalls aktiviert sein.
# Die Checkbox AKTIV muss ebenfalls aktiviert sein
# Wählen Sie im Feld LOGGING zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL.
# Im Feld LOGGING kann zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL gewählt werden
# Im Feld QOS (Quality of Service) können Sie die Bandbreite für die Regel beschränken bzw. zusichern.
# Im Feld QOS (Quality of Service) kann die Bandbreite für die Regel beschränkt bzw. zugesichert werden
# Der NAT TYP ist NONE.
# Der NAT TYP ist NONE
# Im Feld RULE ROUTING können Sie die Regeln an ein bestimmtes Interface binden.
# Im Feld RULE ROUTING können die Regeln an ein bestimmtes Interface gebunden werden
# Unter ZEITPROFIL können Sie ein vorher angelegtes Zeitprofil mit der Regel verbinden.
# Unter ZEITPROFIL kann in vorher angelegtes Zeitprofil mit der Regel verbunden werden
# Unter Kommentar können Sie eine Beschreibung oder Notizen zu der Regel hinzufügen.
# Unter Kommentar kann eine Beschreibung oder Notiz zu der Regel hinzugefügt werden
# Klicken Sie auf Speichern.
# Dies wird mit Betätigen der Schaltfläche Speichern quittiert




# Für die zweite Regel klicken Sie ein weiteres Mal auf den Button Regel hinzufügen.
# Für die zweite Regel wird ein weiteres Mal auf den Button Regel hinzufügen geklickt
# Wählen Sie diesmal als Quelle das interne Netzwerk.
# Diesmal wird als Quelle das interne Netzwerk gewählt
# Wählen Sie als Ziel das IPSec-Netzwerk aus.
# Als Ziel wird das IPSec-Netzwerk ausgewählt
# Als Dienst verwenden Sie any.
# Als Dienst wird any verwendet
# Setzen Sie den Eintrag NAT auf [[Hidenat_Exclude_V11 | Hidenat Exclude]] und wählen Sie als Netzwerkobjekt ihr ausgehendes Interface aus.
# Den Eintrag NAT wird auf [[Hidenat_Exclude_V11 | Hidenat Exclude]] gesetzt und als Netzwerkobjekt wird das ausgehendes Interface ausgewählt
# Klicken Sie auf Speichern.
# Dies wird ebenfalls wieder mit Betätigen der Schaltfläche Speichern quittiert


=== Einstellungen ===
=== Einstellungen ===
Stellen Sie jetzt die globalen Einstellungen für IPSec-Verbindungen ein. Sie finden diese in der Navigationsleiste unter dem Punkt VPN über den Eintrag globale VPN Einstellungen.
Nun werden die globalen Einstellungen für die IPSec-Verbindungen eingestellt. Diese befinden sich in der Navigationsleiste unter dem Punkt VPN - im Eintrag globale VPN Einstellungen.


Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.
Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.


Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten Sie keinen eigenen DNS-Server betreiben, können Sie auch öffentliche DNS-Server verwenden, die Sie über eine Suchmaschine im Internet finden können.
Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten keine eigenen DNS-Server vorhanden sein, können auch öffentliche DNS-Server verwendet werden, die sich über eine Suchmaschine im Internet finden lassen.


[[Datei:ipsec_global_allgemein.png|left|thumb|300px|globale IPSec Einstellungen]]
[[Datei:ipsec_global_allgemein.png|left|thumb|300px|globale IPSec Einstellungen]]
Zeile 149: Zeile 149:
IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.
IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.


# Klicken Sie in der Navigationsleiste auf den Punkt VPN und in dem Drop-down-Menü auf den Eintrag IPSec.
# In der Navigationsleiste wird der Punkt VPN angewählt und im Drop-down-Menü der Eintrag IPSec aufgerufen
:Es erscheint der Dialog IPSec Verbindungen.  
:Es erscheint der Dialog IPSec Verbindungen.  


Zeile 156: Zeile 156:




: 2. Von hier aus gelangen Sie zu den Parametern der Phase 1 und 2. Außerdem können Sie am Ende jeder Zeile den Status der Verbindung einsehen und die Verbindung Löschen.
: 2. Von hier aus gelangt man zu den Parametern der Phase 1 und 2. Außerdem kann am Ende jeder Zeile der Status der Verbindung eingesehen und die Verbindung gelöscht werden.
: 3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
: 3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
: 4. Der Button Initiieren startet die Verbindung.
: 4. Der Button Initiieren startet die Verbindung.
Zeile 252: Zeile 252:
<br>
<br>
<br>
<br>
In den Subnetz-Einstellungen der Phase 2 können Sie die beiden, zu verbindenden Subnetze eintragen.  
In den Subnetz-Einstellungen der Phase 2 können beide, zu verbindenden Subnetze eingetragen werden.  
Achten Sie hierbei darauf, dass es keine gleichen, zu verbindende, Subnetze gibt.
Dabei sollte darauf geachtet werden, dass es keine gleichen, zu verbindenden Subnetze gibt.
[[Datei:phase2_subnetze.png|left|thumb|350px|Subnetz-Einstellungen der Phase 2]]
[[Datei:phase2_subnetze.png|left|thumb|350px|Subnetz-Einstellungen der Phase 2]]
<br>
<br>
Zeile 275: Zeile 275:


Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.  
Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.  
# Erstellen Sie ein Netzwerkobjekt für das IPSec-Netzwerk.
# Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
# Legen Sie ein IPSec VPN Verbindung mit Hilfe des IPSec-Assistenten an. Achten Sie darauf, die gleiche IKE-Version zu benutzen.
# Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt - hierbei gilt zu beachten, dass die IKE-Version auf beiden Seiten identisch ist
# Erstellen Sie ggf. Firewall Regeln, wenn Sie diese nicht vom Assistenten automatisch anlegen lassen haben.  
# Eventuell müssen Firewall Regeln erstellt werden, wenn diese nicht automatisch vom Assistenten erstellt worden sind.
# Passen Sie die Einstellungen der Phasen der IPSec-Verbindung an. Achten Sie darauf, dass Sie die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung einstellen.
# Die Einstellungen der Phasen der IPSec-Verbindung werdeb angepasst - hier muss beachtet werden, dass die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung eingestellt wurden
:Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.  
:Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.  
: 5. Starten Sie anschließend den IPSec Dienst neu, damit die Änderungen wirksam werden.  
: 5. Abschließend muss der IPSec-Dienst über die Web-Oberfläche neu gestartet werden, damit die Änderungen aktiv werden.
   
   
Es gilt Folgendes zu beachten: Für eine IPSec Site to Site Verbindung ist es erforderlich, falls bereits zwei Default-Routen eingestellt wurden, eine Route-Over Einstellung festzulegen.
Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält.
Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.
Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).  
Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.).  
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.  
Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden.  
Die Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen.
Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.

Version vom 28. Oktober 2015, 14:01 Uhr

Vorlage:V11

Einleitung

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Diese Verbindungsstruktur wird auch Site-to-End genannt.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.

Die beiden Gegenstellen müssen nicht über eine feste IP-Adresse verfügen, damit sie per VPN verbunden werden können. Es können auch von beiden Gegenstellen dynamische IP-Adressen verwendet werden. Außerdem können die Netzwerke miteinander verbunden werden, wenn eines der Gegenstellen eine feste IP-Adresse hat und die andere eine dynamische. Zur Übersicht der möglichen Szenarien finden sich Informatonen auf folgender Seite Grafische Übersicht möglicher IPSec Verbindungen.

Die Einstellungen können entweder über das Web-Interface oder über das Securepoint Operation Center (SOC) vorgenommen werden. In dieser Schritt für Schritt Anleitung wird zur Konfiguration das Administrations-Webinterface benutzt.

Mit der Appliance verbinden

Über einen Webbrowser wird das Administrations-Webinterface der Securepoint Appliance aufgerufen. Die aufzurufende Adresse setzt sich aus der IP-Adresse des internen Interfaces der Appliance und dem Port 11115 zusammen. Wurden die Grundeinstellungen beibehalten, lautet die Adresse:

https://192.168.175.1:11115 Hierbei sollte beachtet werden, dass das Protokoll HTTPS verwendet werden muss.

Da die Appliance ein selbstsigniertes Zertifikat für das Webinterface benutzt, fragt der Webbrowser nach, ob der Vorgang fortgesetzt werden soll.

Es ist nötig, diese Sicherheitsabfrage zu bestätigen.

Anschließend kann die Anmeldung an der Hauptseite mit dem entsprechenden Benutzernamen und Kennwort erfolgen.

Werkseinstellung:

Benutzername: admin
Kennwort: insecure

Login

Das Anlegen von Netzwerkobjekten

Anhand von Netzwerkobjekten werden im Portfilter Regeln für den Datenverkehr erstellt. Es muss lediglich ein Netzwerkobjekt für das IPSec-Netzwerk angelegt werden. In diesem Netz befinden sich alle entfernten Rechner, die sich über die VPN-Verbindung mit dem Gateway verbinden.

Wird eine dynamische IP-Adresse in Verbindung mit einem DynDNS-Dienst genutzt, sollte sichergestellt werden, dass das Netzwerkobjekt für das externe Interface richtig konfiguriert ist. In diesem Fall müssen die IP-Adresse des Netzwerkobjektes auf 0.0.0.0 und die Netzmaske auf 0.0.0.0/0 gesetzt sein.

Netzwerkobjekt anlegen

Um ein Netzwerkobjekt anzulegen muss in der Navigationsleise auf den Punkt Firewall geklickt werden und der Eintrag Portfilter aus dem Drop-down-Menü ausgewählt. Anschließend wird in diesem Fenster auf den Reiter Netzwerkobjekte gewechselt.

Folgende Objekte sind vorkonfiguriert:

external-interface, internal-interface, Internet, internal-network, dmz1-interface, dmz1-network

  1. Ein Netzwerkobjekt für das IPSec Netzwerk wird angelegt, indem auf der Button Objekt hinzufügen betätigt wird
  2. Im Feld Name wird eine Bezeichnung für das IPSec-Netzwerk eingetragen
  3. Als Typ wird VPN-Netzwerk gewählt und unter IP-Adresse wird die IP-Adresse des IPSec Netzwerkes eingetragen
  4. Als Zone wird vpn-ipsec ausgewählt
  5. Die Einstellungen werden mit dem Button Speichern gesichert.


Netzwerkobjekt

VPN-Verbindung anlegen

Zum Erstellen der IPSec-VPN-Verbindung wird der Assistent genutzt, der den Nutzer durch den Erstellungsvorgang führt.

  1. In der Navigationsleiste wird unter dem Menüpunkt VPN der Eintrag IPSec aufgerufen.
  2. Anschließend wird die Schaltfläche Site-to-Site betätigt.
Der Site-to-Site-Assistent öffnet sich
3. Im Namensfeld wird der Namen für die IPSec-Verbindung eingegeben
4. In das Feld Remote Gateway wird die IP-Adresse oder der Hostnamen des entfernten Gateways eingegeben.
Statt der IP-Adresse kann auch das standardmäßig ausgewählte "any" im Feld übernommen werden.
5. Dies wird mit Weiter quittiert.
Assistent 1 - Name+Gateway


  1. Nun kann die gewünschte Authentifizierung gewählt werden. In dieser Anleitung wird Pre-Shared-Key benutzt. Hierbei handelt es sich um ein Kennwort, dass beide Verbindungsstellen benutzen.
  2. Der Pre-Shared-Key wird eingetragen
  3. Anschließend wird zwischen IKE v1 und IKE v2 gewählt
Das IKE-Protokoll wird zum Verwalten und Austauschen von IPSec-Schlüsseln benutzt. Es regelt den Aufbau einer Verbindung und dient der Authentifizierung der Kommunikationspartner und der Aushandlung der Verschlüsselungsparameter sowie der Generierung der Schlüssel.
Wir empfehlen grundsätzlich die Verwendung von IKEv1 Verbindungen.
4. Dies wird mit Weiter quittiert
Assitent 2 -Authentifizierung

Die Gateway ID fließt in die Authentifizierung mit ein. Dies kann eine IP-Adresse, ein Hostname oder eine E-Mail-Adresse sein. Wenn Zertifikate zu Authentifizierung benutzt werden, muss hier der Distinguished Name (DN) verwendet werden. Dies sind die Zertifikatsparameter, die der Ersteller des Zertifikats angibt.

  1. Im Feld Local Gateway ID wird der zu benutzende Wert für die lokale Appliance eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
  2. Im Feld Remote Gateway ID wird der zu benutzende Wert für die Gegenstelle eingetragen. Dieser wird entweder aus dem Drop-down-Menü ausgewählt oder manuell eingetragen, indem auf den Werkzeugschlüssel geklickt wird und der gewünscht Wert in das Feld eingetragen wird.
Sollte hierbei Unsicherheit herrschen, kann bei beiden Feldern jeweils die IP-Adresse 0.0.0.0 eingetragen werden. Das muss dann jedoch auf der Gegenseite auch der Fall sein.
Assistent 3 - Gateway ID


Im letzten Schritt müssen noch die Netzwerke angegeben werden, die miteinander verbunden werden sollen.

  1. Im Feld Lokales Netzwerk wird die IP-Adresse des lokalen Netzwerkes angegeben, welches über die VPN-Verbindung erreichbar sein soll an.
  2. Im Feld Remote Netzwerk wird dementsprechend die IP-Adresse des entfernten Netzwerkes eingetragen.
  3. Anschließend wird dies mit Betätigen der Fertig-Schaltfläche quittiert.
Assistent 4 - zu verbindende Netze

Regeln erstellen

Es muss mit einer Regel erlaubt werden, dass das externe Interface aus dem Internet per VPN erreichbar ist und dass die IPSec-VPN-Clienten mit dem internen Netzwerk kommunizieren dürfen. Standardmässig sind die VPN-Ports durch die impliziten Regeln freigeschaltet. Die Erstellung wird trotzdem beschrieben.


  1. In der Navigationsleiste wird auf den Punkt Firewall geklickt und anschließend im Drop-down-Menü der Eintrag Portfilter aufgerufen
  2. Im Portfilterdialog wird die Schaltfläche Regel hinzufügen betätigt
  3. In der Liste Quelle wird das Netzwerkobjekt "Internet" ausgewählt, in der Liste Ziel das "External Interface" und als Dienst der Eintrag "ipsec"
  4. Als Aktion muss der Eintrag ACCEPT gewählt werden.
  5. Die Checkbox AKTIV muss ebenfalls aktiviert sein
  6. Im Feld LOGGING kann zwischen den Protokollierungsmethoden NONE, LOG und LOG_ALL gewählt werden
  7. Im Feld QOS (Quality of Service) kann die Bandbreite für die Regel beschränkt bzw. zugesichert werden
  8. Der NAT TYP ist NONE
  9. Im Feld RULE ROUTING können die Regeln an ein bestimmtes Interface gebunden werden
  10. Unter ZEITPROFIL kann in vorher angelegtes Zeitprofil mit der Regel verbunden werden
  11. Unter Kommentar kann eine Beschreibung oder Notiz zu der Regel hinzugefügt werden
  12. Dies wird mit Betätigen der Schaltfläche Speichern quittiert


  1. Für die zweite Regel wird ein weiteres Mal auf den Button Regel hinzufügen geklickt
  2. Diesmal wird als Quelle das interne Netzwerk gewählt
  3. Als Ziel wird das IPSec-Netzwerk ausgewählt
  4. Als Dienst wird any verwendet
  5. Den Eintrag NAT wird auf Hidenat Exclude gesetzt und als Netzwerkobjekt wird das ausgehendes Interface ausgewählt
  6. Dies wird ebenfalls wieder mit Betätigen der Schaltfläche Speichern quittiert

Einstellungen

Nun werden die globalen Einstellungen für die IPSec-Verbindungen eingestellt. Diese befinden sich in der Navigationsleiste unter dem Punkt VPN - im Eintrag globale VPN Einstellungen.

Auf der Registerkarte Allgemein muss die Funktion NAT Traversal aktiviert werden. Diese Funktion verhindert, dass durch die Adressumsetzung die IPSec-Pakete manipuliert werden, so dass diese verworfen werden.

Auf der Registerkarte Nameserver werden Eintragungen für die zu verwendenden DNS Server und WINS Server gemacht. Sollten keine eigenen DNS-Server vorhanden sein, können auch öffentliche DNS-Server verwendet werden, die sich über eine Suchmaschine im Internet finden lassen.

globale IPSec Einstellungen
globale Nameserver Einstellungen
















Anpassen der IPSec Verbindung

IPSec-Verbindungen nutzen das Internet Key Exchange Protokoll (IKE) als Schlüsselverwaltung. Es ist zuständig für die Aushandlung der Sitzungsschlüssel. Das IKE arbeitet immer in zwei Phasen. In der ersten Phase wird eine relativ schwach gesicherte Verbindung zwischen den Gateways aufgebaut, in der eine Security Association (SA) ausgehandelt wird. In der zweiten Phase wird die SA erzeugt. Die SA dient der Identifikation, der Aushandlung des Schlüsselalgorithmus und der Schlüsselgenerierung. Außerdem wird festgelegt, wie lange der Schlüssel gültig ist und eine neue Authentisierung erforderlich ist und welche Subnetze miteinander verbunden werden.

  1. In der Navigationsleiste wird der Punkt VPN angewählt und im Drop-down-Menü der Eintrag IPSec aufgerufen
Es erscheint der Dialog IPSec Verbindungen.
Hier sind alle angelegten IPSec-Verbindungen ausgelistet.
Auflistung der IPSec-Verbindungen


2. Von hier aus gelangt man zu den Parametern der Phase 1 und 2. Außerdem kann am Ende jeder Zeile der Status der Verbindung eingesehen und die Verbindung gelöscht werden.
3. Mit dem Button Laden werden die Verbindungsparameter neu geladen.
4. Der Button Initiieren startet die Verbindung.










Phase 1

Unter den allgemeinen Einstellungen der Phase 1 sind die Werte für den ersten Verbindungsaufbau eingetragen. Die Art der Authentifizierung und die dazu gehörigen Angaben sind ebenfalls hier abgelegt. Es können noch allgemeine Einstellungen zur Verbindung gemacht werden (Initiator, Dead Peer Detection, Rekeying).

Tabelle phase1.png
Allgemeine Einstellungen für Phase 1






























Auf der Registerkarte IKEv1 werden die Daten für die Verschlüsselung gespeichert. Ist für die Verbindung die zweite Version von IKE gewählt, ändert sich lediglich der Titel des Dialogs zu IKEv2. Standardmäßig ist der Algorithmus 3DES ausgewählt. Diese Verschlüsselung sollte allerdings nicht mehr gewählt werden. Er ist nur ausgewählt, um die Verbindung zu Gegenstellen zu ermöglichen, die die anderen Verschlüsselungsalgorithmen nicht unterstützen.

Tabelle2 phase1.png
Allgemeine Einstellungen für Phase 1




















Phase 2

In der Phase zwei werden die Daten zu der Verschlüsselung des eigentlichen Verbindungsschlüssels gespeichert.

Tabelle phase2 2.png
Allgemeine Einstellungen der Phase 2


















In den Subnetz-Einstellungen der Phase 2 können beide, zu verbindenden Subnetze eingetragen werden. Dabei sollte darauf geachtet werden, dass es keine gleichen, zu verbindenden Subnetze gibt.

Subnetz-Einstellungen der Phase 2

















Konfiguration des zweiten Gateways

Auf der entfernten Appliance müssen die Einstellungen analog vorgenommen werden.

  1. Ein Netzwerkobjekt für das IPSec-Netzwerk wird erstellt
  2. Mit Hilfe des IPSec-Assistenten wird eine neue IPSec-VPN-Verbindung angelegt - hierbei gilt zu beachten, dass die IKE-Version auf beiden Seiten identisch ist
  3. Eventuell müssen Firewall Regeln erstellt werden, wenn diese nicht automatisch vom Assistenten erstellt worden sind.
  4. Die Einstellungen der Phasen der IPSec-Verbindung werdeb angepasst - hier muss beachtet werden, dass die gleichen Algorithmen für die Schlüsselaushandlung und für die Verschlüsselung eingestellt wurden
Außerdem sollte nur eine Appliance der Initiator der Verbindung sein.
5. Abschließend muss der IPSec-Dienst über die Web-Oberfläche neu gestartet werden, damit die Änderungen aktiv werden.

Es gilt Folgendes zu beachten: Für eine IPSec Site to Site Verbindung ist es erforderlich, falls bereits zwei Default-Routen eingestellt wurden, eine Route-Over Einstellung festzulegen. Hierfür muss die Phase 1 der IPSec Verbindung dahingehend bearbeitet werden, dass die Option 'Route Over' die Route zum richtigen Gateway enthält. Dies ist notwendig, weil sonst für die UTM nicht ersichtlich ist, über welches Netz die IPSec-Verbindung geroutet werden soll.


Die Securepoint kann IPSec-Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec-Implementierung besitzen. Dazu gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-VPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die Parameter müssen mit den Einstellungen auf der Securepoint UTM übereinstimmen.