Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint UTM SSL-VPN Roadwarrior}}
{{DISPLAYTITLE:SSL-VPN Roadwarrior}}
=== Einleitung ===
== Informationen ==
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].<br>
Letze Anpassung zur Version: '''11.7'''
'''Bitte beachten: Mit einem OpenVPN-Server können Sie mehrere OpenVPN-Clients anbinden. Es muss nicht für jede Client-Verbindung ein neuer Server angelegt werden.'''
<br>
Bemerkung: Funktions- und Designanpassung
<br>
Vorherige Versionen: [[UTM/VPN/SSL_VPN-Roadwarrior_v11.6 | 11.6.11]]
<br>


===An der Appliance anmelden===
== Einleitung ==
Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk.
Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.
Für allgemeine Informationen zum Thema VPN Siehe [[Glossar#VPN| VPN Glossar]].<br>
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Mit einem SSL-VPN Roadwarrior können mehrere Clients angebunden werden.</span>'''
|}


[[Datei:Loginv11.png|thumb|180px|<font size="1">Login Dialog</font>]]
==Roadwarrior konfiguration==
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann unter "VPN" und "SSL-VPN" eine SSL-VPN Verbindung hinzugefügt werden.
:Bsp.:  https://192.168.175.1:11115
{|
*Melden Sie sich im Login Dialog als Administrator an.
|-
:Werkseinstellungen:
|[[Datei:AVPro 2-14-9 alert8.png]]
:Benutzername: admin
|'''<span">Für die Einrichtung des Roadwarrior wird ein Zertifikat benötigt.</span>'''
:Kennwort: insecure
|}
===Einrichtungsassistent===
====Schritt 1====
[[Datei:Utm_ssl-vpn_roadwarrior01.png |300px|thumb|right| Einrichtungsschritt 1]]
Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.
*'''Roadwarrior Server'''
*Site to Site Server
*Site to Site Client
Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
<br /><br /><br /><br />
<br /><br /><br /><br />
<br /><br /><br />


===Zertifikate ===
====Schritt 2====
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
[[Datei:Utm_ssl-vpn_roadwarrior02.png |200px|thumb|right| Einrichtungsschritt 2]]
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
<br /><br /><br /><br />
*Erstellen Sie ihre CA.
<br /><br />
**Klicken Sie auf "+ CA hinzufügen".
====Schritt 3====
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
[[Datei:Utm_ssl-vpn_roadwarrior03.png |300px|thumb|right| Einrichtungsschritt 3]]
**Füllen Sie die anderen Felder entsprechend aus.
Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.
**Speichern Sie die CA.
<br /><br /><br /><br />
<br><br><br><br><br><br><br><br><br><br>
<br /><br /><br /><br />
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]


'''Es werden mindestens 2 Zertifikate benötigt. '''
====Schritt 4====
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
[[Datei:Utm_ssl-vpn_roadwarrior04.png |200px|thumb|right| Einrichtungsschritt 4]]
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.
<br /><br /><br /><br />
<br /><br />


*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
====Schritt 5====
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
[[Datei:Utm_ssl-vpn_roadwarrior05.png |200px|thumb|right| Einrichtungsschritt 5]]
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.
**Füllen Sie die restlichen Felder aus.
*None = Authentifizierung nur über die Zertifikate
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
*Local = Lokale Benutzer und AD Gruppen
**Alias bleibt auf "none".
*Radius = Radius Server
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
<br /><br /><br /><br />
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
<br />
<br><br><br><br><br><br><br><br><br><br>


=== SSL Konfiguration===
====Schritt 6====
 
[[Datei:Utm_ssl-vpn_roadwarrior06.png |400px|thumb|right| Einrichtungsschritt 6]]
[[Datei:SSL-1.png|thumb|240px|<font size="1"></font>]]
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
<br /><br /><br /><br />
*Name
<br /><br /><br /><br />
*Protokoll
<br /><br /><br /><br />
*Port
<br />
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Diese IP dient uns als Transfernetzwerk. Es ist wichtig einen IP Beriech zu vergeben der noch nicht, auf den Firewalls, vergeben ist!
*Klicken Sie auf weiter
<br>
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig
 
[[Datei:SSL-be.png|thumb|240px|<font size="1"></font>]]
<br><br><br><br><br>
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).
 
<br><br>
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
<br><br><br><br><br><br><br><br>


===Regelwerk===
===Regelwerk===


[[Datei:SSL-Implizite-Regeln.png|thumb|240px|<font size="1"></font>]]
[[Datei:Utm_ssl-vpn_roadwarrior10.png|thumb|240px|Implizierte Regeln]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Unter Firewall -> Implizierte Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizierte Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden. Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
<br /><br /><br /><br />
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
<br /><br /><br /><br />
*Internet -> external-interface -> Port 1195.
<br />
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.
 
 
<br><br><br><br><br><br><br><br><br><br>
[[Datei:SSLObjekt.png|thumb|240px|<font size="1"></font>]]
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.  
 
<br><br><br><br><br><br><br><br>
[[Datei:SSL-Regel.png|thumb|240px|<font size="1"></font>]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.
 
 
<br><br><br><br><br><br><br><br><br>


===Benutzer und Gruppen anlegen===
===Benutzer und Gruppen anlegen===
====Gruppe====
[[Datei:Utm_ssl-vpn_roadwarrior12.png|thumb|240px|SSL-VPN Einstellungen für die Gruppe]]
Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine '''Gruppe''' hinzugefügt werden. Die Gruppe muss die Berechtigung '''SSL-VPN''' erhalten.
<br /><br /><br /><br />
<br /><br /><br /><br />
<br /><br /><br />


[[Datei:SSL-Gruppe.png|thumb|240px|<font size="1"></font>]]
====Benutzer====
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
[[Datei:Utm_ssl-vpn_roadwarrior13.png|thumb|240px|SSL-VPN Einstellungen für die Benutzer]]
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.
Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstelle Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstelle SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
 
Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der '''SSL-VPN Client Download''' aktiviert werden.
[[Datei:SSL-Gruppen-Einstellung_2.png|thumb|240px|<font size="1"></font>]]
<br /><br />
<br><br><br><br><br><br>
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.
 
<br>Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
<br><br><br><br>
 
===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.


'''Bitte beachten Sie, dass Sie ab Windows 10 die zweier Versionen unseres SSLVPN-Clients benötigen. Der Download steht auf [http://my.securepoint.de my.securepoint.de] für Sie bereit. Bitte beachten Sie ebenfalls, dass Sie die TAP Treiber, mit Administratorenrechten, mit der zweier Versionen installieren.'''
===SSL-VPN Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Installation muss mit Administratoren-Rechten durchgeführt werden.</span>'''
|}
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Ab Windows 10 muss der SSL-VPN Client >V2 genutzt werden.</span>'''
|}


==== Herunterladen des SSL-VPN Clients im Userinterface====
==== Herunterladen des SSL-VPN Clients im Userinterface====


[[Datei:SSL-Userinterface.png|thumb|240px|<font size="1"></font>]]
[[Datei:Utm_ssl-vpn_roadwarrior14.png|thumb|240px|User-Interface]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
<br>
<br>
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:443 https://192.168.175.1:443]) kann unter SSL-VPN Client Download der Client heruntergeladen werden.
 
*SSL-VPN Client Installer
    Bsp.: https://192.168.175.1  
*SSL-VPN Portable Client
    oder https://myHost.dyndns.org
*Konfiguration und Zertifikat
 
<br />
Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
{|
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Konfiguration und Zertifikate sind in den Client Versionen bereits vorhanden.</span>'''
|}


== Hinweis zu vorgeschalteten Routern/Modems==
===Hinweise===
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.
====Verschlüsselung====
Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich</span>'''
|}
====Regeln====
Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.
====QoS====
Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.
====Search Domain====
Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.
====DNS/WINS übermitteln====
Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.
==== Hinweis zu vorgeschalteten Routern/Modems====
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität  [[Drittgeräte-Firewalls|deaktivieren]].
{|
|-
|[[Datei:AVPro 2-14-9 alert2.png]]
|'''<span">Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.</span>'''
|}
====IPv6 für eingehende Verbindungen====
In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

Version vom 12. April 2017, 09:22 Uhr

Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Funktions- und Designanpassung
Vorherige Versionen: 11.6.11

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden. SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard. Für allgemeine Informationen zum Thema VPN Siehe VPN Glossar.

AVPro 2-14-9 alert2.png <span">Mit einem SSL-VPN Roadwarrior können mehrere Clients angebunden werden.

Roadwarrior konfiguration

Nach dem Login auf das Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann unter "VPN" und "SSL-VPN" eine SSL-VPN Verbindung hinzugefügt werden.

AVPro 2-14-9 alert8.png <span">Für die Einrichtung des Roadwarrior wird ein Zertifikat benötigt.

Einrichtungsassistent

Schritt 1

Einrichtungsschritt 1

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt, es stehen folgende Verbindungen zur Verfügung.

  • Roadwarrior Server
  • Site to Site Server
  • Site to Site Client

Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.










Schritt 2

Einrichtungsschritt 2

Die Einstellung "IPv6 über IPv4" zu verwenden kann im Installationsschritt 2 eingeschaltet werden.





Schritt 3

Einrichtungsschritt 3

Lokale Einstellungen für den Roadwarrior Server können im Schritt 3 getätigt werden. Hier kann ein Name für die Verbindung eingetragen, Protokoll und Port ausgewählt, ein Serverzertifikat gewählt - durch einen Klick auf die Schaltfläche mit dem Fenster kann eine CA und ein Zertifikat erstellt werden - und die Servernetzwerke freigegeben werden.







Schritt 4

Einrichtungsschritt 4

Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen.





Schritt 5

Einrichtungsschritt 5

Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden.

  • None = Authentifizierung nur über die Zertifikate
  • Local = Lokale Benutzer und AD Gruppen
  • Radius = Radius Server






Schritt 6

Einrichtungsschritt 6

In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.












Regelwerk

Implizierte Regeln

Unter Firewall -> Implizierte Regeln -> VPN kann das Protokoll, welches für die Verbindung genutzt wird aktiviert werden. Diese Implizierte Regel gibt die Ports, welche für SSL VPN Verbindungen genutzt werden, auf die WAN-Schnittstellen frei. Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden. Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde.








Benutzer und Gruppen anlegen

Gruppe

SSL-VPN Einstellungen für die Gruppe

Unter Authentifizierung -> Benutzer muss für die Benutzer, die auf den Roadwarrior zugreifen sollen zunächst eine Gruppe hinzugefügt werden. Die Gruppe muss die Berechtigung SSL-VPN erhalten.










Benutzer

SSL-VPN Einstellungen für die Benutzer

Unter Authentifizierung -> Benutzer muss jedem Benutzer die vorher erstelle Gruppe gegeben werden. Unter dem Reiter SSL-VPN wird der Benutzer weiter konfiguriert. Hier wird für den Benutzer die erstelle SSL-VPN Verbindung und das Client-Zertifikat ausgewählt, sowie das Remote Gateway eingetragen. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein. Wenn der Benutzer selbst die Berechtigung haben soll, den SSL-Client herunterzuladen muss unter den SSL-VPN Einstellungen der SSL-VPN Client Download aktiviert werden.

SSL-VPN Verbindung als Client herstellen

Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Client-Zertifikate sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter.

AVPro 2-14-9 alert2.png <span">Die Installation muss mit Administratoren-Rechten durchgeführt werden.
AVPro 2-14-9 alert2.png <span">Ab Windows 10 muss der SSL-VPN Client >V2 genutzt werden.

Herunterladen des SSL-VPN Clients im Userinterface

User-Interface

Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Nach dem Login auf das User-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:443) kann unter SSL-VPN Client Download der Client heruntergeladen werden.

  • SSL-VPN Client Installer
  • SSL-VPN Portable Client
  • Konfiguration und Zertifikat


AVPro 2-14-9 alert2.png <span">Die Konfiguration und Zertifikate sind in den Client Versionen bereits vorhanden.

Hinweise

Verschlüsselung

Standartmäßig wird ein Blowfish-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

AVPro 2-14-9 alert2.png <span">Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich

Regeln

Die Regel im Portfilter muss noch gesetzt werden, diese wird nicht durch den Einrichtungsassistent geschrieben. Mit der Einrichtung der Verbindung wurde ein TUN-Interface erzeugt. Es erhält automatisch die erste IP aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-openvpn-<servername>". Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone. Dementsprechend muss das Netzwerkobjekt für die Portfilter-Regel angelegt werden.

QoS

Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

Search Domain

Die Search Domain kann automatisch übermittelt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Allgemein" aktiviert werden.

DNS/WINS übermitteln

Der DNS und der WINS können automatisch übermittel werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden. Die IP-Adressen vom DNS und WINS werden unter "VPN" -> "Globale VPN-Einstellungen" gesetzt.

Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

AVPro 2-14-9 alert2.png <span">Es muss sichergestellt werden, dass die benötigten Ports weitergeleitet werden.

IPv6 für eingehende Verbindungen

In den Einstellungen des Roadwarriorserver kann unter Allgemein -> Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.