UTM/VPN/SSL VPN-Roadwarrior: Unterschied zwischen den Versionen

Konfiguration von SSL-VPN Roadwarrior-Verbindungen

Letzte Anpassung zur Version: 12.1

Neu::

Vorherige Versionen: 11.6.12 | 11.7 | 11.7.1 | 11.8.7

Einleitung

Eine Roadwarrior-Verbindung verbindet einzelne Hosts mit dem lokalen Netzwerk. Dadurch kann sich beispielsweise ein Außendienstmitarbeiter mit dem Netzwerk der Zentrale verbinden.
SSL-VPN benutzt zur Verschlüsselung der Verbindung den TLS/SSL Standard.

Mit einer SSL-VPN Roadwarrior-Verbindung auf der UTM können mehrere Clients angebunden werden.

Vorbereitungen

Für die Einrichtung des Roadwarriors wird eine CA, ein Server- und ein User-Zertifikat benötigt.
Diese Zertifikate können ggf. auch während der Einrichtung erstellt werden.

[[Datei: ]]

Wenn vorhanden, Domain eingeben.

Search Domain vorgeben

Roadwarrior Konfiguration

Einrichtungsassistent

Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: https://192.168.175.1:11115) kann der Einrichtungs-Assistent mit VPN SSL-VPN  Schaltfläche SSL-VPN Verbindung hinzugefügen aufgerufen werden.

Im Installationsschritt 1 wird der Verbindungstyp ausgewählt. Es stehen folgende Verbindungen zur Verfügung. Roadwarrior Server Site to Site Server Site to Site Client Für die Konfiguration des Roadwarrior Servers wird dieser ausgewählt.
Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden.
Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden.
Beschriftung Wert Beschreibung     Eindeutige Bezeichnung, frei wählbar Protokoll: Gewünschtes Protokoll 1194 Default Port für die erste SSL-VPN Verbindung. Darf nicht anderweitig genutzt werden. Bei weiteren Verbindungen wird der jeweils nächste freie Port gewählt. Serverzertifikat: Serverzertifikat Auswahl des Zertifikates, mit dem der Server sich Authentifiziert. Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit Erstellung einer CA im Abschnitt CA mit der Schaltfläche CA hinzufügen Erstellung eines Serverzertifikates im Abschnitt Zertifikate mit der Schaltfläche Zertifikat hinzufügen. Bitte beachten: Serverzertifikat: Ein aktivieren Erstellung des Client-Zertifikates mit der Schaltfläche Zertifikat hinzufügen Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden. Beide Zertifikate (Server CS und Client CC) müssen mit der selben CA erstellt werden! Das Client-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche exportiert werden. Servernetzwerke freigeben: » ✕192.168.175.0/24 An dieser Appliance (VPN-Server) befindliches Netzwerk, das über SSL-VPN erreichbar sein soll.
Im Installationsschritt 4 wird das Transfernetz für den Roadwarrior eingetragen. Das Transfernetz kann frei gewählt werden, darf aber noch nicht anderweitig auf der UTM verwendet werden.
Die Benutzerauthentisierung wird im letzten Schritt ausgewählt. Danach kann der Einrichtungsassistent abgeschlossen werden. None = Authentifizierung nur über die Zertifikate Local = Lokale Benutzer und AD Gruppen Radius = Radius Server
Abschluss
In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt. Damit die Verbindung aktiv wird, muss der SSL-VPN-Dienst neu gestartet werden: Neustarten Dabei werden alle SSL-VPN-Tunnel unterbrochen! Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden!

Regelwerk

Implizite Regeln

Unter Firewall Implizite Regeln  Bereich VPN kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden.

Im Beispiel Ein SSL-VPN UDP ➊

Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:
Ein User Interface Portal ➋

Netzwerkobjekte

Netzwerkobjekt für das Tunnelnetzwerk

Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>".

Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.
Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden.

Speichern

[[Datei: |hochkant=2.5|mini| ]]

Benutzer und Gruppen anlegen

Gruppe

SSL-VPN Einstellungen für die Gruppe

Unter Authentifizierung Benutzer  Bereich Gruppe Schaltfläche + Gruppe hinzufügen klicken.
Folgende Berichtigungen müssen erteilt werden:

• Ein Userinterface
• Ein SSL-VPN

Benutzer

SSL-VPN Einstellungen für die Benutzer

Authentifizierung Benutzer  Bereich Benutzer Schaltfläche Benutzer hinzufügen oder Benutzer bearbeiten .

Weitere Angaben zu Benutzern können dem Artikel zur Benutzerverwaltung entnommen werden.

Herunterladen des SSL-VPN Clients im Userinterface

Userinterface SSL-VPN

Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:

• Zum Download gelangt man über den Menüpunkt SSL-VPN .
• Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate.
• Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter https://192.168.75.1
• Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance.

Der Client wird angeboten als:

Die Installation muss mit Administrator-Rechten durchgeführt werden. Erforderliche Prozessorarchitektur: x86 / x64

• 
  

Die portable Version kann zum Beispiel auf einen USB-Stick kopiert werden und somit auch an anderen Rechnern ausgeführt werden.

Voraussetzung hierfür sind Administrationsrechte, da ein virtuelles TAP Device installiert und Routen gesetzt werden müssen. Erforderliche Prozessorarchitektur: x86 / x64

• Konfiguration und Zertifikat
  Zur Verwendung in anderen SSL-VPN-Clients

Die komprimierten Ordner enthalten neben dem SSL-VPN Client

• • eine Konfigurationsdatei
  • die CA- und Client-Zertifikate
  • sowie einen Treiber für die virtuelle TAP-Netzwerkschnittstelle.
    Zum Installieren der virtuellen TAP Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte.

Installation: Hinweise zur Installation finden sich auf unsere Wiki-Seite zum VPN-Client

---

SSL-VPN Verbindung als Client herstellen

Aktive SSL-VPN-Verbindung

Ein Doppelklick auf das Schloss-Symbol in der Taskleiste öffnet den SSL-VPN-Client.
Starten der Verbindung mit Klick auf

---

Hinweise

Verschlüsselung

Standardmäßig wird ein AES128-CBC Verfahren angewendet. Das Verschlüsselungsverfahren kann im Server- oder/und Clientprofil angepasst werden.

Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

---

Hashverfahren

Standardmäßig wird ein SHA256 Hashverfahren angewendet. Das Hashverfahren kann im Server- oder/und Clientprofil angepasst werden.
Die Parameter müssen auf Server- und Client-Seite identisch sein. Ansonsten ist eine Datenübertragung nicht möglich.

---

Für die VPN-Verbindung können die TOS-Felder für das automatische QoS in den Paketen gesetzt werden. Diese Einstellung kann in den Einstellungen der VPN Verbindung unter "Erweitert" aktiviert werden.

---

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.

Hinweis zu vorgeschalteten Routern/Modems--Porthinweis

---

IPv6 für eingehende Verbindungen

In den Einstellungen des Roadwarriorservers kann im Abschnitt Allgemein / Protokoll das Protokoll UDP6 oder TCP6 für IPv6 aktiviert werden.

---

Troubleshooting

Hinweis zur Fehlerbehebung bei SSL-VPN gibt es im Troubleshooting Guide SSL-VPN (pdf-Dokument)