Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
Zeile 13: Zeile 13:
===Einleitung===
===Einleitung===
Da es immer wieder Probleme mit IPSec- und L2TP-VPN durch doppelt genattete Verbindungen oder gesperrte Ports im Zusammenhang mit Mobilen Geräten gibt, haben wir dieses zum Anlass genommen, diese Konfiguration in einem Wiki zu beschreiben.
Da es immer wieder Probleme mit IPSec- und L2TP-VPN durch doppelt genattete Verbindungen oder gesperrte Ports im Zusammenhang mit Mobilen Geräten gibt, haben wir dieses zum Anlass genommen, diese Konfiguration in einem Wiki zu beschreiben.
<!--''<span style="color:red;"><b>Achtung! Leider ergibt sich aus der Kombination iOS9 + OpenVPN Connect 1.0.5 ein Problem, sodass sich die Verbindung nicht herstellen lässt. Bis dies nicht in der App mit einer Aktualisierung behoben ist, ist es nicht möglich eine Verbindung herzustellen. </b></span>''<br>
Die Fehlermeldung im Log lautet:<br>
TLS_ERROR: BIO read tls_read_plaintext error: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number-->


===Vorbereitungen===
===Vorbereitungen===
Zeile 33: Zeile 27:
Herunterladen der Konfigurationsdateien, die in der Securepoint Mobile Security App verwendet werden mit {{ Button | Konfiguration | d }}.<br>
Herunterladen der Konfigurationsdateien, die in der Securepoint Mobile Security App verwendet werden mit {{ Button | Konfiguration | d }}.<br>
Die .zip-Datei kann nun an das mobile Gerät übertragen werden:
Die .zip-Datei kann nun an das mobile Gerät übertragen werden:
{|
{{ td | {{spc | iOS|o| iOS| c=grau-l}} | Verwendung von iTunes, Apple-Konfigurator2 oder über einen geeigneten Cloud-Dienst.| w=100px }}
|-
{{ td | {{spc | an | o | Android | c=green;}} | Übertragung per USB oder über einen geeigneten Cloud-Dienst. | w=100px }}
| {{spc | iOS|o| iOS| c=grau-l}} || Verwendung von iTunes, Apple-Konfigurator2 oder über einen Cloud-Dienst (z.B.: NextCloud)<br>Von der Übertragung per Mail wird aus Sicherheitsgründen abgeraten!
{{ Hinweis | ! Von der Übertragung per Mail oder Cloud-Dinesten, die nicht GSGVO-konform sind, wird aus Sicherheitsgründen abgeraten ! | gelb }}
|-
<p>Import der Konfigurations-Datei, in der jeweiligen App, wie beschrieben:  [[MS/iOS-App#VPN-Profile|{{spc | iOS|o| - | c=grau-l}} iOS]] bzw. [[MS/Android-App#Profilverwaltung|{{spc | an | o | - | c=green;}} Android ]]</p>
| {{spc | an | o | Android | c=green;}} || Übertragung per USB oder über einen Cloud-Dienst (z.B.: NextCloud)<br>Von der Übertragung per Mail wird aus Sicherheitsgründen abgeraten!
|}
Import der Konfigrations-Datei, in der jeweiligen App, wie beschrieben:  [[MS/iOS-App#VPN-Profile|{{spc | iOS|o| iOS | c=grau-l}}]] bzw. [[MS/Android-App#Profilverwaltung|{{spc | an | o | Android | c=green;}}]]
 
===Übertragung der Konfigurationsdateien ...===
====... mit iTunes====
[[Datei:Apple_iT_SSLConfdathinz.png|250px|thumb|right|Konfig Dateien über iTunes hinzufügen]]
Zur Übertragung der Konfigurationsdatei und der Zertifikate wird eine Verbindung vom iOS Gerät mit dem Rechner über iTunes hergestellt. Im Bereich ''Apps'' befindet sich die OpenVPN App, welche markiert wird. Anschließend können die Dateien hinzugefügt werden.
 
 
 
 
 
 
 
 
 
 
====... ohne iTunes====
[[Datei:OVPN_KonfDat1.png|250px|thumb|right|Bearbeiten der Konfigurationsdatei]]
[[Datei:OVPN_KonfDat2.png|250px|thumb|right|Hinzufügen der Zertifikate]]
Die Zertifikate müssen in die .ovpn Datei eingefügt werden.
Dazu müssen die Dateien im Editor geöffnet werden.
 
In der Konfigurations-Datei openvpn.ovpn müssen die folgenden Zeilen entfernt werden.
ca ca.pem
cert cert.pem
key cert.key
 
 
 
 
 
 
 
 
 
 
 
 
 
 
und dei Inhalt der drei Zertifikat-Dateien unter die letzte Zeile der Konfiguration kopiert werden.
in der Form:
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>
 
<cert>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</cert>
 
<key>
-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----
</key>
 
 
Nun müssen die Änderungen gespeichert werden und auf das Apple Gerät übertragen werden.
 
 
 
 
 
 
 
 
 
 
[[Datei:iPad_pic2.png|250px|thumb|right|Importieren der openvpn.ovpn Datei]]
Die angepasste *.ovpn Datei muss importiert werden. z.B. indem diese per E-Mail an das iOS Gerät versendet wird.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
<div style="clear: both;"></div>
===Konfiguration auf dem iOS Gerät===
<div>
<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Jeder Benutzer des Apple-Gerätes kann die VPN Verbindung aktivieren und nutzen.</span></div>
</div>
<div style="clear: both;"></div>
[[Datei:iPad_pic3.png|250px|thumb|right|Auswahl des VPN-Profils]]
Die Verbindung kann durch ein Klick auf den Profilnamen hinter dem Zahnrad bearbeitet werden.
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
[[Datei:iPad_pic4.png|250px|thumb|right|Eingabe Benutzername und Kennwort]]
Unter User ID und Password die Daten müssen die Benutzerdaten, die für diesen Benutzer auf der Securepoint UTM hinterlegt sind eingetragen werden.
 
Mit Aktivierung des Button ''Save‘‘ können die Daten gepeichert werden.
Um die Verbindung herzustellen, muss der Button ‘‘Connection‘‘ aktiviert werden
 
Eine Internetverbindung per UMTS oder WLAN muss bestehen.
 
 
 
 
 
 
[[Datei:iPad_pic5.png|250px|thumb|right|OpenVPN Connect]]
Der ‘‘Status‘‘ wechselt von Disconnected zu Connected und oben in der Statusanzeige erscheint das Symbol [[Datei:iPad_VPNsym.png|25px]].
 
 
 
 
 
 
 
 
 
 
 
Damit ist die Verbindung zur Securepoint UTM hergestellt.

Version vom 10. April 2019, 14:25 Uhr

Erstellen der Konfigurations-Dateien für eine SSL-VPN Roadwarrior Verbindung mit iOS oder Android

Letze Anpassung zur Version: 11.8.2

Bemerkung:
  • Artikelanpassung
  • Verwendung der Securepoint Mobile Security App für iOS bzw. Android

Vorherige Versionen: 11.6.11 / 11.7.1


Einleitung

Da es immer wieder Probleme mit IPSec- und L2TP-VPN durch doppelt genattete Verbindungen oder gesperrte Ports im Zusammenhang mit Mobilen Geräten gibt, haben wir dieses zum Anlass genommen, diese Konfiguration in einem Wiki zu beschreiben.

Vorbereitungen

Voraussetzung ist die Einrichtung eines SSL-VPN Roadwarrior auf der Securepoint Firewall wie im Artikel SSL-VPN Roadwarrior-Wiki beschrieben.

Konfigurationsdateien bereitstellen

Die Konfigurationsdateien lassen sich in der Benutzerverwaltung herunterladen:

  • Unter → Authentifizierung →Benutzer / Benutzer wird der Benutzer ausgewählt,
    für den eine SSL-VPN-Verbindung eingerichtet werden soll.

  • Aufrufen der Details mit














































Beschriftung Wert Beschreibung Benutzer hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6 Authentifizierung Benutzer SSL-VPN.pngSSL-VPN Einstellungen für Benutzer
Einstellungen aus der Gruppe verwenden: Nein Wenn der Benutzer Mitglied einer Gruppe ist, können die Einstellungen von dort übernommen werden. Die folgenden Einstellungen werden dann hier ausgeblendet und sind im Menü Authentifizierung Benutzer  Bereich Gruppen zu konfigurieren.
Client im Userinterface herunterladbar: Ja Der Securepoint VPN-Windows-Client kann im User Webinterface (im Standard über Port 1443 erreichbar) heruntergeladen werden. Der Port ist konfigurierbar im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen Schaltfläche Webserver / User Webinterface Port: : 1443Link=.
SSL-VPN Verbindung: RW-Securepoint Auswahl einer Verbindung, die im Menü VPN SSL-VPN angelegt wurde.
Client-Zertifikat: cs-sslvpn-rw(1) Es muss ein Zertifikat angegeben werden, mit dem sich der Client gegenüber der UTM authentifiziert.
Es können auch ACME-Zertifikate genutzt werden.
Remote Gateway: 192.168.0.162 (Beispiel-IP) Externe IP-Adresse oder im DNS auflösbare Adresse des Gateways, zu dem die Verbindung hergestellt werden soll.
Redirect Gateway: Ein Bei Aktivierung wird der gesamte Netzwerkverkehr des Clients über das gewählte Gateway gesendet.


Herunterladen der Konfigurationsdateien, die in der Securepoint Mobile Security App verwendet werden mit Konfiguration .
Die .zip-Datei kann nun an das mobile Gerät übertragen werden:

  iOS
Verwendung von iTunes, Apple-Konfigurator2 oder über einen geeigneten Cloud-Dienst.
  Android
Übertragung per USB oder über einen geeigneten Cloud-Dienst.

Von der Übertragung per Mail oder Cloud-Dinesten, die nicht GSGVO-konform sind, wird aus Sicherheitsgründen abgeraten !

Import der Konfigurations-Datei, in der jeweiligen App, wie beschrieben: iOS bzw. Android