KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (3 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 39: | Zeile 39: | ||
| Push DNS/WINS }} | | Push DNS/WINS }} | ||
{{var | DNS WINS übermitteln--desc | {{var | DNS WINS übermitteln--desc | ||
| Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet {{Button||w}} und im | | Damit DNS/WINS übermittelt werden kann, muss die konfigurierte VPN-Verbindung bearbeitet {{Button||w}} und im Abschnitt {{Reiter|Erweitert}} aktiviert werden. | ||
| In order for DNS/WINS to be transmitted, the configured VPN connection must be edited {{button||w}} and enabled in the {{Reiter|Advanced}} tab. }} | | In order for DNS/WINS to be transmitted, the configured VPN connection must be edited {{button||w}} and enabled in the {{Reiter|Advanced}} tab. }} | ||
{{var | 1=Abb | {{var | 1=Abb | ||
| Zeile 45: | Zeile 45: | ||
| 3=Fig. }} | | 3=Fig. }} | ||
{{var | Globale VPN Einstellungen für DNS/WINS--Bild | {{var | Globale VPN Einstellungen für DNS/WINS--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Globale VPN-Einstellungen.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Globale VPN-Einstellungen-en.png }} | ||
{{var | Globale VPN Einstellungen für DNS/WINS--cap | {{var | Globale VPN Einstellungen für DNS/WINS--cap | ||
| IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen | | IP des DNS-Servers im Netz der UTM als primären DNS-Server / WINS-Server eintragen | ||
| Enter the IP of the DNS server in the UTM network as the primary DNS server / WINS server. }} | | Enter the IP of the DNS server in the UTM network as the primary DNS server / WINS server. }} | ||
{{var | Globale VPN Einstellungen | |||
| Globale VPN Einstellungen | |||
| Global VPN settings }} | |||
{{var | SSL-VPN Verbindung bearbeiten | |||
| SSL-VPN Verbindung bearbeiten | |||
| Edit SSL-VPN connection }} | |||
{{var | DNS WINS übermitteln--Bild | {{var | DNS WINS übermitteln--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior DNS-WINS aktiviert.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior DNS-WINS aktiviert-en.png }} | ||
{{var | DNS WINS übermitteln--cap | {{var | DNS WINS übermitteln--cap | ||
| SSL-VPN Verbindung bearbeiten | | SSL-VPN Verbindung bearbeiten | ||
| Zeile 60: | Zeile 66: | ||
| Adds a search domain to internal names: ''tk-Server1'' → ''tk-Server1.intern.ttt-point.de''<br> This setting can be made in the {{Button||w}} settings of the VPN connection in the {{Reiter|General}} tab. }} | | Adds a search domain to internal names: ''tk-Server1'' → ''tk-Server1.intern.ttt-point.de''<br> This setting can be made in the {{Button||w}} settings of the VPN connection in the {{Reiter|General}} tab. }} | ||
{{var | Search Domain--Bild | {{var | Search Domain--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Allgemeine Search Domain.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Allgemeine Search Domain-en.png }} | ||
{{var | Search Domain--cap | {{var | Search Domain--cap | ||
| Search Domain vorgeben | | Search Domain vorgeben | ||
| Zeile 78: | Zeile 84: | ||
| Setup Wizard }} | | Setup Wizard }} | ||
{{var | Einrichtungsassistent--desc | {{var | Einrichtungsassistent--desc | ||
| Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann der Einrichtungs-Assistent mit {{Menu|VPN|SSL-VPN| |SSL-VPN Verbindung hinzugefügen|+}} aufgerufen werden. | | Nach dem Login auf dem Administrations-Interface der Firewall (im Auslieferungszustand: [https://192.168.175.1:11115 https://192.168.175.1:11115]) kann der Einrichtungs-Assistent mit {{Menu-UTM|VPN|SSL-VPN| |SSL-VPN Verbindung hinzugefügen|+}} aufgerufen werden. | ||
| After the login on the firewall's administration interface (by default: [https://192.168.175.1:11115 https://192.168.175.1:11115]), the setup wizard can be called up with {{Menu|VPN|SSL-VPN| |Add SSL-VPN connection|+}}. }} | | After the login on the firewall's administration interface (by default: [https://192.168.175.1:11115 https://192.168.175.1:11115]), the setup wizard can be called up with {{Menu-UTM|VPN|SSL-VPN| |Add SSL-VPN connection|+}}. }} | ||
{{var | Schritt | {{var | Schritt | ||
| Schritt | | Schritt | ||
| Zeile 95: | Zeile 101: | ||
For the configuration of the Roadwarrior Server this one is selected. }} | For the configuration of the Roadwarrior Server this one is selected. }} | ||
{{var | Schritt 1--Bild | {{var | Schritt 1--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt1.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt1-en.png }} | ||
{{var | Einrichtung Schritt | |||
| Einrichtung Schritt | |||
| Setup step }} | |||
{{var | SSL-VPN Verbindung hinzufügen | |||
| SSL-VPN Verbindung hinzufügen | |||
| Add SSL-VPN connection }} | |||
{{var | Schritt 2--desc | {{var | Schritt 2--desc | ||
| Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. | | Soll im Quell- und Zielnetz IPv6 verwendet werden, muss dies hier ermöglicht werden. | ||
| If IPv6 is to be used in the source and destination network, this must be enabled here. }} | | If IPv6 is to be used in the source and destination network, this must be enabled here. }} | ||
{{var | Schritt 2--Bild | {{var | Schritt 2--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt2.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt2-en.png }} | ||
{{var | Schritt 3--desc | {{var | Schritt 3--desc | ||
| Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden. | | Lokale Einstellungen für den Roadwarrior Server können in Schritt 3 getätigt werden. | ||
| Local settings for the Roadwarrior server can be made in step 3. }} | | Local settings for the Roadwarrior server can be made in step 3. }} | ||
{{var | Schritt 3--Bild | {{var | Schritt 3--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt3.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt3-en.png }} | ||
{{var | Name--desc | {{var | Name--desc | ||
| Eindeutige Bezeichnung, frei wählbar | | Eindeutige Bezeichnung, frei wählbar | ||
| Zeile 126: | Zeile 138: | ||
{{var | 1=Serverzertifikat--desc | {{var | 1=Serverzertifikat--desc | ||
| 2=Auswahl des Zertifikates, mit dem der Server sich Authentifiziert.<br> Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit {{Button||mw}}<br> | | 2=Auswahl des Zertifikates, mit dem der Server sich Authentifiziert.<br> Sollte noch kein Serverzertifikat vorliegen, kann dieses (und ggf. auch eine CA) in der Zertifikatsverwaltung erstellt werden. Aufruf mit {{Button||mw}}<br> | ||
* Erstellung einer CA im | * Erstellung einer CA im Abschnitt {{Reiter|CA}} mit der Schaltfläche {{Button|CA hinzufügen|+}} | ||
* Erstellung eines Serverzertifikates im | * Erstellung eines Serverzertifikates im Abschnitt {{Reiter|Zertifikate}} mit der Schaltfläche {{Button|Zertifikat hinzufügen|+}}.<br> Bitte beachten: {{b|Serverzertifikat:}} {{ButtonAn|Ein}} aktivieren | ||
* Erstellung des Client-Zertifikates mit der Schaltfläche {{Button|Zertifikat hinzufügen|+}} | * Erstellung des Client-Zertifikates mit der Schaltfläche {{Button|Zertifikat hinzufügen|+}} | ||
<li class="list--element__alert list--element__hint">Für jeden Benutzer sollte ein eigenes | <li class="list--element__alert list--element__hint">Für jeden Benutzer sollte ein eigenes Client-Zertifikat erstellt werden.</li> | ||
<li class="list--element__alert list--element__hint">Beide Zertifikate (Server ''CS'' und Client ''CC'') müssen mit der selben CA erstellt werden!</li> | <li class="list--element__alert list--element__hint">Beide Zertifikate (Server ''CS'' und Client ''CC'') müssen mit der selben CA erstellt werden!</li> | ||
<li class="list--element__alert list--element__hint">Das ''Client''-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche {{Button||d}} exportiert werden.</li> | <li class="list--element__alert list--element__hint">Das ''Client''-Zertifikat und die zugehörige CA werden ebenfalls zur Konfiguration der Gegenstelle (Client) benötigt. Sie müssen mit der Schaltfläche {{Button||d}} exportiert werden.</li> | ||
| Zeile 152: | Zeile 164: | ||
| In installation step 4, the transfer network for the Roadwarrior is entered.<br> The transfer network can be freely selected, but must be otherwise unused on the UTM. }} | | In installation step 4, the transfer network for the Roadwarrior is entered.<br> The transfer network can be freely selected, but must be otherwise unused on the UTM. }} | ||
{{var | Schritt 4--Bild | {{var | Schritt 4--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt4.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt4-en.png }} | ||
{{var | Schritt 5--desc | {{var | Schritt 5--desc | ||
| Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.<br> Danach kann der Einrichtungsassistent abgeschlossen werden. | | Die Benutzerauthentisierung wird im letzten Schritt ausgewählt.<br> Danach kann der Einrichtungsassistent abgeschlossen werden. | ||
| Zeile 164: | Zeile 176: | ||
* Radius <nowiki>=</nowiki> Radius Server. }} | * Radius <nowiki>=</nowiki> Radius Server. }} | ||
{{var | Schritt 5--Bild | {{var | Schritt 5--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt5.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt5-en.png }} | ||
{{var | Abschluss | {{var | Abschluss | ||
| Abschluss | | Abschluss | ||
| Completion }} | | Completion }} | ||
{{var | Abschluss--Bild | {{var | Abschluss--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt6.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Schritt6-en.png }} | ||
{{var | Einrichtung Abschluss | |||
| Einrichtung Abschluss | |||
| Setup completion }} | |||
{{var | Abschluss--desc | {{var | Abschluss--desc | ||
| <p>In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.</p> | | <p>In der SSL-VPN Übersicht werden alle konfigurierten Verbindungen angezeigt.</p> | ||
| Zeile 183: | Zeile 198: | ||
| Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden! | | Es wird lediglich ein Roadwarrior-Server benötigt, um mehrere VPN-Benutzer anzubinden! | ||
| Only one Roadwarrior server is needed to connect multiple VPN users! }} | | Only one Roadwarrior server is needed to connect multiple VPN users! }} | ||
{{var | | {{var | Verbindung bearbeiten | ||
| | | Verbindung bearbeiten | ||
| | | Edit connection }} | ||
{{var | Allgemein | |||
| Allgemein | |||
| General }} | |||
{{var | Reiter Allgemein Name--desc | {{var | Reiter Allgemein Name--desc | ||
| Name der SSL-Verbindung | | Name der SSL-Verbindung | ||
| Name of the SSL connection }} | | Name of the SSL connection }} | ||
{{var | Reiter Allgemein--Bild | {{var | Reiter Allgemein--Bild | ||
| UTM v12. | | UTM v12.6.1 SSL-VPN RW Verbindung bearbeiten Allgemein.png | ||
| UTM v12. | | UTM v12.6.1 SSL-VPN RW Verbindung bearbeiten Allgemein-en.png }} | ||
{{var | Schnittstelle | {{var | Schnittstelle | ||
| Schnittstelle | | Schnittstelle | ||
| Zeile 216: | Zeile 234: | ||
| Das verwendete Zertifikat kann hier geändert werden | | Das verwendete Zertifikat kann hier geändert werden | ||
| The used certificate can be changed here }} | | The used certificate can be changed here }} | ||
{{var | Statischer SSL-VPN Schlüssel | |||
| Statischer SSL-VPN Schlüssel | |||
| Static SSL-VPN key }} | |||
{{var | Statischer SSL-VPN Schlüssel--desc | |||
| 2=Absicherung der Verbindung mit tls-auth.<li class="list--element__alert list--element__positiv">Der Schlüssel muss den Typ OVPN_STATIC_KEY haben.</li> | |||
| 3=Securing the connection with tls-auth.<li class="list--element__alert list--element__positive">The key must have the type OVPN_STATIC_KEY.</li> }} | |||
{{var | Cipher für Datenverbindungen | {{var | Cipher für Datenverbindungen | ||
| Cipher für Datenverbindungen | | Cipher für Datenverbindungen | ||
| Cipher for data connections }} | | Cipher for data connections }} | ||
{{var | Cipher für Datenverbindungen--desc | {{var | Cipher für Datenverbindungen--desc | ||
| | | Standardmäßig wird AES-128-CBC verwendet.<br> {{Alert|g}} Sämtliche Gegenstellen müssen denselben Cipher benutzen! | ||
| | | AES-128-CBC is used by default.<br> {{Alert|g}} All remote peers must use the same cipher! }} | ||
{{var | Hash für Datenverbindung | {{var | Hash für Datenverbindung | ||
| Hash für Datenverbindung | | Hash für Datenverbindung | ||
| Hash for data connection }} | | Hash for data connection }} | ||
{{var | Hash für Datenverbindung--desc | {{var | Hash für Datenverbindung--desc | ||
| | | Standardmäßig wird SHA256 verwendet.<br> {{Alert|g}} Sämtliche Gegenstellen müssen dasselbe Hashverfahren benutzen! | ||
| Default settings of OpenSSL are used.<br> {{Alert|g}} All remote stations must use the same hash procedure! }} | | Default settings of OpenSSL are used.<br> {{Alert|g}} All remote stations must use the same hash procedure! }} | ||
{{var | Erlaubte Cipher für automatische Aushandlung | {{var | Erlaubte Cipher für automatische Aushandlung | ||
| Zeile 262: | Zeile 286: | ||
| Save }} | | Save }} | ||
{{var | Speichern--desc | {{var | Speichern--desc | ||
| | | Die Einstellungen können mit {{Button-dialog||fa-floppy-disk-circle-xmark}} gespeichert werden. | ||
| | | The settings can be saved with {{Button-dialog||fa-floppy-disk-circle-xmark}}. }} | ||
{{var | Erweitert | {{var | Erweitert | ||
| Erweitert | | Erweitert | ||
| Extended }} | | Extended }} | ||
{{var | Erweitert--Bild | {{var | Erweitert--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Verbindung bearbeiten Erweitert.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Verbindung bearbeiten Erweitert-en.png }} | ||
{{var | MTU--desc | {{var | MTU--desc | ||
| Maximale Übertragungseinheit des größten Pakets (Byte) | | Maximale Übertragungseinheit des größten Pakets (Byte) | ||
| Zeile 361: | Zeile 385: | ||
| Implied rules }} | | Implied rules }} | ||
{{var | Implizite Regeln--Bild | {{var | Implizite Regeln--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Implizite Regeln.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Implizite Regeln-en.png }} | ||
{{var | Implizite Regeln--desc | {{var | Implizite Regeln--desc | ||
| <p>Unter {{Menu|Firewall|Implizite Regeln|VPN}} kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden. </p> | | <p>Unter {{Menu-UTM|Firewall|Implizite Regeln|VPN}} kann das Protokoll, das für die Verbindung genutzt wird, aktiviert werden. </p> | ||
<p>Im Beispiel {{ButtonAn|Ein}} SSL-VPN UDP</p> | <p>Im Beispiel {{ButtonAn|Ein}} SSL-VPN UDP {{c|1}}</p> | ||
<p>Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf | <p>Diese Implizite Regel gibt die Ports, die für SSL-VPN Verbindungen genutzt werden, auf allen Schnittstellen frei. Paketfilter-Regeln anstelle von impliziten Regeln können das individuell für einzelne Schnittstellen regeln.<br> | ||
Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:<br> | Soll der Anwender den Client vom User-Interface herunterladen, muss dies hier zusätzlich freigegeben werden:<br> | ||
{{ButtonAn|Ein}} {{ic|User Interface Portal|tr-odd}} </p> | {{ButtonAn|Ein}} {{ic|User Interface Portal|tr-odd}} {{c|2}}</p> | ||
| <p> | | <p>The protocol used for the connection can be activated under {{Menu-UTM|Firewall|Implied rules|VPN}}. </p> | ||
<p>In the example {{ButtonAn|On}} SSL-VPN UDP</p> | <p>In the example {{ButtonAn|On}} SSL-VPN UDP {{c|1}}</p> | ||
<p>This | <p>This implied rule releases the ports that are used for SSL-VPN connections on all interfaces. Packet filter rules instead of implied rules can regulate this individually for individual interfaces.<br> | ||
{{ButtonAn|On}} {{ic|User Interface Portal|tr-odd}} </p> }} | If the user is to download the client from the user interface, this must also be enabled here:<br> | ||
{{ButtonAn|On}} {{ic|User Interface Portal|tr-odd}} {{c|2}}</p> }} | |||
{{var | Implizite Regeln--Hinweis--Portänderung | {{var | Implizite Regeln--Hinweis--Portänderung | ||
| Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde. | | Gegebenenfalls muss das Userinterface auf einen anderen Port gelegt werden, wenn Port 443 an einen internen Server weitergeleitet wurde. | ||
| Zeile 380: | Zeile 405: | ||
| Network objects }} | | Network objects }} | ||
{{var | Netzwerkobjekte--desc | {{var | Netzwerkobjekte--desc | ||
| <p>Mit der Einrichtung der Verbindung wurde ein | | <p>Mit der Einrichtung der Verbindung wurde ein tun-Interface erzeugt. Es erhält automatisch die erste IP-Adresse aus dem in der Verbindung konfigurierten Transfernetz und eine Zone "vpn-ssl-<servername>". </p> | ||
<p>Die Roadwarrior-Clients erhalten eine IP aus diesem Netz und befinden sich in dieser Zone.<br> Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden. </p> | <p>Die Roadwarrior-Clients erhalten eine IP-Adresse aus diesem Netz und befinden sich in dieser Zone.<br> Um den Roadwarriorn den Zugriff auf das eigene Netz zu gewähren, muss dafür ein Netzwerkobjekt angelegt werden. </p> | ||
| <p>A | | <p>A tun interface was created when the connection was set up. It automatically receives the first IP address from the transfer network configured in the connection and a zone "vpn-ssl-<servername>". </p> | ||
<p>The Roadwarrior clients will receive an IP from this network and will be located in this zone.<br> To grant the roadwarriors access to your own network, a network object must be created. </p> }} | <p>The Roadwarrior clients will receive an IP address from this network and will be located in this zone.<br> To grant the roadwarriors access to your own network, a network object must be created. </p> }} | ||
{{var | Netzwerkobjekte--Bild | {{var | Netzwerkobjekte--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Netzwerkobjekt hinzufuegen.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Netzwerkobjekt hinzufuegen-en.png }} | ||
{{var | Netzwerkobjekte--cap | {{var | Netzwerkobjekte--cap | ||
| Netzwerkobjekt für das Tunnelnetzwerk | | Netzwerkobjekt für das Tunnelnetzwerk | ||
| Zeile 414: | Zeile 439: | ||
| Optionale Zuordnung zu Netzwerkgruppen | | Optionale Zuordnung zu Netzwerkgruppen | ||
| Optional assignment to network groups }} | | Optional assignment to network groups }} | ||
{{var | | {{var | Paketfilter | ||
| | | Paketfilter | ||
| | | Packetfilter }} | ||
{{var | | {{var | Paketfilter Regel | ||
| Menü {{Menu|Firewall| | | Paketfilter Regel | ||
| Menu {{Menu|Firewall|Port Filter|Port Filter|Add Rule|+}}<br> A rule allows RW clients to access the local network: }} | | Packetfilter rule }} | ||
{{var | Paketfilter Regel--desc | |||
| Menü {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}}<br> Eine Regel erlaubt den RW-Clients den Zugriff auf das lokale Netzwerk: | |||
| Menu {{Menu-UTM|Firewall|Port Filter|Port Filter|Add Rule|+}}<br> A rule allows RW clients to access the local network: }} | |||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| General }} | | General }} | ||
{{var | | {{var | Paketfilter Regel--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Paketfilter hinzufuegen.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Paketfilter hinzufuegen-en.png }} | ||
{{var | Regel hinzufügen | |||
| Regel hinzufügen | |||
| Add rule }} | |||
{{var | Netzwerkobjekt hinzufügen | |||
| Netzwerkobjekt hinzufügen | |||
| Add network object }} | |||
{{var | Quelle | {{var | Quelle | ||
| Quelle | | Quelle | ||
| Zeile 453: | Zeile 487: | ||
| Gruppe | | Gruppe | ||
| Group }} | | Group }} | ||
{{var | Berechtigungen | |||
| Berechtigungen | |||
| Permissions }} | |||
{{var | Gruppe--Bild | {{var | Gruppe--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Gruppe hinzufuegen Berechtigung.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Gruppe hinzufuegen Berechtigung-en.png }} | ||
{{var | Gruppe--cap | {{var | Gruppe--cap | ||
| SSL-VPN Einstellungen für die Gruppe | | SSL-VPN Einstellungen für die Gruppe | ||
| SSL-VPN settings for the group }} | | SSL-VPN settings for the group }} | ||
{{var | Gruppe hinzufügen | |||
| Gruppe hinzufügen | |||
| Add group }} | |||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Unter {{Menu|Authentifizierung|Benutzer|Gruppe|+ Gruppe hinzufügen}} klicken.<br> | | Unter {{Menu-UTM|Authentifizierung|Benutzer|Gruppe|+ Gruppe hinzufügen}} klicken.<br> | ||
Folgende Berichtigungen müssen erteilt werden: | Folgende Berichtigungen müssen erteilt werden: | ||
* {{ButtonAn|Ein}} {{ic|Userinterface|tr | * {{ButtonAn|Ein}} {{ic|Userinterface|tr}} | ||
* {{ButtonAn|Ein}} {{ic|SSL-VPN|tr | * {{ButtonAn|Ein}} {{ic|SSL-VPN|tr}} | ||
| Under {{Menu|Authentication|Users|Group|+ Add Group}}.<br> | | Under {{Menu-UTM|Authentication|Users|Group|+ Add Group}}.<br> | ||
The following authorisations must be given: | The following authorisations must be given: | ||
* {{ButtonAn|On}} {{ic|Userinterface|tr-odd}} | * {{ButtonAn|On}} {{ic|Userinterface|tr-odd}} | ||
* {{ButtonAn|On}} {{ic|SSL-VPN|tr-even}} }} | * {{ButtonAn|On}} {{ic|SSL-VPN|tr-even}} }} | ||
{{var | Einstellungen im Reiter SSL-VPN--Bild | {{var | Einstellungen im Reiter SSL-VPN--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Gruppe hinzufuegen SSL-VPN.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior Gruppe hinzufuegen SSL-VPN-en.png }} | ||
{{var | Client im Userinterface herunterladbar | {{var | Client im Userinterface herunterladbar | ||
| Client im Userinterface herunterladbar: | | Client im Userinterface herunterladbar: | ||
| Zeile 486: | Zeile 523: | ||
| Soeben angelegte Verbindung wählen | | Soeben angelegte Verbindung wählen | ||
| Select just created connection }} | | Select just created connection }} | ||
{{var | | {{var | Clientzertifikat | ||
| | | Clientzertifikat | ||
| Client | | Client-Certificate }} | ||
{{var | Client-Zertifikat--desc | {{var | Client-Zertifikat--desc | ||
| Auswahl des Client-Zertifikates, das in [[#Schritt 3 | Schritt 3]] des Einrichtungsassistenten beschrieben wurde. | | Auswahl des Client-Zertifikates, das in [[#Schritt 3 | Schritt 3]] des Einrichtungsassistenten beschrieben wurde. | ||
| Selection of the client certificate described in [[#Step 3 | Step 3]] of the setup wizard. }} | | Selection of the client certificate described in [[#Step 3 | Step 3]] of the setup wizard. }} | ||
{{var | Ja | |||
| Ja | |||
| Yes }} | |||
{{var | Client-Zertifikat--Hinweis | {{var | Client-Zertifikat--Hinweis | ||
| Server- und Client-Zertifikat müssen mit der selben CA erstellt werden! | | Server- und Client-Zertifikat müssen mit der selben CA erstellt werden! | ||
| Zeile 505: | Zeile 545: | ||
| Available in the port filter: }} | | Available in the port filter: }} | ||
{{var | Im Portfilter verfügbar--desc | {{var | Im Portfilter verfügbar--desc | ||
| Ermöglicht [[UTM/RULE/ibf | Identity-Based Firewall (IBF) für SSL-VPN ]] | | Ermöglicht [[UTM/RULE/ibf | Identity-Based Firewall (IBF) für SSL-VPN]] | ||
| Enables [[UTM/RULE/ibf | Identity-Based Firewall (IBF) for SSL-VPN ]] }} | | Enables [[UTM/RULE/ibf | Identity-Based Firewall (IBF) for SSL-VPN]] }} | ||
{{var | Benutzer | {{var | Benutzer | ||
| Benutzer | | Benutzer | ||
| User }} | | User }} | ||
{{var | Benutzer--Hinweis | {{var | Benutzer--Hinweis | ||
| Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im | | Wurde im vorhergehenden Schritt (anlegen einer Gruppe) im Abschnitt {{Reiter|Verzeichnis Dienst}} keine Gruppenzuordnung vorgenommen, muss jeder Benutzer auch auf der UTM angelegt werden. | ||
| If no group assignment was made in the previous step (create a group) in the {{Reiter|Directory Service}} tab, each user must also be created on the UTM. }} | | If no group assignment was made in the previous step (create a group) in the {{Reiter|Directory Service}} tab, each user must also be created on the UTM. }} | ||
{{var | Benutzer--desc | {{var | Benutzer--desc | ||
| {{Menu|Authentifizierung|Benutzer|Benutzer|Benutzer hinzufügen|+}} oder Benutzer bearbeiten {{Button| |w}}. | | {{Menu-UTM|Authentifizierung|Benutzer|Benutzer|Benutzer hinzufügen|+}} oder Benutzer bearbeiten {{Button| |w}}. | ||
| {{Menu|Authentication|User|User|Add User|+}} or Edit User {{Button| |w}}. }} | | {{Menu-UTM|Authentication|User|User|Add User|+}} or Edit User {{Button| |w}}. }} | ||
{{var | Benutzer--Bild | {{var | Benutzer--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Benutzer hinzufuegen SSL-VPN.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Benutzer hinzufuegen SSL-VPN-en.png }} | ||
{{var | Benutzer bearbeiten | |||
| Benutzer bearbeiten | |||
| Add user }} | |||
{{var | Benutzer--cap | {{var | Benutzer--cap | ||
| SSL-VPN Einstellungen für die Benutzer | | SSL-VPN Einstellungen für die Benutzer | ||
| Zeile 550: | Zeile 593: | ||
| Downloading the SSL-VPN client in the user interface }} | | Downloading the SSL-VPN client in the user interface }} | ||
{{var | Download--Bild | {{var | Download--Bild | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Userinterface Client download.png | ||
| | | UTM v12.6 SSL-VPN Roadwarrior Userinterface Client download-en.png }} | ||
{{var | Download--cap | {{var | Download--cap | ||
| Userinterface | | Userinterface SSL-VPN | ||
| Userinterface }} | | Userinterface SSL-VPN }} | ||
{{var | Download--desc | {{var | Download--desc | ||
| Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:<br> | | Für Benutzer, die sich per SSL-VPN mit der UTM verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung:<br> | ||
* Zum Download gelangt man über den Menüpunkt {{Menu-UTM||SSL-VPN}}. | |||
* Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate. | * Dieser Client enthält die Konfigurationsdateien sowie sämtliche benötigten Zertifikate. | ||
* Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki> | * Anmeldung im Userinterface der UTM per default über den Port 443, also z.b. unter <nowiki>https://192.168.75.1</nowiki> | ||
* Erreicht wird das Userinterface über das '''interne Interface''' der Securepoint Appliance. | * Erreicht wird das Userinterface über das '''interne Interface''' der Securepoint Appliance. | ||
| For users who | | For users who want to connect to the UTM via SSL-VPN, the appliance provides a preconfigured SSL-VPN client:<br> | ||
* Access the download via the menu item {{Menu-UTM||SSL-VPN}}. | |||
* This client contains the configuration files and all required certificates. | * This client contains the configuration files and all required certificates. | ||
* | * Login to the user interface of the UTM by default via port 443, e.g. under <nowiki>https://192.168.75.1</nowiki> | ||
* The user interface is | * The user interface is accessed via the '''internal interface''' of the Securepoint appliance.}} | ||
{{var | Download--Hinweis | {{var | Download--Hinweis | ||
| Ein Zugriff von ''externen'' Benutzern ist nur möglich, wenn die Implizite SSL Regel unter {{Menu|Firewall|Implizite Regeln}} aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt. | | Ein Zugriff von ''externen'' Benutzern ist nur möglich, wenn die Implizite SSL Regel unter {{Menu-UTM|Firewall|Implizite Regeln|VPN Option}} {{ButtonAn|Ein}} ''User Interface Portal'' aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt. | ||
| Access from ''external'' users is only possible if the Implied SSL rule is enabled under {{Menu|Firewall|Implied Rules}}, which allows access from the Internet to the external interface via HTTPS. }} | | Access from ''external'' users is only possible if the Implied SSL rule is enabled under {{Menu-UTM|Firewall|Implied Rules|VPN Option}} {{ButtonAn|On}} ''User Interface Portal'', which allows access from the Internet to the external interface via HTTPS. }} | ||
{{var | Download--Möglichkeit | {{var | Download--Möglichkeit | ||
| Der Client wird angeboten als: | | Der Client wird angeboten als: | ||
| Zeile 703: | Zeile 748: | ||
| Adjustment of the default cipher as of v12.2.2 }} | | Adjustment of the default cipher as of v12.2.2 }} | ||
{{var | 1=Cipher-Anpassung--desc | {{var | 1=Cipher-Anpassung--desc | ||
| 2=Ab v12.2.2 ist in der Einstellung {{Button|Default|dr}} der {{b|Cipher für Datenverbindung}} nicht mehr Blowfish-CBC enthalten.<br>Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.<br> Es wird '''dringend empfohlen''', die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.<br>Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.<br> Anpassung auf der UTM mit der Schaltfläche {{Button||w}} der jeweiligen Verbindung im Reiter Allgemein im Feld ''Cipher für Datenverbindung''. | | 2=Ab v12.2.2 ist in der Einstellung {{Button|Default|dr}} der {{b|Cipher für Datenverbindung}} nicht mehr Blowfish-CBC enthalten.<br>Verwendet der Client diese Cipher und beherrscht kein NCP, mit dem die Cipher automatisch ausgehandelt wird, kommt keine Verbindung zustande. Die Cipher muss angepasst werden.<br> Es wird '''dringend empfohlen''', die Cipher BF-CBC nicht mehr zu verwenden, da sie als unsicher gilt.<br>Soll die Cipher BF-CBC trotzdem verwendet werden, kann dieses explizit ausgewählt werden.<br> Anpassung auf der UTM mit der Schaltfläche {{Button||w}} der jeweiligen Verbindung im Abschnitt {{Reiter|Allgemein}} im Feld ''Cipher für Datenverbindung''. | ||
| 3=As of v12.2.2, the {{Button|Default|dr}} setting of the {{b|Cipher for data connection}} no longer includes Blowfish-CBC.<br>If the client uses this cipher and is not able to handle NCP, with which the cipher is negotiated automatically, no connection is established. The cipher must be adjusted.<br> It is '''strongly recommended''' to stop using the BF-CBC cipher because it is considered '''not''' secure.<br>If the BF-CBC cipher is to be used anyway, it can be selected explicitly.<br> Adjustment on the UTM with the {{Button||w}} button of the respective connection in the General tab in the ''Cipher for data connection'' field. }} | | 3=As of v12.2.2, the {{Button|Default|dr}} setting of the {{b|Cipher for data connection}} no longer includes Blowfish-CBC.<br>If the client uses this cipher and is not able to handle NCP, with which the cipher is negotiated automatically, no connection is established. The cipher must be adjusted.<br> It is '''strongly recommended''' to stop using the BF-CBC cipher because it is considered '''not''' secure.<br>If the BF-CBC cipher is to be used anyway, it can be selected explicitly.<br> Adjustment on the UTM with the {{Button||w}} button of the respective connection in the General tab in the ''Cipher for data connection'' field. }} | ||
{{var | Cipher-Anpassung--Default--Bild | {{var | Cipher-Anpassung--Default--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Default-en.png }} | ||
{{var | Cipher-Anpassung--Default--cap | {{var | Cipher-Anpassung--Default--cap | ||
| Cipher und Hash mit ''Default''-Einstellungen<br>{{Hinweis-box| Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt|g|icon=fas fa-ban}} | | Cipher und Hash mit ''Default''-Einstellungen<br>{{Hinweis-box| Nicht kompatibel, wenn die Gegenstelle nur mit Blowfish verschlüsselt|g|icon=fas fa-ban}} | ||
| Cipher and hash with ''default'' settings<br>{{Hinweis-box| Not compatible with Blowfish|g|icon=fas fa-ban}} }} | | Cipher and hash with ''default'' settings<br>{{Hinweis-box| Not compatible with Blowfish|g|icon=fas fa-ban}} }} | ||
{{var | Cipher-Anpassung--Blowfish--Bild | {{var | Cipher-Anpassung--Blowfish--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten Blowfish-en.png }} | ||
{{var | Cipher-Anpassung--Blowfish--cap | {{var | Cipher-Anpassung--Blowfish--cap | ||
| Cipher mit Blowfish-kompatiblen Einstellungen {{Hinweis-box| Nicht empfohlen}} | | Cipher mit Blowfish-kompatiblen Einstellungen {{Hinweis-box| Nicht empfohlen}} | ||
| Cipher with Blowfish compatible settings {{Hinweis-box| Not recommended}} }} | | Cipher with Blowfish compatible settings {{Hinweis-box| Not recommended}} }} | ||
{{var | Cipher-empfohlen--Bild | {{var | Cipher-empfohlen--Bild | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128.png | ||
| UTM v12. | | UTM v12.6 SSL-VPN Roadwarrior SSL-VPN bearbeiten AES128-en.png }} | ||
{{var | Cipher-empfohlen--cap | {{var | Cipher-empfohlen--cap | ||
| {{Hinweis-box| Empfohlene Einstellung<br><small>Muss auch auf der Gegenstelle konfiguriert sein</small>|gr|icon=fas fa-check}} | | {{Hinweis-box| Empfohlene Einstellung<br><small>Muss auch auf der Gegenstelle konfiguriert sein</small>|gr|icon=fas fa-check}} | ||
| Zeile 748: | Zeile 793: | ||
| IPv6 for incoming connections }} | | IPv6 for incoming connections }} | ||
{{var | IPv6 für eingehende Verbindungen--desc | {{var | IPv6 für eingehende Verbindungen--desc | ||
| In den Einstellungen des Roadwarriorservers {{Button||w}} kann im | | In den Einstellungen des Roadwarriorservers {{Button||w}} kann im Abschnitt {{Reiter|Allgemein}} / {{b|Protokoll}} das Protokoll {{Button|UDP6|dr}} oder {{Button|TCP6|dr}} für IPv6 aktiviert werden. | ||
| In the settings of the roadwarrior server {{Button||w}}, the protocol {{Button|UDP6|dr}} or {{Button|TCP6|dr}} for IPv6 can be activated under {{Reiter|General}} / {{b| Protocol}}. }} | | In the settings of the roadwarrior server {{Button||w}}, the protocol {{Button|UDP6|dr}} or {{Button|TCP6|dr}} for IPv6 can be activated under {{Reiter|General}} / {{b| Protocol}}. }} | ||
{{var | Troubleshooting | {{var | Troubleshooting | ||
| Zeile 763: | Zeile 808: | ||
| When activated, duplicate clients can connect simultaneously with the same credentials. }} | | When activated, duplicate clients can connect simultaneously with the same credentials. }} | ||
{{var | 1=Doppelte Clients erlauben--Feste IP | {{var | 1=Doppelte Clients erlauben--Feste IP | ||
| 2=Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde {{ | | 2=Sollte nicht aktiviert werden, wenn dem Benutzer eine feste IP zugeordnet wurde | ||
| 3=Should not be enabled if the user has been assigned a fixed IP }} | |||
{{var | Doppelte Clients erlauben--Feste IP--info | |||
| Konfiguration unter {{Menu-UTM|Authentifizierung|Benutzer|Benutzer||w}} Reiter {{Reiter|VPN}} Abschnitt {{Kasten|SSL-VPN}} | |||
| Configuration under {{Menu-UTM|Authentication|User|User||w}} {{Reiter|VPN}} tab {{Box|SSL-VPN}} section }} | |||
{{var | Aktuelle Version | {{var | Aktuelle Version | ||
| Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden | | Aus Sicherheitsgründen sollte stets die aktuellste Version verwendet werden | ||
| Zeile 771: | Zeile 819: | ||
| Konfigurationspfad anzeigen | | Konfigurationspfad anzeigen | ||
| Show configuration path }} | | Show configuration path }} | ||
{{var | Statischer SSL-VPN Schlüsseltyp | |||
| Statischer SSL-VPN Schlüsseltyp | |||
| Static SSL-VPN key type }} | |||
{{var | Statischer SSL-VPN Schlüsseltyp--desc | |||
| * Die Aktivierung von ''tls-auth'' bewirkt eine zusätzliche Authentifizierung des Kontrollkanals | |||
* ''tls-crypt'' bewirkt eine zusätzliche Authentifizierung '''und''' Verschlüsselung des Kontrollkanals | |||
| * Activation of ''tls-auth'' causes additional authentication of the control channel | |||
* ''tls-crypt'' causes additional authentication '''and'''' Encryption of the control channel }} | |||
{{var | | {{var | | ||
| | | | ||
UTM/VPN/SSL VPN-Roadwarrior.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki