Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-Roadwarrior v11.6: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{DISPLAYTITLE:Securepoint UTM IPSec Roadwarrior}} == Einleitung == Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierun…“)
 
Keine Bearbeitungszusammenfassung
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint UTM IPSec Roadwarrior}}
{{DISPLAYTITLE:Securepoint UTM SSL-VPN Roadwarrior}}
== Einleitung ==
=== Einleitung ===
Viele IPSec-Clients auf verschiedensten Betriebssystemen unterstützen die Authentifizierung über XAuth - also mit einem Usernamen und einem Passwort. Im Falle von iOS(iPhone/iPad) ist diese Authentifizierungsmethode sogar zwingend notwendig, um natives IPsec benutzen zu können. Deshalb soll hier dargelegt werden, wie in der Securepoint UTM V11 eine solche Verbindung eingerichtet wird.
In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem [[Glossar#VPN| Glossar]].<br>
'''Bitte beachten: Mit einem OpenVPN-Server können Sie mehrere OpenVPN-Clients anbinden. Es muss nicht für jede Client-Verbindung ein neuer Server angelegt werden.'''


== Regelwerk ==
===An der Appliance anmelden===
Zunächst kümmern wir uns um das Regelwerk. Dazu brauchen wir ein Netzwerk-Objekt, das den Client im Regelwerk repräsentiert. Dieser soll hier beispielhaft IPs aus dem Subnetz 192.168.255.0/24 bekommen. Hierzu gehen wir folgendermaßen vor:


* Öffnen Sie Firewall -> Portfilter
[[Datei:Loginv11.png|thumb|180px|<font size="1">Login Dialog</font>]]
* Gehen Sie auf den Karteireiter "Netzwerkobjekte"
*Öffnen Sie einen Webbrowser und geben Sie in die ''Adressleiste'' die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das ''HTTPS'' Protokoll.
* Legen Sie durch Klick auf den Button "+Objekt hinzufügen" ein neues Objekt an:
:Bsp.:  https://192.168.175.1:11115
*Melden Sie sich im Login Dialog als Administrator an.
:Werkseinstellungen:
:Benutzername: admin
:Kennwort: insecure


[[Datei:Ipsec-xauth-nw-objekt.png|200px|thumb|center|Netzwerkobjekt für die Clients]]
===Zertifikate ===
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|right|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
<br><br><br><br><br><br><br><br><br><br>
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:ServerZertifikat.png|200px|thumb|right|Server Zertifikate anlegen]]


'''Es werden mindestens 2 Zertifikate benötigt. '''
'''Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden.'''
'''Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.'''


Jetzt können wir Firewall-Regeln erzeugen, und zwar auf dem Reiter "PORTFILTER":
*Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
**Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.
<br><br><br><br><br><br><br><br><br><br>


[[Datei:Ipsec-xauth-fw-regel.png|200px|thumb|center|Netzwerkobjekt für die Clients]]
=== SSL Konfiguration===


Wichtig ist, dass unter Firewall -> Implizierte Regeln die für IPSec notwendigen Protokolle freigeschaltet werden:
[[Datei:SSL-1.png|thumb|240px|<font size="1"></font>]]
Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :
*Name
*Protokoll
*Port
*Benutzerauthentifizierung
*Serverzertifikat
*Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
*Diese IP dient uns als Transfernetzwerk. Es ist wichtig einen IP Beriech zu vergeben der noch nicht, auf den Firewalls, vergeben ist!
*Klicken Sie auf weiter
<br>
*Die MTU lassen Sie auf 1500
*Klicken Sie auf fertig


[[Datei:Ipsec-xauth-implizierte-regeln.png|200px|thumb|center|implizierte Regeln]]
[[Datei:SSL-be.png|thumb|240px|<font size="1"></font>]]
<br><br><br><br><br>
Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24).
Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).


Als letztes muss unter Firewall -> Implizierte Regeln -> IPSec der Punkt "Accept" aktiviert sein.
<br><br>
'''Beachten Sie:''' Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.
<br><br><br><br><br><br><br><br>


[[Datei:Ipsec-xauth-accept-regel.png|200px|thumb|center|Accept Regel]]
===Regelwerk===


Sollen alle VPN-Clients Vollzugriff auf das Netz haben, dann kann dies hier auf dem Karteireiter IPSEC TRAFFIC eingestellt und auf die Anlage von Netzwerkobjekt und Portfilterregel verzichtet werden.
[[Datei:SSL-Implizite-Regeln.png|thumb|240px|<font size="1"></font>]]
Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben.
Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen
Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:
*Internet -> external-interface -> Port 1195.
Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.


== Benutzer ==


*Öffnen Sie die Userverwaltung unter Authentifizierung -> Benutzer
<br><br><br><br><br><br><br><br><br><br>
*Zunächst muss eine Gruppe angelegt werden, der die Berechtigung zum Aufbau einer ipsec-Verbindung zugeteilt wird. Wechseln Sie dazu auf den Reiter "Gruppen".
[[Datei:SSLObjekt.png|thumb|240px|<font size="1"></font>]]
*Fügen Sie durch einen Klick auf "+Gruppe hinzufügen" eine neue Gruppe hinzu. Nennen Sie diese "ipsec-xauth" und fügen Sie die Berechtigung IPSEC-XAUTH hinzu.
Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk.
Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.  


[[Datei:Ipsec-xauth-usergruppe.png|200px|thumb|center|Usergruppe]]
<br><br><br><br><br><br><br><br>
[[Datei:SSL-Regel.png|thumb|240px|<font size="1"></font>]]
Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.


:Wechseln Sie nun auf den Karteireiter "Benutzer". Legen Sie einen User an und fügen die Gruppe ipsec-xauth hinzu, indem Sie diese mit der Maus markieren:


[[Datei:Ipsec-xauth-benutzer-allgemein.png |200px|thumb|center|Allgemeine Benutzereinstellungen]]
<br><br><br><br><br><br><br><br><br>


[[Datei:Ipsec-xauth-benutzer-gruppe.png |200px|thumb|center|Hinzufügen der Gruppe]]
===Benutzer und Gruppen anlegen===


== Verbindung anlegen ==
[[Datei:SSL-Gruppe.png|thumb|240px|<font size="1"></font>]]
Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL.
Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.


* Öffnen Sie die Übersicht der IPSec-Verbindungen unter VPN -> IPSec
[[Datei:SSL-Gruppen-Einstellung_2.png|thumb|240px|<font size="1"></font>]]
* Fügen Sie durch Klick auf die Schaltfläche "+Roadwarrior" eine neue Verbindung zu:
<br><br><br><br><br><br>
Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.


<br>Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download.
Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden.
'''Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.'''
<br><br><br><br>


* Schritt 1: Wählen Sie einen Namen für die Verbindung und wählen Sie als Verbindungstyp "IKEv1-Xauth" aus
===SSL-VPN-Verbindung als Client herstellen===
Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.


'''Bitte beachten Sie, dass Sie ab Windows 10 die zweier Versionen unseres SSLVPN-Clients benötigen. Der Download steht auf [http://my.securepoint.de my.securepoint.de] für Sie bereit. Bitte beachten Sie ebenfalls, dass Sie die TAP Treiber, mit Administratorenrechten, mit der zweier Versionen installieren.'''


[[Datei:Ipsec-xauth-assistent-step1.png|200px|thumb|center|Name und Verbindungstyp]]
==== Herunterladen des SSL-VPN Clients im Userinterface====


[[Datei:SSL-Userinterface.png|thumb|240px|<font size="1"></font>]]
Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
<br>
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS.


* Schritt 2: Wählen Sie als Verschlüsselung 3des/md5/modp1024 aus
    Bsp.: https://192.168.175.1  
 
    oder https://myHost.dyndns.org
 
[[Datei:Ipsec-xauth-assistent-step2.png|200px|thumb|center|Verschlüsselung]]
 
 
* Schritt 3: Geben Sie für die Authentifizierung einen Preshared Key an
 
 
[[Datei:Ipsec-xauth-assistent-step3.png|200px|thumb|center|Authentifizierung]]
 
 
* Schritt 4: Die Gateway-IDs können im Normalfall so gelassen werden.
 
 
[[Datei:Ipsec-xauth-assistent-step4.png|200px|thumb|center|Gateway IDs]]
 
 
* Schritt 5: Richten Sie das lokale Netzwerk sowie die remote IP/das remote Netz der Clients ein:
 
 
[[Datei:Ipsec-xauth-assistent-step5.png|200px|thumb|center|Subnetzkonfiguration]]
 
 
Die Konfiguration der Subnetze hängt vom verwendeten Client ab. Es kann bzw. muss lokal entweder das entsprechende interne Netz oder mit 0.0.0.0/0 der gesamte ipv4-Adressraum konfiguriert werden. Für das entfernte Subnetz muss entweder ein entsprechendes Subnetz oder eine einzelne IP vergeben werden. Folgende Konfigurationen sind möglich:
 
 
Apple iOS:
 
[[Datei:Ipsec-xauth-phase2-ios.png |200px|thumb|center|iOS]]
 
(diese Konfiguration funktioniert auch mit Android-Geräten)
 
 
Android:
 
[[Datei:Ipsec-xauth-phase2-android.png |200px|thumb|center|Android]]
 
 
Windows IPSec-Client (z.B. Greenbow):
 
[[Datei:Ipsec-xauth-phase2-windows.png |200px|thumb|center|Windows mit Greenbow]]
 
== Client-Konfiguration ==
=== iOS (iPhone/iPad) ===
 
Die Konfiguration von VPN-Verbindungen erreichen Sie unter Einstellungen -> Allgemein -> Netzwerk -> VPN. Dort können Sie eine VPN-Verbindung hinzufügen. Wählen Sie IPsec als Art der Verbindung und füllen Sie die Eingabemaske entsprechend aus:
 
[[Datei:IOS-ipsec.PNG|200px|thumb|center|IPsec-Einstellungen unter iOS]]
 
Die Beschreibung ist quasi der Name der Verbindung und ist frei wählbar. Account und Kennwort entsprechen dem Userkonto auf der Appliance. Server ist die IP bzw. der Hostname auf dem externen Interface. Shared Secret ist der innerhalb der IPSec-Verbindung konfigurierte Preshared Key.
 
=== Android ===
 
Die VPN-Einstellungen erreichen Sie unter Android 4.0.x unter Einstellungen -> Mehr -> VPN.
 
Fügen Sie ein VPN hinzu. Wählen Sie als Verbindungstyp "IPSEC Xauth PSK". Tragen Sie anschließend einen Namen für die Verbindung, die Serveradresse (das externe Interface der Appliance) und den innerhalb der IPSec-Verbindung konfigurierten Preshared Key ein.
 
Bei Aufbau der Verbindung werden dann Username und Passwort abgefragt. Dies kann wahlweise für spätere Anmeldungen gespeichert werden.
 
{|
|[[Datei:2012-11-05 14-08-59.png|200px|thumb|center|Einrichtung von Server und Verbindungsart]]
|[[Datei:2012-11-05 14-11-04.png |200px|thumb|center|Einrichtung des Preshared Key]]
|[[Datei:2012-11-05 14-29-12.png |200px|thumb|left|Eingabe von Usernamen und Passwort]]
|}
 
aus Sicherheitsgründen ist unter Android die Anlage einer VPN-Verbindung nur möglich, wenn auch eine Bildschirmsperre konfiguriert ist.
 
=== Greenbow-Client (Windows) ===
 
Nach Installation des Greenbow-Clients müssen Sie diesen ggf. von der Verbindungsanzeige noch auf die Konfigurationsanzeige umstellen (Klick auf [+])
 
Jetzt können Sie die bestehende Testverbindung bearbeiten oder eine neue Verbindung anlegen.
 
[[Datei:Greenbow-1.png|200px|thumb|center|Phase 1: Konfiguration von Remote Gateway und Preshared Key]]
 
Konfigurieren Sie in der Phase 1 zunächst das Remote Gateway (externe Adresse Ihrer Appliance und dann den Preshared Key. Passen Sie dann das IKE-Proposal wie in der Abbildung an.
 
[[Datei:Greenbow-2.png |200px|thumb|center|Phase 2: Konfiguration von Usernamen und Passwort]]
 
Auf dem Karteireiter "Erweitert" können Sie entweder Userdaten hinterlegen oder bestimmen, dass bei Einwahl ein Fenster zur Eingabe der Authentifizierung erscheint.
 
[[Datei:Greenbow-3.png |200px|thumb|center|Phase 3: Konfiguration von lokaler IP und entferntem Subnetz]]
 
In den Einstellungen der Phase 2 konfigurieren Sie die lokale IP-Adresse des VPN-Clients sowie das entfernte Subnetz wie in der Abbildung.


Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats.
Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.


== Hinweis zu vorgeschalteten Routern/Modems==
== Hinweis zu vorgeschalteten Routern/Modems==
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.
Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte [[Drittgeräte-Firewalls|deaktivieren]] Sie auf diesen Geräten jegliche Firewall-Funktionalität.

Version vom 12. April 2017, 10:22 Uhr

Einleitung

In diesem Wiki erfahren Sie, wie eine Roadwarrior-Verbindung über OpenVPN auf der UTM eingerichtet wird. Die Authentifizierung geschieht hierbei über Zertifikate. Für allgemeine Informationen zum Thema VPN finden Sie einen entsprechenden Eintrag in unserem Glossar.
Bitte beachten: Mit einem OpenVPN-Server können Sie mehrere OpenVPN-Clients anbinden. Es muss nicht für jede Client-Verbindung ein neuer Server angelegt werden.

An der Appliance anmelden

Login Dialog
  • Öffnen Sie einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das HTTPS Protokoll.
Bsp.: https://192.168.175.1:11115
  • Melden Sie sich im Login Dialog als Administrator an.
Werkseinstellungen:
Benutzername: admin
Kennwort: insecure

Zertifikate

Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.

  • Gehen Sie dafür auf Authentifizierung > Zertifikate.
CA anlegen
  • Erstellen Sie ihre CA.
    • Klicken Sie auf "+ CA hinzufügen".
    • Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Füllen Sie die anderen Felder entsprechend aus.
    • Speichern Sie die CA.











  • Gehen Sie danach auf die Registerkarte Zertifikate.
Server Zertifikate anlegen

Es werden mindestens 2 Zertifikate benötigt. Ein Serverzertifikat, was ausschließlich nur von den Roadwarrior benutzt wird. Das Serverzertifikat darf niemals an einen User vergeben werden. Ein Benutzerzertifikat, welches ausschließlich für einen VPN Nutzer benutz werden darf. Es ist ratsam, das jeder VPN-User sein eigenes Zertifikat hat.

  • Nun erstellen Sie ein Server- und für jeden Benutzer ein Client-Zertifikat.
    • Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
    • Füllen Sie die restlichen Felder aus.
    • Für das Server-Zertifikat aktivieren Sie den Haken "Serverzertifikat"
    • Alias bleibt auf "none".
    • Speichern Sie das Zertifikat und wiederholen Sie den Vorgang für die Client-Zertifikate.
    • Achten Sie darauf, dass der Haken bei "Serverzertifikat" bei den Client-Zertifikaten nicht aktiviert ist.











SSL Konfiguration

Unter dem Menüpunkt VPN -> SSL-VPN wählen Sie Roadwarrior hinzufügen, anschließend wählen Sie :

  • Name
  • Protokoll
  • Port
  • Benutzerauthentifizierung
  • Serverzertifikat
  • Pool - Pool aus dem der Roadwarrior eine IP erhält z.B. 192.168.250.0/24
  • Diese IP dient uns als Transfernetzwerk. Es ist wichtig einen IP Beriech zu vergeben der noch nicht, auf den Firewalls, vergeben ist!
  • Klicken Sie auf weiter


  • Die MTU lassen Sie auf 1500
  • Klicken Sie auf fertig






Ist die Konfiguration hinzugefügt, müssen Sie diese nochmal bearbeiten um das Netz, auf welches zugegriffen werden soll, einzutragen. Diese Netze (oder auch nur eines) sind die, in denen gearbeitet werden soll. Es müssen also vorhandene Netze sein. Mehrere Firmen-Netze können durch ein Komma getrennt eingetragen werden (10.0.0.0/24, 192.168.0.0/24). Zusätzlich können Sie auch eine Search Domain eintragen um diese durch den Tunnel zu pushen. Dies ist notwendig wenn Sie auf dem OpenVPN Client mit Hostnamen aus dem verbundenen Netz arbeiten möchten, z.B. wenn Sie Ihre Mails über mail.IhreFirma.local anstelle der IP abrufen. Desweiteren können Sie hier die Zeit einstellen, nachder die verwendeten Schlüssel der Verbindung erneut ausgetauscht werden (Renegotiation).



Beachten Sie: Sollte ihre UTM über mehrere Default-Routen verfügen (Multipathrouting), muss die Option "Multihome" für den SSL-VPN-Server aktiviert werden wenn als Protokoll UDP verwendet wird.







Regelwerk

Aktivieren Sie unter Firewall -> Implizite Regeln -> VPN das Protokoll, dass Sie für Ihre Verbindung gewählt haben. Diese Regel gibt den Port 1194 auf das externe Interface frei, haben Sie mehrere Verbindungen erstellt, müssen Sie die Ports der weiteren Verbindungen im Portfilter manuell freigeben. Dazu legen Sie z.B. den Dienst 1195 an und erstellen die Regel:

  • Internet -> external-interface -> Port 1195.

Um dem Client den Download zu ermöglichen aktivieren Sie zudem noch die Option User Interface Portal.












Zudem erstellen Sie unter Firewall -> Portfilter -> Netzwerkobjekte ein Netzwerkobjekt für das VPN Netzwerk. Die Adresse entspricht die des SSL tunX Netzes. Die Adresse entspricht dabei dem festgelegt Transfernetz. Die Zone des Objektes darf nicht geändert werden.









Anschließend erstellen Sie dem Objekt eine Regel um den Zugriff auf das interne Netz zu erlauben.











Benutzer und Gruppen anlegen

Erstellen Sie in der Benutzerverwaltung eine Gruppe mit einem geeigneten Namen, beispielsweise SSL. Die Gruppe muss die Berechtigung SSL-VPN und damit die Nutzer ein SSL-VPN Client-Programm mit fertiger Konfigurationsdatei vom Userinterface herunterladen können, zusätzlich die Berechtigung Userinterface erhalten. Ab der Firmware 11.5.X kann auch die zweier Version des SSLVPN-Client runtergeladen werden.







Unter dem Reiter SSL aktivieren Sie den Client download, wählen die erstellte SSL Verbindung, das Client Zertifikat und das Remote Gateway. Das Remote Gateway ist die Adresse der externen Schnittstelle. Diese Adresse muss von extern erreichbar sein.


Soll der Benutzer selbst die Berechtigung haben sich den SSL-Client herunterzuladen, bearbeiten Sie Ihren erstellten Benutzer, fügen ihn der zuvor erstellten Gruppe hinzu, wählen unter SSL-VPN die gleichen Einstellungen wie die der Gruppe und aktivieren den SSL-Client Download. Zudem kann den Benutzern unter dem Reiter VPN eine IP-Adresse aus dem SSL-VPN Netzwerk zugewiesen werden. Wenn Sie dem Client eine IP zuweisen, müssen Sie die IP und Maske eintragen, Beispiel: 192.168.250.10/24.



SSL-VPN-Verbindung als Client herstellen

Für Benutzer, die sich per SSL-VPN mit der Securepoint Appliance verbinden möchten, stellt die Appliance einen vorkonfigurierten SSL-VPN Client zur Verfügung. Dieser Client ist lauffähig unter dem Betriebssystem MS Windows ab der Version XP. Der Client wird als normal installierbare und portable Version angeboten. Die portable Version kann zum Beispiel auf einen USB Speicherstick kopiert werden und somit auch an anderen Rechnern ausgeführt werden. Voraussetzung hierfür sind Administratorrechte, da ein virtuelles TAP Device installiert werden muss. Die komprimierten Ordner enthalten neben den SSL-VPN Client eine Konfigurationsdatei, die CA- und Clientzertifikate sowie einen Treiber für die virtuelle TAP Netzwerkschnittstelle. Zum Installieren der virtuellen Tab Schnittstelle benötigt der Benutzer auf dem verwendeten Rechner Administratorrechte. Die Datei wird entweder vom Administrator der Securepoint Firewall an den Benutzer weitergereicht oder der Benutzer meldet sich an dem Userinterface der Securepoint Firewall an und lädt sich die Datei herunter. Letzteres ist nur möglich, wenn der Benutzer das Recht zur Benutzung des Userinterface zugewilligt bekommen hat.

Bitte beachten Sie, dass Sie ab Windows 10 die zweier Versionen unseres SSLVPN-Clients benötigen. Der Download steht auf my.securepoint.de für Sie bereit. Bitte beachten Sie ebenfalls, dass Sie die TAP Treiber, mit Administratorenrechten, mit der zweier Versionen installieren.

Herunterladen des SSL-VPN Clients im Userinterface

Erreicht wird das Userinterface über das interne Interface der Securepoint Appliance. Ein Zugriff von externen Benutzern ist nur möglich, wenn die Implizite SSL Regeln aktiviert ist, die den Zugriff vom Internet auf das externe Interface per HTTPS erlaubt.
Öffnen Sie einen Webbrowser und geben in die Adresszeile die IP-Adresse oder den Hostnamen der Securepoint Appliance ein. Benutzen Sie dabei das Protokoll HTTPS. 

   Bsp.: https://192.168.175.1 
   oder https://myHost.dyndns.org

Bestätigen Sie das Laden der Seite durch Akzeptieren des Sicherheitszertifikats. Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort am Userinterface an.

Hinweis zu vorgeschalteten Routern/Modems

Es kommt immer wieder zu Problemen mit der Stabilität der Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.

Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Roadwarrior_v11.6&oldid=12016