Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-Roadwarrior v11.7.1: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(v11 SSL Roadwarrior)
 
(v11 SSL Roadwarrior)
Zeile 17: Zeile 17:
:Kennwort: insecure
:Kennwort: insecure


====Netzwerkobjekt anlegen====
====Zertifikate ====
Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.
*Gehen Sie dafür auf Authentifizierung > Zertifikate.
[[Datei:CA_anlegen.png|200px|thumb|left|CA anlegen]]
*Erstellen Sie ihre CA.
**Klicken Sie auf "+ CA hinzufügen".
**Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
**Füllen Sie die anderen Felder entsprechend aus.
**Speichern Sie die CA.
<br><br><br><br><br><br><br><br><br><br>
*Gehen Sie danach auf die Registerkarte Zertifikate.
[[Datei:Server_cert2.png|200px|thumb|left|Server Zertifikate anlegen]]
*Nun erstellen Sie ein Server- und ein Client-Zertifikat.
**Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
**Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
**Füllen Sie die restlichen Felder aus.
**Alias bleibt auf "none".
**Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.
<br><br><br><br><br><br><br><br><br><br>


Damit Regeln für den externen Zugriff angelegt werden können, benötigen Sie Netzwerkobjekte für das externe Interface, das interne Netz und die externen Benutzer. Die erstgenannten Netzwerkobjekte sind schon durch den Installationsassistenten angelegt.  
*Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).
Wenn jeder SSL-VPN Benutzer die gleichen Rechte zugebilligt bekommt, dann benötigen Sie noch ein Objekt für die externen Netzwerkbenutzer.
<br>
Sind die Benutzerrechte verschieden, müssen Sie entweder für jeden SSL-VPN Nutzer ein eigenes Objekt anlegen oder für gleichberechtigte Nutzer Gruppen anlegen und für diese Gruppen Netzwerkobjekte erstellen.  
Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert.
Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. Um das zu verhindern, müssen Sie den privaten Schlüssel aus der exportierten CA löschen.
In dieser Beschreibung wird ein Netzwerkobjekt für einen Roadwarrior angelegt und eine Netzwerkobjektgruppe in der der Roadwarrior Mitglied ist.
 
<br><br>
*Suchen Sie die ''exportierte CA Datei'' heraus und klicken Sie mit der ''rechten Maustaste'' auf die Datei.
:Es öffnet sich ein Kontextmenü.
<br>
 
[[Datei:ca_oeffnen_mit.jpeg|thumb|250px|<font size="1">Programm zum Öffnen auswählen</font>]]
*Klicken Sie auf ''Öffnen''.
*Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit ''OK''.
*Wählen Sie aus der Liste einen ''Editor'' z.B. den Microsoft Editor.
*Entfernen Sie ggf. den Haken bei ''Dateityp immer mit dem ausgewählten Programm öffnen''.
*Bestätigen Sie mit ''OK''.
<br><br><br><br>
<br><br><br><br>
<br>
 
*Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.
*''Entfernen'' Sie den markierten Bereich (z.B. mit Drücken der Taste ''Entf '' bzw. ''del'' ).
*''Speichern'' Sie dann die Datei.
[[Datei:ca_anzeigen.jpeg|left|thumb|250px|<font size="1">Private Key markieren und entfernen</font>]]
[[Datei:ca_bearbeitet.jpeg|right|thumb|250px|<font size="1">bearbeitete CA speichern</font>]]
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>
<br><br><br><br>

Version vom 14. Dezember 2012, 12:57 Uhr

Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN (Virtual Private Network) Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch eine relativ einfache Konfiguration und gute Verschlüsselung der Daten aus. Neben Preshared Key wird auch die Authentifizierung mit x.509 Zertifikaten unterstützt.

Einstellungen an der Appliance vornehmen

Zur Konfiguration der Appliance wird in der folgenden Beschreibung das Webinterface genutzt. Dieses erreichen Sie über die IP-Adresse des internen Interface mit dem Port 11115 unter Benutzung des HTTPS Protokolls.

An der Appliance anmelden

Login Dialog
  • Öffnen Sie einen Webbrowser und geben Sie in die Adressleiste die IP-Adresse des internen Interface Ihrer Appliance an. Gefolgt von einem Doppelpunkt hinter dem der Port 11115 angefügt wird. Benutzen sie dafür das HTTPS Protokoll.
Bsp.: https://192.168.175.1:11115
  • Melden Sie sich im Login Dialog als Administrator an.
Werkseinstellungen:
Benutzername: admin
Kennwort: insecure

Zertifikate

Bevor eine OpenVPN-Verbindung erstellt werden kann, müssen die benötigten Zertifikate angelegt werden.

  • Gehen Sie dafür auf Authentifizierung > Zertifikate.
CA anlegen
  • Erstellen Sie ihre CA.
    • Klicken Sie auf "+ CA hinzufügen".
    • Geben Sie der CA einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Füllen Sie die anderen Felder entsprechend aus.
    • Speichern Sie die CA.











  • Gehen Sie danach auf die Registerkarte Zertifikate.
Server Zertifikate anlegen
  • Nun erstellen Sie ein Server- und ein Client-Zertifikat.
    • Geben Sie den Zertifikat einen Namen (Keine Leer- und/oder Sonderzeichen).
    • Wählen Sie unter CA das eben erstellte CA -Zertfikat aus.
    • Füllen Sie die restlichen Felder aus.
    • Alias bleibt auf "none".
    • Speichern Sie das Zertifikat und wiederholen den Vorgang für das 2. Zertifikat.











  • Speichern Sie die CA und das Client Zertifikat im PEM-Format auf Ihrem Rechner (Diese werden später auf dem Client importiert).


Beim Export der CA wird nicht nur das Zertifikat, sondern auch der Private Key gespeichert. Wenn Sie den Private Key nicht aus der PEM-Datei löschen und so an den Client weitergeben, kann der Client neue Zertifikate erstellen und diese mit der CA signieren. Sie könnten die so erstellten Zertifikate nicht von originalen, von Ihnen erstellten Zertifikaten unterscheiden. Um das zu verhindern, müssen Sie den privaten Schlüssel aus der exportierten CA löschen.

  • Suchen Sie die exportierte CA Datei heraus und klicken Sie mit der rechten Maustaste auf die Datei.
Es öffnet sich ein Kontextmenü.


Programm zum Öffnen auswählen
  • Klicken Sie auf Öffnen.
  • Wählen Sie im nächsten Dialog ein Programm aus der Liste und bestätigen Sie die Wahl mit OK.
  • Wählen Sie aus der Liste einen Editor z.B. den Microsoft Editor.
  • Entfernen Sie ggf. den Haken bei Dateityp immer mit dem ausgewählten Programm öffnen.
  • Bestätigen Sie mit OK.










  • Markieren Sie im Editor den Bereich ab -----BEGINN PRIVATE KEY----- bis zum Ende der Datei.
  • Entfernen Sie den markierten Bereich (z.B. mit Drücken der Taste Entf bzw. del ).
  • Speichern Sie dann die Datei.
Private Key markieren und entfernen
bearbeitete CA speichern





















Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Roadwarrior_v11.7.1&oldid=2865