...
1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.
1.2 Hinterlegen Sie folgende Parameter, um eine CA zu erstellen:
...
- Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
- Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.1.4 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung der Filiale auf der Unified Firewall in der Zentrale dient:Zertifikat.
- Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
- Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
- Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
1.4 Dieses Zertifikat müssen Sie im *.pem-Format exportieren.
1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.
- Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
- Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
- Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
...
- CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
1.
...
6 Dieses Zertifikat müssen Sie im PKCS 12-Format exportieren.
1.
...
7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.
...
8 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:
...
- Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte VPN-Zertifikat aus.
- Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.3.0/24,
- Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
1.9 Wechseln Sie in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.
1.10 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.
...
- 5 erstellte VPN-Zertifikat aus.
- Verbindungstyp: Wählen Sie Site-To-Site (Server) aus.
- Remote-Netzwerke:
...
- Fügen Sie das lokale Netzwerk der Filiale (hier 192.168.4.0/24) der Liste hinzu.
...
1.
...
11 Klicken Sie auf die Schaltfläche zum Erstellen eines neuen VPN-Hosts.
1.
...
12 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
- VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.610 erstellte VPN-SSLVerbindung aus.
1.10 13 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches die Site-to-Site VPN-Verbindung zugreifen können soll, damit die Firewall-Objekte geöffnet werden.
1.11 14 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
Info |
---|
Die Firewall-Objekte können Sie auch über Desktop → Desktop-Verbindungen aufrufen, indem Sie auf das "Stift-Symbol" zum Bearbeiten klicken. |
1.12 15 Klicken Sie zuletzt in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.13 16 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.
2. Konfigurationsschritte auf der Unified Firewall in der Filile:
2.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.
2.12 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.
3. Einrichtung eines Port-Forwarding auf den LANCOM Routern (nur Szenario 2):
Für VPN-SSL wird im Standard der TCP-Port 49152 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.
Info |
---|
Der Port für SSL-VPN lässt sich in der Unified Firewall ändern (siehe Schritt 1.8). Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller. |
3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
- Anfangs-Port: Hinterlegen Sie den Port 119449152.
- End-Port: Hinterlegen Sie den Port 119449152.
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
- Protokoll: Wählen Sie im Dropdown-Menü TCP aus.
3.3 Schreiben Sie die Konfiguration in den Router zurück.
...