...
- Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte VPN-Zertifikat aus.
- Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.3.0/24,
- Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
Info |
---|
Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden. |
1.9 Wechseln Sie in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.
...
2. Konfigurationsschritte auf der Unified Firewall in der Filile:
2.1 Importieren Sie zunächst die beiden Zertifikate, welche Sie in den Schritten 1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü 4 und 1.6 aus der Unified Firewall der Zentrale exportiert haben.
Dies können Sie im Menü Zertifikatsverwaltung mit der Importieren-Schaltfläche tun. Die CA sowie beide Zertifikate werden daraufhin in der Zertifikatsliste angezeigt.
2.2 Wechesln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
2.3 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:
- Host-Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Filiale aus.
- Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.4.0/24,
- Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
Info |
---|
Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden. |
2.4 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Verbindungen Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.eine neue VPN-SSL-Verbindung zu erstellen.
2.5 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Zentrale aus.
- Verbindungstyp: Wählen Sie Site-To-Site (Client) aus.
- Remote-Adressen: Geben Sie hier die öffentliche IP-Adresse der Zentrale ein (hier 81.81.81.1).
2.6 Klicken Sie auf den Button zum Erstellen eines neuen VPN-Hosts.
2.7 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
- VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.5 erstellte VPN-SSL-Verbindung aus.
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
3. Einrichtung eines Port-Forwarding auf den LANCOM Routern (nur Szenario 2):
Für VPN-SSL wird im Standard der TCP-Port 49152 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.
Info |
---|
Der Port für SSL-VPN lässt sich in der Unified Firewall ändern (siehe Schritt 1.8). Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller. |
3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
- Anfangs-Port: Hinterlegen Sie den Port 49152.
- End-Port: Hinterlegen Sie den Port 49152.
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
- Protokoll: Wählen Sie im Dropdown-Menü TCP aus.
3.3 Schreiben Sie die Konfiguration in den Router zurück.
...