...
- Die Filiale verfügt über eine Unified Firewall als Gateway und eine Internet-Verbindung mit der festen öffentlichen IP-Adresse 82.82.82.2.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
- Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende VPN-SSL-Verbindungen initiiert.
Ein Unternehmen möchte die Unified Firewall in der Zentrale mit der Unified Firewall in der Filiale über eine VPN-SSL-Verbindung koppeln.
Zentrale:
- Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.1.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.23.0/24.
- Die Zentrale wird als Site-to-Site Server konfiguriert, welcher eingehende VPN-SSL-Verbindungen annimmt.
Filiale:
- Die Filiale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 82.82.82.2.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
- Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende VPN-SSL-Verbindungen initiiert.
| Info |
|---|
| Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben. |
Vorgehensweise:
...
1.1.1 Verbinden Sie sich mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um eine neues Zertifikat zu erstellen.
1.1.2 Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:
- Zertifikatstyp : Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Zentrale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu den Private Key zu verschlüsseln.
1.1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in Schritt 1.1.4 exportiert und anschließend in den VPN-SSL-Einstellungen der Zentrale hinterlegt wird (siehe Schritt 1.1.7). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Zentrale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
- Gültigkeit: Setzen Sie die Gültigkeit auf mindestens 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
1.1.4 Klicken Sie bei dem in Schritt 1.1.3 erstellten Zertifikat auf die Schaltfläche für den Zertifikat-Export.
1.1.5 Wählen Sie das Format PEM / CRT, aktivieren die Option Zertifikatskette exportieren und klicken auf Exportieren.
1.1.6 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.1.7 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:
...
| Info |
|---|
Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden. |
1.2 Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen auf der Unified Firewall in der Filiale:
1.2.1 Verbinden Sie sich mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.
1.2.2 Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:
- Zertifikatstyp : Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Filiale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu den Private Key zu verschlüsseln.
1.2.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat, welches in Schritt 1.2.4 exportiert und anschließend in den VPN-SSL-Einstellungen der Filiale hinterlegt wird (siehe Schritt 1.2.7). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate aus.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Filiale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
- Gültigkeit: Setzen Sie die Gültigkeit auf mindestens 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2.2 erstellte CA aus.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.2.2 vergebene Private-Key-Passwort.
1.2.4 Klicken Sie bei dem in Schritt 1.2.3 erstellten Zertifikat auf die Schaltfläche für den Zertifikat-Export.
1.2.5 Wählen Sie das Format PEM / CRT, aktivieren die Option Zertifikatskette exportieren und klicken auf Exportieren.
1.2.6 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.2.7 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:
...
| Info |
|---|
| Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden. |
2. Import der Zertifikate:
...
2.1.1 Wechseln Sie auf der Unified Firewall in der Zentrale in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf die Schaltfläche für den Zertifikat-Import.
2.1.2 Belassen Sie die Auswahl auf Zertifikat importieren, wählen die in Schritt 1.2.5 exportierte Zertifikatsdatei der Filiale aus und klicken auf Importieren.
| Info |
|---|
Es müssen keine Passwörter angegeben werden, da der Private Key nicht mit exportiert wurde. |
2.2 Import des VPN-SSL-Zertifikats auf der Unified Firewall in der Filiale:
2.2.1 Wechseln Sie auf der Unified Firewall in der Filiale in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf die Schaltfläche für den Zertifikat-Import.
2.2.2 Belassen Sie die Auswahl auf Zertifikat importieren, wählen die in Schritt 1.1.5 exportierte Zertifikatsdatei der Zentrale aus und klicken auf Importieren.
| Info |
|---|
Es müssen keine Passwörter angegeben werden, da der Private Key nicht mit exportiert wurde. |
3. Konfiguration der SSL-VPN-Verbindungen und Erstellen von Firewall-Regeln:
...
3.1.1 Wechseln Sie in der Zentrale in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-SSL-Verbindung zu erstellen.
3.1.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
...