Beschreibung:
In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S® Unified Firewalls (im Folgenden Unified Firewall genannt) eingerichtet werden kann.
Voraussetzungen:
- Bestandsinstallation einer LANCOM R&S® Unified Firewall mit Firmware Version 10.8
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
- Web-Browser zur Konfiguration der Unified Firewalls.
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
- Ein Unternehmen möchte die Unified Firewall in der Zentrale mit der Unified Firewall in der Filiale über eine SSL-VPN-Verbindung koppeln.
- Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.1.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.23.0/24.
- Die Zentrale wird als Site-to-Site Server konfiguriert, welcher eingehende SSL-VPN-Verbindungen annimmt.
- Die Filiale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 82.82.82.2.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
- Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende SSL-VPN-Verbindungen initiiert.
- Ein Unternehmen möchte die Unified Firewall in der Zentrale mit der Unified Firewall in der Filiale über eine SSL-VPN-Verbindung koppeln.
- Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.1.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.23.0/24.
- Die Zentrale wird als Site-to-Site Server konfiguriert, welcher eingehende SSL-VPN-Verbindungen annimmt.
- Die Filiale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 82.82.82.2.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
- Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende SSL-VPN-Verbindungen initiiert.
- Die Filiale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 82.82.82.2.
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
1. Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen:
1.1 Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen auf der Unified Firewall in der Zentrale:
1.1.1 Verbinden Sie sich mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.
1.1.2 Passen Sie die folgenden Parameter an, um eine CA zu erstellen und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate Authority aus.
- Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-CA-Zentrale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
- Zertifikatstyp: Wählen Sie Zertifikat aus.
- Vorlage: Wählen Sie die Vorlage Certificate aus.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel VPN-SSL-Zentrale).
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
- Gültigkeit: Setzen Sie die Gültigkeit auf 5 Jahre. Dies ist sinnvoll, da dieses Zertifikat für alle SSL-VPN-Verbindungen verwendet wird.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
1.1.6 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.1.7 Aktivieren Sie den VPN-SSL-Dienst, passen die folgenden Parameter an und klicken auf Speichern:
- Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte VPN-Zertifikat aus.
- Private-Key-Passwort: Tragen Sie das in Schritt 1.1.3 vergebene Private-Key-Passwort ein.
- Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.10.0/24,
- Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
1.2 Erstellen der Zertifikate und Konfiguration der VPN-SSL-Einstellungen auf der Unified Firewall in der Filiale:
1.2.1 Verbinden Sie sich mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.
1.9 Wechseln Sie in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.
1.10 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.5 erstellte VPN-Zertifikat aus.
- Verbindungstyp: Wählen Sie Site-To-Site (Server) aus.
- Remote-Netzwerke: Fügen Sie das lokale Netzwerk der Filiale (hier 192.168.24.0/24) der Liste hinzu.
1.11 Klicken Sie auf die Schaltfläche zum Erstellen eines neuen VPN-Hosts.
1.12 Hinterlegen Sie folgende Parameter:
- Name: Vergeben Sie einen aussagekräftigen Namen.
- VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
- VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.10 erstellte VPN-Verbindung aus.
2. Konfigurationsschritte auf der Unified Firewall in der Filiale:2.1 Importieren Sie zunächst die beiden Zertifikate, welche Sie in den Schritten 1.4 und 1.6 aus der Unified Firewall der Zentrale exportiert haben.Dies können Sie im Menü Zertifikatsverwaltung mit der Importieren-Schaltfläche tun. Die CA sowie beide Zertifikate werden daraufhin in der Zertifikatsliste angezeigt. 2.2 Wechesln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.2.3 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:
- Host-Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Filiale aus.
- Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.24.0/24,
- Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
- Name: Vergeben Sie einen aussagekräftigen Namen.
- Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Zentrale aus.
- Verbindungstyp: Wählen Sie Site-To-Site (Client) aus.
- Remote-Adressen: Geben Sie hier die öffentliche IP-Adresse der Zentrale ein (hier 81.81.81.1).
- Name: Vergeben Sie einen aussagekräftigen Namen.
- VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
- VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.5 erstellte VPN-SSL-Verbindung aus
- Der Port für SSL-VPN lässt sich in der Unified Firewall ändern.
- Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.
- Anfangs-Port: Hinterlegen Sie den Port 49152.
- End-Port: Hinterlegen Sie den Port 49152.
- Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
- Protokoll: Wählen Sie im Dropdown-Menü TCP aus.