Beschreibung:
In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung unter iOS mit dem OpenVPN Client zu einer LANCOM R&S® Unified Firewall (im Folgenden Unified Firewall genannt) eingerichtet werden kann.
 
Voraussetzungen:

  • Bestandsinstallation einer LANCOM R&S®Unified Firewall
  • OpenVPN Client
  • Apple iOS
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Beliebiger Browser für den Zugriff auf das Webinterface der Unified Firewall

Es werden folgende Browser unterstützt:

  • Google Chrome
  • Chromium
  • Mozilla Firefox


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per VPN-SSL Client-to-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der OpenVPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

Diagrampostuliert eine Netzwerkarchitektur, die eine Unified Firewall, VPN-SSL-Verbindung, LAN-Zentrale und Internetzugang darstellt.


2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:

  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per VPN-SSL Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der OpenVPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.

Schematische Darstellung einer Netzwerkkonfiguration mit einer eingebundenen Firewall, einer VPN-SSL-Verbindung, einer öffentlichen IP-Adresse und einem lokalen Netzwerk (LAN) im Zentrum.


 
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).

1. Konfigurationsschritte auf der Unified Firewall:

1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Sicherheitsbezogene Benutzeroberfläche, die verschiedene Optionen wie Netzwerkzertifikate, Desktop-Konfigurationen und Zertifikatsverwaltung mit Filter- und Vorlagenfunktionen anzeigt.

1.2 Hinterlegen Sie folgende Parameter, um eine CA zu erstellen:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate Authority.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu den Private Key zu verschlüsseln.
  • Verschlüsselungs-Algorithmus: Wählen Sie im Dropdownmenü RSA aus.
  • Schlüssel-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.

Das Bild zeigt eine technische Benutzeroberfläche für die Konfiguration von VPN-SSL-Zertifikaten, inklusive Optionen für Zertifikatstyp, Passwörter, Gültigkeit sowie Verschlüsselungs- und Sicherheitseinstellungen.

1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

1.4 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung von VPN-Clients auf der Unified Firewall dient:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.

Ein Screenshot einer technischen Konfigurationsoberfläche für SSL-VPN-Nutzer mit Optionen für Zertifikatstypen, Gültigkeitsdauer, Private-Key-Passwort und verschiedenen veralteten IPsec-Benutzeroptionen.

1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

1.6 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung eines bestimmten Mitarbeiters bzw. VPN-Clients dient:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.

Anzeige einer technischen Benutzeroberfläche für SSL-VPN-Zertifikate, die Optionen für Zertifikatstypen, -requests und Gültigkeiten enthält sowie veraltete Einstellungen für IPsec-Benutzer markiert.

1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

Benutzeroberfläche eines Netzwerk-Managementsystems, die Optionen wie Firewall-Einstellungen, VPN-SSL-Verbindungen und IPsec sowie verschiedene Monitoring-Statistiken anzeigt.

1.8 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.4 erstellte VPN-Zertifikat aus.
  • Private-Key-Passwort: Tragen Sie das Private-Key-Passwort des in Schritt 1.4 erstellten Zertifikats ein.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR-Schreibweise (Classless Inter-Domain Routing), in die der VPN-Client Zugriff haben soll. Diese werden an alle VPN-SSL-Clients ausgeteilt.
  • Protokoll: Stellen Sie sicher, dass die Option UDP ausgewählt ist. Wird für den VPN-SSL-Tunnel TCP verwendet und innerhalb des Tunnels Daten per TCP übertragen, kann dies ansonsten zu einem "TCP-Meltdown" führen.
  • Verschlüsselungs-Algorithmus: Wählen Sie im Dropdownmenü AES 256 aus.

Optional können Sie einen DNS- oder WINS-Server hinterlegen, die allen VPN-SSL-Clients zugewiesen werden.

Bei Bedarf können Sie den Port abändern.

Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

Bild einer technischen Benutzeroberfläche, die verschiedene VPN- und SSL-Einstellungen anzeigt, einschließlich Protokolle, Ports, Verschlüsselungsalgorithmen und Optionen für Client-to-Site sowie Site-to-Site-Bridging.

1.9 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-SSL-Verbindung zu erstellen.

Sicherheitsüberwachung und Konfigurationsmenü für VPN-Verbindungen mit Optionen für IPsec und SSL auf einer technischen Benutzeroberfläche.

1.10 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.6 erstellte VPN-Zertifikat für den Mitarbeiter aus.
  • Verbindungstyp: Wählen Sie Client-To-Site aus.

Wird die Funktion Standard-Gateway setzen aktiviert, kann der VPN-Client über die Internet-Verbindung der Unified Firewall mit dem Internet kommunizieren.

Bei Client IP besteht die Möglichkeit dem VPN-Client eine feste IP-Adresse zuzuweisen. Bleibt dieser Eintrag leer, wird dem VPN-Client eine IP-Adresse aus dem Adressbereich zugewiesen (siehe Schritt 1.8).

Bei Zusätzliche Server-Netzwerke besteht die Möglichkeit dem VPN-Client den Zugriff auf weitere lokale Netzwerke zu erlauben. So kann einzelnen Mitarbeitern der Zugriff auf unterschiedliche lokale Netzwerke ermöglicht werden.

Ansicht einer technischen Konfigurations-Benutzeroberfläche für Netzwerkverbindungen, mit Optionen zur Einstellung von Verbindungstypen und der automatischen IP-Zuweisung.

1.11 Bearbeiten Sie die in Schritt 1.10 erstellte VPN-SSL-Verbindung mit einem Klick auf das "Stift-Symbol".

Screenshot einer technischen Benutzeroberfläche zur Überwachung und Einstellung von IPsec und VPN-SSL-Verbindungen mit Statistikanzeigen.

1.12 Klicken Sie auf Client-Konfiguration exportieren, um das VPN-Profil mitsamt dem Zertifikat zu exportieren.

Screenshot einer technischen Benutzeroberfläche für Netzwerkverbindungen mit Optionen zur Einstellung von Client-zu-Site- und Site-zu-Site-Verbindungen, inklusive IP-Konfiguration und Exportmöglichkeiten für Client-Konfigurationen.

Ab LCOS FX 10.5 können Sie das Profil direkt im Menü VPN → VPN-SSL → Verbindungen exportieren, indem Sie dort bei einer Verbindung auf die Option Verbindung exportieren klicken.

Gegebenenfalls müssen Sie im Vorfeld auf das Doppelpfeil-Symbol klicken (neben dem Feld Filter), um das Menü zu expandieren, damit das Symbol für den Export sichtbar ist.

Ein Screenshot einer technischen Benutzeroberfläche mit verschiedenen Menüoptionen zur Netzwerksicherheit, einschließlich Firewall, SSL, VPN-Einstellungen und Zertifikatsverwaltung.

1.13 Hinterlegen Sie folgende Parameter:

  • Type: Wählen Sie OVPN, damit ein Profil für den OpenVPN Client generiert wird.
  • Remote-Hosts: Geben Sie die öffentliche IPv4-Adresse bzw. den DynDNS-Namen der Unified-Firewall sowie den Port für VPN-SSL (siehe Schritt 1.8) an.
  • Schlüssel-Passwort: Hinterlegen Sie das in Schritt 1.6 vergebene Private-Key-Passwort.
  • Transport Password: Vergeben Sie ein Passwort. Dieses muss bei dem Aufbau der VPN-Verbindung im OpenVPN Client angegeben werden.

Screenshot einer technischen Konfigurationsoberfläche für Mitarbeiter, die Optionen wie Host, Port, Schlüsselpasswort und Transportpasswort zeigt.

1.14 Klicken Sie auf den Button zum Erstellen eines neuen VPN-Hosts.

1.15 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
  • VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.10 erstellte VPN-SSL Verbindung aus.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Optionen und Einstellungen für Computer- und Serververbindungen, einschließlich einer VPN-SSL-Verbindung.

1.16 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der OpenVPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches der OpenVPN Client Zugriff haben soll.

Das Bild zeigt wahrscheinlich einen Ausschnitt aus einer technischen Benutzeroberfläche oder einem Konfigurationsmenü, auf dem unvollständiger oder fragmentierter Text mit den Buchstaben 'G', 'ne e', und 'FA' zu sehen ist.

1.17 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Bild einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen und Filtereinstellungen, einschließlich Balken für 'URLContentFilter' und 'ApplicationFilter'.

1.18 Klicken Sie zuletzt in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen wie Firewall, Hosts, Desktop-Objekte und Monitoring-Statistiken.

1.19 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.



2. Konfigurationsschritte im OpenVPN Client unter iOS:

2.1 Öffnen Sie die OpenVPN App und wählen Sie die Option Import profile.

Screenshot einer Benutzeroberfläche mit Optionen für QCeritcates, Einstellungen und Statistiken.

2.2 Wählen Sie eine von der App vorgegebene Art des Profil-Imports und importieren Sie die in Schritt 1.12 exportierte Client-Konfiguration.

Screenshot of a VPN configuration interface showing an Import Profile option with a note that profiles can only be imported using a URL if it is supported by your VPN provider.

2.3 Nach einem erfolgreichen Profil-Import wird dieses in der Profil-Liste angezeigt und kann mit dem nebenstehenden Schalter verbunden werden.

Screenshot einer technischen Benutzeroberfläche mit der Meldung DISCONNECTED und Optionen für 'OpenVPN Profile' und 'Mitarbeiter Liste'.

Bild eines technischen Benutzeroberflächen- oder Konfigurationsmenüs mit unklaren oder teilweise sichtbaren Textelementen wie Profiles, En Ei, und weiteren fragmentierten Wörtern.

2.4 Die Konfigurationsschritte im OpenVPN Client sind damit abgeschlossen.



3. Einrichtung eines Port-Forwarding auf einem LANCOM Router (nur Szenario 2):

Für VPN-SSL wird im Standard der UDP-Port 1194 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.

Der Port für VPN-SSL lässt sich in der Unified Firewall ändern (siehe Schritt 1.8).  Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Screenshot eines Konfigurationsmenüs mit verschiedenen Optionen für Netzwerkmanagement, darunter Maskierungsoptionen, IP Routing, Schnittstellenkonfiguration, und Kommunikationsparameter.

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port: Hinterlegen Sie den Port 1194.
  • End-Port: Hinterlegen Sie den Port 1194.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü UDP aus.

Screenshot einer Konfigurationstabelle auf einer Benutzeroberfläche für Port-Forwarding, zeigt Optionen für neuen Eintrag und Löschfunktion.

3.3 Schreiben Sie die Konfiguration in den Router zurück.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH