Beschreibung:

In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung mit dem OpenVPN Client von einem Android Smartphone oder Tablet zu einer LANCOM R&S® Unified Firewall (im Folgenden Unified Firewall genannt) eingerichtet werden kann.


Voraussetzungen:

  • Bestandsinstallation einer LANCOM R&S® Unified Firewall
  • OpenVPN Client
  • Android ab Version 4.1
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per VPN-SSL Client-to-Site Verbindung ermöglichen.
  • Dazu ist auf den Android Smartphones der Außendienst-Mitarbeiter der OpenVPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.1.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.

Diagramm einer Netzwerkkonfiguration mit Unified Firewalls in einer SSL-VPN-Verbindung, die das Internet mit einem LAN in einer Zentralstelle verbindet.


2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
  • Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per VPN-SSL Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Android Smartphones der Außendienst-Mitarbeiter der OpenVPN Client installiert.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.1.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.3.0/24.
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.

Diagramm eines Netzwerkaufbaus mit einer öffentlichen IP-Adresse, einer Unified Firewall, einer SSL-VPN-Verbindung, einem Router, dem Internet und einem LAN-Zentrum.



Vorgehensweise:

Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3 ).

1. Konfigurationsschritte auf der Unified Firewall:

1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Die Grafik zeigt eine technische Benutzeroberfläche mit verschiedenen Optionen für Netzwerkeinstellungen und Zertifikatsverwaltung, darunter HTTPS, Mail und Web Portal Zertifikate.

1.2 Hinterlegen Sie folgende Parameter, um eine CA zu erstellen:

  • Zertifikatstyp : Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Certificate Authority.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu den Private Key zu verschlüsseln.
  • Verschlüsselungs-Algorithmus: Wählen Sie im Dropdownmenü RSA aus.
  • Schlüssel-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von VPN-Sicherheitseinstellungen mit Optionen für Zertifikate, Verschlüsselung und Private Key Passwörter.

1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

1.4 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung von VPN-Clients auf der Unified Firewall dient:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von SSL VPN-Zertifikaten, einschließlich Optionen für Zertifikatstypen, Zertifikatsanfragen, Gültigkeit, und private Schlüsselpasswörter, mit einigen veralteten Elementen markiert.

1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

1.6 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung eines bestimmten Mitarbeiters bzw. VPN-Clients dient:

  • Zertifikatstyp: Wählen Sie Zertifikat aus.
  • Vorlage: Wählen Sie die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwor t. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.

Bildschirm der technischen Benutzeroberfläche, die Optionen zur Verwaltung von SSL-VPN-Zertifikaten zeigt, einschließlich des Zertifikatstyps, Request, Vorlage, Common Name, und Privaten Schlüssel Passwort, mit Hinweisen zur Gültigkeit und veralteten Optionen wie IPsecBenutzer.

1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Konfiguration und Überwachung von VPN-SSL-Verbindungen, einschließlich Filtern, Monitoring-Statistiken und Netzwerk-Settings.

1.8 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.4 erstellte VPN-Zertifikat aus.
  • Private-Key-Passwort: Tragen Sie das Private-Key-Passwort des in Schritt 1.4 erstellten Zertifikats ein.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR-Schreibweise (Classless Inter-Domain Routing), in die der VPN-Client Zugriff haben soll. Diese werden an alle VPN-SSL-Clients ausgeteilt.
  • Protokoll: Stellen Sie sicher, dass die Option UDP ausgewählt ist. Wird für den VPN-SSL-Tunnel TCP verwendet und innerhalb des Tunnels Daten per TCP übertragen, kann dies ansonsten zu einem "TCP-Meltdown" führen.
  • Verschlüsselungs-Algorithmus: Wählen Sie im Dropdownmenü AES 256 aus.

Optional können Sie einen DNS- oder WINS-Server hinterlegen, die allen VPN-SSL-Clients zugewiesen werden.

Bei Bedarf können Sie den Port abändern.

Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

Die Abbildung zeigt ein technisches Konfigurationsmenü für VPN und SSL-Einstellungen, inklusive Optionen wie Client-to-Site, Site-to-Site, Bridging, Protokolleinstellungen, Port-Konfigurationen und Verschlüsselungsalgorithmen.

1.9 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-SSL-Verbindung zu erstellen.

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Einstellungsoptionen für VPN-SSL-Verbindungen, Filterungsfunktionen und Netzwerkmonitoring-Statistiken.

1.10 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.6 erstellte VPN-Zertifikat für den Mitarbeiter aus.
  • Verbindungstyp: Wählen Sie Client-To-Site aus.

Wird die Funktion Standard-Gateway setzen aktiviert, kann der VPN-Client über die Internet-Verbindung der Unified Firewall mit dem Internet kommunizieren.

Bei Client IP besteht die Möglichkeit dem VPN-Client eine feste IP-Adresse zuzuweisen. Bleibt dieser Eintrag leer, wird dem VPN-Client eine IP-Adresse aus dem Adressbereich zugewiesen (siehe Schritt 1.8).

Bei Zusätzliche Server-Netzwerke besteht die Möglichkeit dem VPN-Client den Zugriff auf weitere lokale Netzwerke zu erlauben. So kann einzelnen Mitarbeitern der Zugriff auf unterschiedliche lokale Netzwerke ermöglicht werden.

Grafische Benutzeroberfläche für Netzwerkeinstellungen, die Optionen für Mitarbeiterzertifikate und SSL VPN, sowie Client-to-Site und Site-to-Site Verbindungstypen zeigt, inklusive Feldern für IP-Adresszuweisungen und Gateway-Einstellungen.

1.11 Bearbeiten Sie die in Schritt 1.10 erstellte VPN-SSL-Verbindung mit einem Klick auf das "Stift-Symbol".

Screenshot einer technischen Benutzeroberfläche für Netzwerkmanagement, die Optionen für VPN-SSL-Verbindungen, IPsec, Monitoring und Statistiken zeigt.

1.12 Klicken Sie auf Client-Konfiguration exportieren , um das VPN-Profil mitsamt dem Zertifikat zu exportieren.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkverbindungen, einschließlich Optionen für SSL VPN, Client-to-Site und Site-to-Site Verbindungen, mit Einstellungen für das Standardgateway und die automatische IP-Zuweisung.

Ab LCOS FX 10.5 können Sie das Profil direkt im Menü VPN → VPN-SSL → Verbindungen exportieren, indem Sie dort bei einer Verbindung auf die Option Verbindung exportieren klicken.

Gegebenenfalls müssen Sie im Vorfeld auf das Doppelpfeil-Symbol klicken (neben dem Feld Filter), um das Menü zu expandieren, damit das Symbol für den Export sichtbar ist.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Filter, Firewall, SSL, VPN und Netzwerkverbindungen, sowie Bereiche für Monitoring, Statistiken und Zertifikatsverwaltung.

1.13 Hinterlegen Sie folgende Parameter:

  • Type : Wählen Sie OVPN , damit ein Profil für den OpenVPN Client generiert wird.
  • Remote-Hosts : Geben Sie die öffentliche IPv4-Adresse bzw. den DynDNS-Namen der Unified-Firewall sowie den Port für VPN-SSL (siehe Schritt 1.8 ) an.
  • Schlüssel-Passwort : Hinterlegen Sie das in Schritt 1.6 vergebene Private-Key-Passwort .
  • Transport Password : Vergeben Sie ein Passwort . Dieses muss bei dem Aufbau der VPN-Verbindung im OpenVPN Client angegeben werden.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration eines RES Cybersecurity Clients, einschließlich Einstellungen für Remote Hosts, Ports, Schlüsselpasswörter und Transportpasswörter.

1.14 Klicken Sie auf die Schaltfläche zum Erstellen eines neuen VPN-Hosts .

Screenshot einer technischen Konfigurations-Interface, die verschiedene Netzwerkmanagement-Optionen wie VPN-Erstellung, Benutzerauthentifizierung, Zertifikatsverwaltung sowie Firewall und Internetzugangseinstellungen zeigt.

1.15 Hinterlegen Sie folgende Parameter:

  • Name : Vergeben Sie einen aussagekräftigen Namen .
  • VPN-Verbindungstyp : Wählen Sie VPN-SSL aus.
  • VPN-SSL-Verbindung : Wählen Sie im Dropdownmenü die in Schritt 1.10 erstellte VPN-SSL Verbindung aus.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration einer SSL VPN-Verbindung auf einem Computer, inklusive Feldern zur Eingabe von Mitarbeiterinformationen und Optionsauswahl für den Verbindungstyp.

1.16 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der OpenVPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches der OpenVPN Client Zugriff haben soll.

Bildschirmansicht einer technischen Benutzeroberfläche mit Begriffen wie SSL, VPN, Mitarbeiter, DIA und Internetzugang, die möglicherweise Einstellungen oder Statistiken darstellen.

1.17 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

1.18 Klicken Sie zuletzt in der Unified Firewall auf Aktivieren , damit die Konfigurations-Änderungen umgesetzt werden.

Benutzeroberfläche zum Thema Cybersecurity mit Optionen zum Speichern und Aktivieren einer geänderten Firewall-Konfiguration sowie Monitoring-Statistiken für ein Netzwerk.

1.19 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.



2. Konfigurationsschritte im OpenVPN Client:

2.1 Übertragen Sie das in Schritt 1.13 exportierte SSL-VPN-Profil auf das Android Gerät.

Stellen Sie sicher, dass eine sichere Übertragungsart gewählt wird!

2.2 Öffnen Sie die OpenVPN App auf dem Android Gerät, klicken auf Import Profile →  FILE und wählen in dem Ordner, in dem Sie das SSL-VPN-Profil abgelegt haben, das Profil aus.

Klicken Sie anschließend auf IMPORT .

Screenshot einer Benutzeroberfläche zur Importauswahl eines VPN-Profils, mit Optionen zur Standortsuche und einer Back- sowie IMPORT-Schaltfläche.

2.3 Der erfolgreiche Import des Profils wird mit einer entsprechenden Meldung quittiert.

2.4 Klicken Sie auf ADD, um das Profil zu speichern.

Der Haken bei Save Private Key Password sollte nicht gesetzt werden, da bei Verlust des Gerätes ein Zugriff auf das Firmen-Netzwerk ohne Eingabe des Transport Password (siehe Schritt 1.13) möglich ist!

Screenshot einer technischen Benutzeroberfläche, die die erfolgreiche Importierung eines Benutzerprofils mit dem Namen BRREEEEEoiMitarbeiteril anzeigt, inklusive Optionen zum Speichern des privaten Schlüsselpassworts und zur automatischen Verbindung nach dem Import.

2.5 Die Konfigurationsschritte im OpenVPN Client sind damit abgeschlossen.



3. Einrichtung eines Port-Forwarding auf einem LANCOM Router (nur Szenario 2):

Für VPN-SSL wird im Standard der UDP-Port 1194 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.

Der Port für VPN-SSL lässt sich in der Unified Firewall ändern (siehe Schritt 1.8 ). 

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle .

Bildschirmaufnahme einer technischen Konfigurationsbenutzeroberfläche mit verschiedenen Netzwerkeinstellungsoptionen, einschließlich Maskierungsoptionen, Schnittstellenmanagement und Routeneinstellungen.

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port : Hinterlegen Sie den Port 1194 .
  • End-Port : Hinterlegen Sie den Port 1194 .
  • Intranet-Adresse : Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll : Wählen Sie im Dropdown-Menü UDP aus.

Das Bild zeigt eine Port-Forwarding-Konfigurationstabelle mit einer Option für einen neuen Eintrag, jedoch sind einige Textelemente unklar oder unvollständig.

3.3 Schreiben Sie die Konfiguration in den Router zurück.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH