Überprüfung des Internet-Datenverkehrs eines VPN-Clients mithilfe des HTTP-Proxy einer LANCOM R&S®Unified Firewall in der Zentrale

Beschreibung:

Soll der Internet-Datenverkehr von mobilen Mitarbeitern durch die Unified Firewall überprüft werden, muss sämtlicher Datenverkehr über diese geroutet werden. 

In diesem Artikel wird beschrieben, wie der Internet-Datenverkehr eines Mitarbeiters, der sich mit dem Advanced VPN Client in die Firma einbucht, durch den HTTP-Proxy einer Unified Firewall geprüft werden kann.

Voraussetzungen:

• LANCOM R&S® Unified Firewall  mit  LCOS FX ab Version 10.4
• LANCOM Advanced VPN Client  ab Version 4.1
• Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
• Bereits eingerichteter und funktionsfähiger HTTP-Proxy auf der Unified Firewall
• Web-Browser zur Konfiguration der Unified Firewall.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Szenario:

• Ein mobiler Mitarbeiter baut mit dem Advanced VPN Client eine IKEv2 Verbindung in die Firma auf.
• Damit der Internet-Datenverkehr des mobilen Mitarbeiters verschlüsselt übertragen wird, wird dieser über die Unified Firewall geroutet.
• Der Internet-Datenverkehr des mobilen Mitarbeiters soll durch den HTTP-Proxy der Unified Firewall geprüft werden.

Vorgehensweise:

1. Einrichtung der Advanced VPN Client Verbindung:

1.1 Öffnen Sie die Konfiguration der Unified Firewall in einem Browser und richten eine IKEv2 Verbindung für den Advanced VPN Client ein.

1.2 Tragen Sie in Schritt 1.5 bei Lokale Netzwerke anstelle des lokalen Netzwerks die Adresse 0.0.0.0/0 ein. Diese steht für beliebige Netzwerke und ermöglicht, dass sämtlicher Datenverkehr durch den VPN-Tunnel übertragen wird.

Screenshot einer Benutzeroberfläche zur Konfiguration von Netzwerkparametern, inklusive Einstellungen für Sicherheitsprofile, lokale und Remote-Netzwerke sowie einem virtuellen IP-Pool.

1.3 Die Einrichtung der Advanced VPN Client Verbindung ist damit abgeschlossen.

2. Manuelle Konfigurations-Schritte:

2.1 Wechseln Sie in das Menü VPN → IPSec → Virtuelle IP-Pools und bearbeiten den verwendeten IP-Pool (in diesem Beispiel der Default Virtual-IP pool).

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen und Einstellungen für Netzwerksicherheit, einschließlich Firewall, virtuelle IP-Pools, IPSec-Konfigurationen, Monitoring-Statistiken und Benutzerauthentifizierung.

2.2 Hinterlegen Sie bei Bevorzugter DNS-Server die IP-Adresse eines DNS-Servers und klicken auf Speichern. Dieser wird dem VPN-Client bei der Einwahl zugewiesen und ermöglicht die Auflösung von DNS-Namen über den VPN-Tunnel.

Bildschirmdarstellung einer technischen Konfigurationsseite für einen virtuellen IP-Pool, einschließlich Einstellungen für bevorzugte und alternative DNS- und WINS-Server, mit Optionen zum Zurücksetzen und Speichern der Änderungen.

2.3 Klicken Sie auf dem Desktop auf den in Schritt 1. erstellten VPN-Host (in diesem Beispiel AVC-IKEv2), wählen das Verbindungswerkzeug aus und klicken auf das Internet-Objekt, um die Firewall-Regeln anzupassen. 

Screenshot einer technischen Benutzeroberfläche mit Beschriftungen, darunter LANCOMInternetAccess und Cine, in einem unklaren, teilweise unleserlichen Layout.

2.4 Fügen Sie die Protokolle HTTP, HTTPS und DNS hinzu.

Screenshot einer technischen Benutzeroberfläche mit Optionen für Internetzugang, URL- und Anwendungsfilter, Routing sowie Sicherheitseinstellungen und Zeitsteuerungsaktionen.

2.5 Klicken Sie bei den Protokollen HTTP und HTTPS bei Optionen nacheinander auf NAT.

Bildschirmansicht einer technischen Konfigurationsoberfläche mit Optionen für Internetzugang, Regelmanagement für URL- und Anwendungsfilter sowie Anwendungsbasiertes Routing, wobei Änderungen beim Schließen des Dialogs oder Abmelden erhalten bleiben.

2.6 Setzen Sie für HTTP und HTTPS jeweils den Haken bei Proxy für diesen Dienst aktivieren und klicken auf OK.

Abbildung einer technischen Benutzeroberfläche zur Netzwerkkonfiguration mit Optionen für Proxy, NAT-Masquerading, Zeitsteuerung, Portweiterleitung und Ziel-IP-Adressenmanagement.  Die Abbildung zeigt die Benutzeroberfläche für Netzwerkeinstellungen mit Optionen wie Portweiterleitung, DMZ, externe IP-Adressekonfiguration und Protokollauswahl.

2.7 Klicken Sie auf Erstellen, damit die Firewall-Regeln erstellt werden.

Screenshot einer technischen Benutzeroberfläche zur Internetzugangskonfiguration mit Einstellungen für URL-Content-Filter, Application-Filter und Application-Based-Routing, mit einer Notiz, dass Änderungen erhalten bleiben, bis der Dialog abgebrochen oder der Benutzer abgemeldet wird.

2.8 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen von der Unified Firewall umgesetzt werden.

Benutzeroberfläche zur Überwachung einer Firewall mit Netzwerk-Monitoringstatistiken.

3. Import des HTTP-Proxy Zertifikats in den Computer mit dem Advanced VPN Client:

Exportieren Sie das HTTP-Proxy Zertifikat wie in Schritt 3. in diesem Knowledge Base Artikel beschrieben und importieren dieses anschließend in den Computer mit dem Advanced VPN Client.

4. Konfiguration weiterer UTM-Funktionen (optional):

Anschließend können weitere UTM-Funktionen eingerichtet werden, welche den HTTP-Proxy voraussetzen.

• LANCOM R&S®Unified Firewall: Konfiguration der Antivirus-Funktion
• LANCOM R&S®Unified Firewall: Konfiguration des URL-/Content-Filter