Versionen im Vergleich

Alte Version 25

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 26

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

Image Modified

1.2 Hinterlegen Sie folgende Parameter, um eine CA zu erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü CA für VPN-/Webserver-Zertifikat aus.

...

  • Vorlage: Wählen Sie

...

  • die Vorlage Certificate Authority.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.

Image Modified

1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein Zertifikat.

  • Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.Signierende CA
  • Vorlage: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
  • die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.

Image Modified

1.4 Dieses Zertifikat müssen Sie im *.pem-Format exportieren.

  • Geben Sie das Private-Key-Passwort des Zertifikats ein.
  • Erstellen Sie ein Transport-Passwort.

Image Modified

1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

  • Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.Signierende CA
  • Vorlage: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
  • die Vorlage Legacy VPN Certificate.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

Image Modified

1.6 Dieses Zertifikat müssen Sie im PKCS 12-Format exportieren.

  • Geben Sie das Private-Key-Passwort des Zertifikats ein.
  • Erstellen Sie ein Transport-Passwort.

Image Modified

1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

...


2. Konfigurationsschritte auf der Unified Firewall in der Filiale:

2.1 Importieren Sie zunächst die beiden Zertifikate, welche Sie in den Schritten 1.4 und 1.6 aus der Unified Firewall der Zentrale exportiert haben.

Dies können Sie im Menü Zertifikatsverwaltung mit der Importieren-Schaltfläche tun. Die CA sowie beide Zertifikate werden daraufhin in der Zertifikatsliste angezeigt.

Image Modified

2.2 Wechesln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

2.3 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Filiale aus.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.24.0/24,
  • Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.
Info

Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

...


3. Einrichtung eines Port-Forwarding auf den LANCOM Routern (nur Szenario 2):

Für Site-to-Site VPN-SSL wird im Standard der TCP-Port 49152 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.

Info
  • Der Port für SSL-VPN lässt sich in der Unified Firewall ändern.
 
  • Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Image Modified

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port: Hinterlegen Sie den Port 49152.
  • End-Port: Hinterlegen Sie den Port 49152.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü TCP aus.

Image RemovedImage Added

3.3 Schreiben Sie die Konfiguration in den Router zurück.