...
Beschreibung:
In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung mit dem OpenVPN Client zu einer LANCOM R&S® Unified Firewall (im Folgenden Unified Firewall genannt) eingerichtet werden kann.
Voraussetzungen:
- Bestandsinstallation einer LANCOM R&S®Unified Firewall mit Firmware bis Version 10.3
- OpenVPN Client
- Microsoft Windows ab Version 7
- Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
- Beliebiger Browser für den Zugriff auf das Webinterface der Unified Firewall
Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox
Info |
---|
Wir empfehlen für VPN Client-Verbindungen die Verwendung des LANCOM Advanced VPN Client. Informationen zur Konfiguration erhalten Sie in folgendem Dokument. |
...
Info |
---|
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in folgendem Artikel beschrieben. |
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
...
1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat eine neue CA zu erstellen.
1.2 Hinterlegen Passen Sie folgende Parameter, um eine CA zu erstellendie folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Wählen Sie im Dropdownmenü CA für VPN-/Webserver-Zertifikat Belassen Sie die Einstellung auf der Option Zertifikat.
- Vorlage aus.Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096die Option Certificate Authority aus.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common NameName (in diesem Beispiel VPN-SSL-CA).
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
- In der Standard-Einstellung ist eine Gültigkeit von 5 Jahren voreingestellt.
Info |
---|
Die restlichen Einstellungen (etwa die Verschlüsselung) können auf den Standard-Einstellungen belassen werden. |
1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat .
1.4 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung von VPN-Clients auf der Unified Firewall dient.
1.4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Zertifikatstyp: Belassen Sie die Einstellung auf der Option Zertifikat.
- Vorlage Wählen Sie im Dropdownmenü VPN-Zertifikat aus.Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA Option Certificate aus.Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name (in diesem Beispiel Mitarbeiter_Einwahlen).
- Private-Key-GrößePasswort: Setzen Sie den Wert im Dropdownmenü auf 4096.
- Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
- Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einem VPN-Zertifikat zur Annahme von VPN-Clients wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat für die Einwahl eines bestimmten Mitarbeiters bzw. VPN-Clients.
1.6 Hinterlegen Sie folgende Parameter, um ein VPN-Zertifikat zu erstellen, welches zur Authentifizierung eines bestimmten Mitarbeiters bzw. VPN-Clients dient:
- Zertifikatstyp: Belassen Sie die Einstellung auf der Option Zertifikat.
- Vorlage Wählen Sie im Dropdownmenü VPN-Zertifikat aus.Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA Option Certificate aus.
- Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
- Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
- Common-Name(CN): Vergeben Sie einen aussagekräftigen Common Name, der den Mitarbeiter bezeichnet.
...
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
- Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einem VPN-Zertifikat für einen einzelnen Benutzer wird die Gültigkeitsdauer üblicherweise eher gering gewählt.
- Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
- CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
- Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.
Info |
---|
In dem Feld Subject Alternative Name können zur einfacheren Zuordnung eines Mitarbeiters weitere Merkmale wie z.B. die E-Mail-Adresse hinterlegt werden. |
1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.8 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:
...