Skip to end of metadata
Go to start of metadata


Beschreibung:

In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S® Unified Firewalls (im Folgenden Unified Firewall genannt) eingerichtet werden kann.


Voraussetzungen:

  • Bestandsinstallation einer LANCOM R&S® Unified Firewall mit Firmware bis Version 10.3
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
  • Web-Browser zur Konfiguration der Unified Firewalls.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

Stellen Sie bitte sicher, dass die Adressbereiche der per VPN zu verbindenden lokalen Netzwerke sich nicht mit den auf den Unified Firewall-Ports konfigurierten Standard-Netzwerken (z.B. 192.168.2.0/24, 192.168.3.0/24) überschneiden!


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

  • Ein Unternehmen möchte die Unified Firewall in der Zentrale mit der Unified Firewall in der Filiale über eine SSL-VPN-Verbindung koppeln.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.1.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.23.0/24.
  • Die Zentrale wird als Site-to-Site Server konfiguriert, welcher eingehende SSL-VPN-Verbindungen annimmt.


  • Die Filiale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 82.82.82.2.
  • Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
  • Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende SSL-VPN-Verbindungen initiiert.


2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
  • Ein Unternehmen möchte die Unified Firewall in der Zentrale mit der Unified Firewall in der Filiale über eine SSL-VPN-Verbindung koppeln.
  • Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.1.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.23.0/24.
  • Die Zentrale wird als Site-to-Site Server konfiguriert, welcher eingehende SSL-VPN-Verbindungen annimmt.


  • Die Filiale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 82.82.82.2.
  • Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.24.0/24.
  • Die Filiale wird als Site-to-Site Client konfiguriert, welcher ausgehende SSL-VPN-Verbindungen initiiert.
  • Die Filiale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 82.82.82.2.
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.


Vorgehensweise:

Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).

1. Konfigurationsschritte auf der Unified Firewall in der Zentrale:

1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um ein neues Zertifikat zu erstellen.

1.2 Hinterlegen Sie folgende Parameter, um eine CA zu erstellen:

  • Zertifikatstyp: Wählen Sie im Dropdownmenü CA für VPN-/Webserver-Zertifikat aus.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll. Bei einer CA wird die Gültigkeitsdauer üblicherweise sehr hoch gewählt.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein Zertifikat.

  • Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu, den Private Key zu verschlüsseln.

1.4 Dieses Zertifikat müssen Sie im *.pem-Format exportieren.

1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat.

  • Zertifikatstyp: Wählen Sie im Dropdownmenü VPN-Zertifikat aus.
  • Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.2 erstellte CA aus.
  • Private-Key-Verschlüsselung: Wählen Sie im Dropdownmenü RSA aus.
  • Private-Key-Größe: Setzen Sie den Wert im Dropdownmenü auf 4096.
  • Common-Name (CN): Vergeben Sie einen aussagekräftigen Common Name.
  • Gültigkeit: Legen Sie fest wie lange das Zertifikat gültig sein soll.
  • CA-Passwort: Hinterlegen Sie das in Schritt 1.2 vergebene Private-Key-Passwort.
  • Private-Key-Passwort: Hinterlegen Sie ein Passwort. Dieses dient dazu den Private Key zu verschlüsseln.

1.6 Dieses Zertifikat müssen Sie im PKCS 12-Format exportieren.

1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

1.8 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte VPN-Zertifikat aus.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.23.0/24,
  • Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.

Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

1.9 Wechseln Sie in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-Verbindung zu erstellen.

1.10 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.5 erstellte VPN-Zertifikat aus.
  • Verbindungstyp: Wählen Sie Site-To-Site (Server) aus.
  • Remote-Netzwerke: Fügen Sie das lokale Netzwerk der Filiale (hier 192.168.24.0/24) der Liste hinzu.

1.11 Klicken Sie auf die Schaltfläche zum Erstellen eines neuen VPN-Hosts.

1.12 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
  • VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.10 erstellte VPN-Verbindung aus.

1.13 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches die Site-to-Site VPN-Verbindung  zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

1.14 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Die Firewall-Objekte können Sie auch über Desktop → Desktop-Verbindungen aufrufen, indem Sie auf das "Stift-Symbol" zum Bearbeiten klicken.

1.15 Klicken Sie zuletzt in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

1.16 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.


2. Konfigurationsschritte auf der Unified Firewall in der Filiale:

2.1 Importieren Sie zunächst die beiden Zertifikate, welche Sie in den Schritten 1.4 und 1.6 aus der Unified Firewall der Zentrale exportiert haben.

Dies können Sie im Menü Zertifikatsverwaltung mit der Importieren-Schaltfläche tun. Die CA sowie beide Zertifikate werden daraufhin in der Zertifikatsliste angezeigt.

2.2 Wechesln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.

2.3 Aktivieren Sie den VPN-SSL-Dienst und hinterlegen folgende Parameter:

  • Host-Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Filiale aus.
  • Routen: Hinterlegen Sie die Netzwerke in CIDR Schreibweise (Classless InterDomain Routing), in welche die VPN-Verbindung Zugriff haben soll. In diesem Beispiel ist dies das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.24.0/24,
  • Verschlüsselungs-Algorithmus: Wählen Sie auf der Registerkarte Site-to-Site im Dropdownmenü AES 256 aus.

Bei Bedarf können Sie das Protokoll sowie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden.

2.4 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-SSL-Verbindung zu erstellen.

2.5 Aktivieren Sie die VPN-Verbindung und hinterlegen folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Zertifikat: Wählen Sie im Dropdownmenü das VPN-Zertifikat für die Zentrale aus.
  • Verbindungstyp: Wählen Sie Site-To-Site (Client) aus.
  • Remote-Adressen: Geben Sie hier die öffentliche IP-Adresse der Zentrale ein (hier 81.81.81.1).

2.6 Klicken Sie auf den Button zum Erstellen eines neuen VPN-Hosts.

2.7 Hinterlegen Sie folgende Parameter:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • VPN-Verbindungstyp: Wählen Sie VPN-SSL aus.
  • VPN-SSL-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.5 erstellte VPN-SSL-Verbindung aus

2.8 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches die Zentrale zugreifen können soll, damit die Firewall-Objekte geöffnet werden.

2.9 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

2.10  Klicken Sie zuletzt in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
2.11 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.


3. Einrichtung eines Port-Forwarding auf den LANCOM Routern (nur Szenario 2):

Für Site-to-Site VPN-SSL wird im Standard der TCP-Port 49152 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.

Der Port für SSL-VPN lässt sich in der Unified Firewall ändern

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

3.2 Hinterlegen Sie folgende Parameter:

  • Anfangs-Port: Hinterlegen Sie den Port 49152.
  • End-Port: Hinterlegen Sie den Port 49152.
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
  • Protokoll: Wählen Sie im Dropdown-Menü TCP aus.

3.3 Schreiben Sie die Konfiguration in den Router zurück.