Beschreibung:
In diesem Dokument ist beschrieben, wie eine VPN-SSL-Verbindung mit dem OpenVPN Client zu einer LANCOM R&S® Unified Firewall (im Folgenden Unified Firewall genannt) eingerichtet werden kann.
Aufgrund einer Umstellung in den Verschlüsselungs-Algorithmen in OpenVPN ab Version 2.6.0 ist es nicht mehr möglich VPN-SSL-Verbindungen zur Unified Firewall aufzubauen. Verwenden Sie daher OpenVPN mit einer Version kleiner 2.6.0 (z.B. Version 2.5.8). |
Voraussetzungen:
Wir empfehlen für VPN Client-Verbindungen die Verwendung des LANCOM Advanced VPN Client. Passende Artikel zur Konfiguration finden Sie in diesem Sammel-Dokument. |
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben. |
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
1. Konfigurationsschritte auf der Unified Firewall:
1.1 Verbinden Sie sich mit der Unified Firewall, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Zeichen", um eine neue CA zu erstellen.
1.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
Die restlichen Einstellungen (etwa die Verschlüsselung) können auf den Standard-Einstellungen belassen werden. |
1.3 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat. Dieses dient zur Authentifizierung von VPN-SSL Verbindungen auf der Unified Firewall.
1.4 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
Die restlichen Einstellungen (etwa die Verschlüsselung) können auf den Standard-Einstellungen belassen werden. |
1.5 Erstellen Sie mit einem Klick auf das "Plus-Zeichen" ein weiteres Zertifikat. Dieses dient zur Einwahl eines bestimmten Mitarbeiters bzw. VPN-Clients.
1.6 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
In dem Feld Subject Alternative Name können zur einfacheren Zuordnung eines Mitarbeiters weitere Merkmale wie z.B. die E-Mail-Adresse hinterlegt werden. Die restlichen Einstellungen (etwa die Verschlüsselung) können auf den Standard-Einstellungen belassen werden. |
1.7 Wechseln Sie in das Menü VPN → VPN-SSL → VPN-SSL-Einstellungen.
1.8 Aktivieren Sie den VPN-SSL-Dienst über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:
Optional können Sie einen DNS- oder WINS-Server hinterlegen, die allen VPN-SSL-Clients zugewiesen werden. Bei Bedarf können Sie den Port abändern. Bei dem Adressbereich handelt es sich um den Einwahl-Adressbereich, aus dem ein VPN-SSL-Client eine IP-Adresse zugewiesen bekommt. Dieser Adressbereich darf nicht bereits als internes Netzwerk in der Unified Firewall verwendet werden. |
1.9 Wechseln Sie in das Menü VPN → VPN-SSL → Verbindungen und klicken auf das "Plus-Zeichen", um eine neue VPN-SSL-Verbindung zu erstellen.
1.10 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
Wird die Funktion Standard-Gateway setzen aktiviert, kann der VPN-Client über die Internet-Verbindung der Unified Firewall mit dem Internet kommunizieren. Bei Client IP besteht die Möglichkeit dem VPN-Client eine feste IP-Adresse zuzuweisen. Bleibt dieser Eintrag leer, wird dem VPN-Client eine IP-Adresse aus dem Adressbereich zugewiesen (siehe Schritt 1.8). Bei Zusätzliche Server-Netzwerke besteht die Möglichkeit dem VPN-Client den Zugriff auf weitere lokale Netzwerke zu erlauben. So kann einzelnen Mitarbeitern der Zugriff auf unterschiedliche lokale Netzwerke ermöglicht werden. |
1.11 Klicken Sie bei der VPN-SSL Verbindung auf die Schaltfläche Verbindung exportieren, um das VPN-Profil mitsamt dem Zertifikat zu exportieren.
Gegebenenfalls müssen Sie im Vorfeld auf das Doppelpfeil-Symbol klicken (neben dem Feld Filter), um das Menü zu expandieren, damit das Symbol für den Export sichtbar ist. Alternativ können Sie die Verbindung auch über das "Stift-Symbol" editieren und dort auf Client-Konfiguration exportieren klicken, um das VPN-Profil mitsamt dem Zertifikat zu exportieren. |
1.12 Passen Sie die folgenden Parameter an und klicken auf Exportieren:
1.13 Klicken Sie auf die Schaltfläche zum Erstellen eines neuen VPN-Hosts.
1.14 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
1.15 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches der OpenVPN Client zugreifen können soll, damit die Firewall-Objekte geöffnet werden. Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches der OpenVPN Client Zugriff haben soll.
1.16 Weisen Sie über die "Plus-Zeichen" dem VPN-Host die erforderlichen Protokolle zu.
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
1.17 Klicken Sie zuletzt in der Unified Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.18 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.
Führen Sie bei Bedarf die Schritte 1.5 - 1.6 sowie 1.9 - 1.17 erneut durch, um einen weiteren VPN-Zugang zu erstellen. |
2. Konfigurationsschritte im OpenVPN Client:
2.1 Führen Sie auf das OpenVPN Symbol in der Taskleiste einen Rechtsklick aus.
2.2 Klicken Sie auf Datei importieren, um das VPN-Profil zu importieren.
2.3 Der erfolgreiche Profil-Import wird mit einer entsprechenden Meldung quittiert.
2.4 Die Konfigurationsschritte im OpenVPN Client sind damit abgeschlossen.
3. Einrichtung eines Port-Forwarding auf einem LANCOM Router (nur Szenario 2):
Für VPN-SSL wird im Standard der UDP-Port 1194 verwendet. Dieser muss auf die Unified Firewall weitergeleitet werden.
Der Port für SSL-VPN lässt sich in der Unified Firewall ändern (siehe Schritt 1.8). Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller. |
3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.
3.2 Hinterlegen Sie folgende Parameter:
3.3 Schreiben Sie die Konfiguration in den Router zurück.