Inhaltsverzeichnis
In IPEX ist ein leistungsfähiger SSL - VPN - Server integriert. Gegenüber PPTP - VPNS bringt er vor allem ein Gewinn an Sicherheit und Zuverlässigkeit, gegenüber IPSEC - VPNS den Vorteil der einfacheren Konfiguration.
Der Einsatzzweck liegt derzeit bei der Einwahl einzelner Arbeitsplätze in das LAN. Für eine sog. Site - to - Site - Vernetzung von zwei oder mehreren LANs per VPN ist in IPEX der Einsatz von IPSEC vorgesehen.
Die Einrichtung sollte in folgenden Schritten ablaufen:
Erstellen eines Netzwerkes aus dessen IP - Adress - Bereich IP - Adressen an die Clients vergeben werden. (Einmalig)
Erstellen eines neuen Firewall - Protokolls "OPENVPN". Dieser Schritt ist optional, da je nach IPEX - Version das Protokoll bereits angelegt sein kann. (Einmalig)
Erstellen einer Firewallregel, die den Zugriff aus dem Internet per OPENVPN - Protokoll auf den IPEX zulässt. (Einmalig)
Aktivierung des Zertifikatservers. (Einmalig)
Ausstellen eines Zertifikates mit privatem Schlüssel für den VPN - Server. (Einmalig)
Durchführen der VPN - Konfiguration. (Einmalig)
Erstellen von Firewallregeln, die den Clients den Zugriff auf das LAN erlauben. (Einmalig oder bei Bedarf)
Austellen der Zertifikate für die Clients. (Je Client)
Installation der Openvpn - Software auf dem Client.
Folgende Schritte sollten vor der Aktivierung des SSL - VPN - Servers vorgenommen werden:
Zunächst muss ein IP - Subnetz zur Verwendung für die Clients angelegt werden. Jeder VPN - Client bekommt bei der Einwahl dynamisch eine IP - Adresse dieses Bereichs zugewiesen.
Hinweis:
Dieser IP - Adresse - Bereich sollte mit keinem anderen in IPEX oder Ihrem LAN verwendeten übereinstimmen!
Abbildung 8.1. Erstellen eines SSL - VPN - Client - Subnetztes
Gehen Sie auf: Einstellungen --> Netze --> Neues Netz. Füllen Sie alle Felder analog dem Screenshot aus. Ersetzen Sie dabei "Netz" und "Netzmaske" sowie "Beschreibung" gemäß Ihren individuellen Anforderungen.
Der SSL - VPN - Server verwendet für seine Kommunikation zwischen Client und Server das UDP - Protokoll mit dem Port 1194. Je nach IPEX - Version müssen Sie dieses Protokoll manuell anlegen um auf dessen Basis dann geeignete Firewall - Regeln zu erstellen.
Abbildung 8.2. Erstellen eines neuen Firewall - Protokolls "OPENVPN"
Gehen Sie auf Firewall --> Protokolle --> Eigene --> Neuer Eintrag. Füllen Sie alle Felder analog dem Screenshot aus.
Da in IPEX generell die gesamte Kommunikation mit dem Internet gesperrt ist, muss auch für den Zugriff auf den SSL - VPN - Server eine geeignete Regel erstellt werden.
Abbildung 8.3. Erstellen eines neuen Firewallregel zum Zugriff auf den SSL - VPN - Dienst
Gehen Sie auf Firewall --> Policies --> Neue Policy anlegen.. Füllen Sie alle Felder analog dem Screenshot aus.
Hinweis:
Wählen Sie bitte die Punkte "Nach Zone" und "Von IP - Adresse(n)" nach Ihren individuellen Anforderungen aus.
Nehmen Sie die Aktivierung des Zertifikatservers bitte wie in Kapitel 7 beschrieben vor.
Der SSL - VPN - Server benötigt ein Zertifikat mit dessen Hilfe die Kommunkiation zwischen Client und Server verschlüsselt wird. Dieses Zertifikat muss von dem Zertifkatserver signiert werden, der auf der gleichen Hardware läuft wie der VPN - Dienst selbst.
Im Beispiel erstellen wir ein sog. "Standalone" Zertifikat. Dies könnte aber ebenso mit einem bestimmten Rechner oder Benutzer verknüpft sein.
Abbildung 8.4. Erstellen eines Zertifikates für den SSL - VPN - Dienst.
Gehen Sie auf Zertifikatserver --> Standalone --> Zertfikat erstellen..
Hinweis:
Das hier angegebene Passwort brauchen Sie später, wenn das Zertifikat im SSL - VPN - Server installiert wird!
Die Erstellung des Zertifikates erfolgt in folgenden Schritten:
Ausfüllen der Zertifikatsdaten wie im Screenshot.
Anzeige des "privaten Schlüssels" des Zertifikates. Dieser muss an dieser Stelle NICHT gespeichert werden.
Signieren des Zertifikates. Geben Sie hierbei das Passwort des Stammzertifikates an, dass Sie bei der Aktivierung des Zertifikatservers vergeben haben.
Nach der erfolgreichen Ausstellung des Zertifikates muss dieses im IPEX - Admin - Tool im Ordner "Standalone" erscheinen.
