Terra Black Dwraf
Inhalt 1 VPN... 3 2 Konfigurieren der dyndns Einstellungen... 4 3 VPN-Verbindung mit dem IPSec Wizard erstellen... 5 4 Verbindung bearbeiten... 6 5 Netzwerkobjekte anlegen... 8 6 Regel hinzufügen... 9 7 Konfiguration des entfernten Gateways...11 8 VPN Verbindung starten...11 IT - Made in Germany 2
1 VPN Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Client verschlüsselt und von der Appliance wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein VPN ist ebenso möglich. internal IP 192.168.1.1 external IP dynamic external IP dynamic internal IP 192.168.2.1 tunnel firewall left firewall right internal network 1 192.168.1.0/24 internal network 2 192.168.2.0/24 Abb. 1 Site-to-Site VPN Verbindung mit dynamischen IP-Adressen IT - Made in Germany 3
2 Konfigurieren der dyndns Einstellungen Wenn Sie eine dynamische IP-Adresse verwenden und bei einem dyndns Dienstanbieter angemeldet sind, konfigurieren Sie die dyndns Einstellungen (soweit noch nicht geschehen). Klicken Sie im Dropdownmenü des Icons Network auf den Eintrag Network Configuration. Es erscheint der Dialog Network Configuration. Wechseln Sie auf die Registerkarte DynDNS. Geben Sie im Feld DynDNS Name den beantragten Hostnamen ein. Geben Sie Ihren dyndns Dienstanbieter Benutzernamen im Feld Username ein. Das zugehörige Kennwort tragen Sie im Feld Password ein. Geben Sie im Feld DynDNS Server den Hostnamen des Servers des Dienstanbieters an. Klicken Sie auf Save, um Ihre Angaben zu speichern und den Dienst DynDNS Client zu aktivieren. Abb. 2 Network Configuration auswählen Abb. 3 dyndns Dienst konfigurieren IT - Made in Germany 4
3 VPN-Verbindung mit dem IPSec Wizard erstellen Benutzen Sie zum Erstellen der Site-to-Site Verbindung den IPSec Wizard. Wählen Sie Im Dropdownmenü des Icons VPN den Eintrag IPSec Wizard. Es erscheint der Dialog IPSec Wizard. Create a new IPSec Connection. Abb. 4 Dropdownmenü VPN Wählen Sie im ersten Schritt als Art der Verbindung Site-to-Site. Klicken Sie auf Next. Geben Sie im zweiten Schritt den Namen der Verbindung an. Klicken Sie auf Next. Abb. 5 IPSec Wizard Schritt 1 Abb. 6 IPSec Wizard Schritt 2 Im dritten Schritt geben Sie den dyndns Hostnamen der Gegenstelle ein und aktivieren die Checkbox Hostname is DynDNS. Klicken Sie auf Next. Geben Sie im nächsten Dialog den Preshared Key (PSK) ein. Klicken Sie auf Next. Abb. 7 IPSec Wizard Schritt 3 Abb. 8 IPSec Wizard Schritt 4 IT - Made in Germany 5
Im letzten Schritt geben Sie die Subnetze an, die über das VPN verbunden werden. Zum Abschließen des Wizards klicken Sie Finish. Abb. 9 Subnetze angeben 4 Verbindung bearbeiten Der IPSec Wizard legt die Einstellungen für die IPSec Verbindung selbsttätig an. Da es sich in diesem Fall um eine Verbindung mit dynamischen IP-Adressen handelt, müssen die Verbindungsdaten nachbearbeitet werden. Klicken Sie in der Navigationsleiste auf das Icon VPN und im Dropdownmenü auf den Eintrag IPSec. Das Fenster IPSec mit einer Übersicht aller IPSec Verbindungen erscheint. Abb. 10 Dropdownmenü VPN Abb. 11 Übersich der IPSec Verbindungen IT - Made in Germany 6
Klicken Sie auf Phase 1 der betreffenden Verbindung. Der Dialog Phase 1 erscheint. Im Feld Local gateway ID ist standardmäßig das externe Interface eingetragen (eth0 oder ppp0). Hier müssen Sie Ihren DynDNS Hostnamen eingeben. Klicken Sie in das Feld und tragen Sie den DynDNS Hostnamen ein und drücken danach die Eingabe ( ) Taste. Um einen automatischen Wiederaufbau der Verbindung bei einer Trennung zu aktivieren, setzen Sie ein Häkchen in der Checkbox Dead peer detection. Klicken Sie auf Save. Abb. 12 DynDNS Hostnamen einsetzen und Dead Peer Detection aktivieren Wenn Sie die Performance der Verbindung erhöhen möchten, können Sie die Verschlüsselungsmethode AES128 für die Datenpakete wählen. Diese Umstellung bedeutet dabei keinen wesentlichen Sicherheitsverlust. Klicken Sie in der IPSec Übersicht auf Phase 2 der betreffenden Verbindung. Es öffnet sich der Dialog Phase 2. Im Bereich IKE wählen Sie im Feld Encryption das Verfahren AES128. Klicken Sie auf Save. Abb. 13 Verschlüsselungsverfahren ändern IT - Made in Germany 7
5 Netzwerkobjekte anlegen Um Regel anlegen zu können, müssen Sie noch ein Netzwerkobjekt erstellen. Die Netzwerkobjekte für das interne Netzwerk und das externe Interface sind schon werksseitig angelegt. Klicken Sie im Dropdownmenü des Icons Firewall auf den Eintrag Network Objects. Es öffnet sich das Fenster Network Objects. Abb. 14 Dropdownmenü Firewall Abb. 15 Übersicht der Netzwerkobjekte Klicken Sie auf Add VPN Host/Net. Es öffnet sich der Dialog New VPN Host/Net Object. Im Feld Name geben Sie einen Namen für das Netzwerkobjekt an. Wählen Sie unter Type Network aus. Im Feld IP Address geben Sie die IP-Adresse des entfernten Netzwerkes an. Wählen Sie im Feld Netmask die passende Netzmaske. In diesem Beispiel Bitcount 24. Wählen Sie als Zone IPSec aus. Klicken Sie auf Save. Abb. 16 Netzwerkobjekt für das entfernte Netzwerk anlegen IT - Made in Germany 8
6 Regel hinzufügen Sie müssen noch eine Regel anlegen, die dem entfernten Netz erlaubt, auf Ihr internes Netz zuzugreifen. Werkseitig sind schon Regeln angelegt, die den Zugriff aus dem Internet auf das externe Interface per VPN zulassen und den Zugriff vom internen Netzwerk ins Internet. Mit diesen beiden Regeln, kann das entfernte Netzwerk eine VPN Verbindung zur Appliance aufbauen und das interne Netz kann auf das entfernte Subnetz zugreifen. Klicken Sie in der Navigationsleiste auf das Icon Firewall im Dropdownmenü auf den Eintrag Portfilter. Es erscheint das Fenster Portfilter. Abb. 17 Dropdownmenü Firewall Abb. 18 Übersicht über die bestehenden Regeln IT - Made in Germany 9
Klicken Sie auf Add. Es öffnet sich der Dialog Add/Edit Portfilter Rule. Wählen Sie in der Liste Source das Netzwerkobjekt für das entfernte Netz aus. In der Liste Service wählen Sie any. Klicken Sie in der Liste Destination auf den Eintrag Internal Network. Belassen Sie im Feld Action die Auswahl auf Accept. Wenn Sie Ereignisse, die diese Regel betreffen protokollieren wollen, wählen Sie im Feld Logging eine Protokollierungsart. Sie können im Feld Description eine Beschreibung der Regel angeben. Wenn Sie die Regel auf bestimmte Zeiten beschränken wollen, wechseln Sie auf die Registerkarte Time und stellen dort die gewünschten Zeiten ein. Klicken Sie auf Save. Abb. 19 Regeln für den Zugriff aus interne Netz anlegen IT - Made in Germany 10
7 Konfiguration des entfernten Gateways Ist die Gegenstelle ebenfalls ein, wird die VPN-Konfiguration automatisch auf beiden Firewalls gespeichert. Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden. Das kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu gehören unter anderem: Gateways, die Strongswan, Openswan, Freeswan oder andere IPSec Implementierungen verwenden. Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die Parameter müssen mit den Einstellungen auf dem übereinstimmen. Achten Sie darauf, dass in Phase 1 des entfernten Gateways ebenfalls der DynDNS Hostname des entfernten Systems als Local Gateway ID angegeben wird und die Optionen Start Automatically und Dead Peer Detection ausgewählt sind. 8 VPN Verbindung starten Sie müssen die Verbindung nicht explizit starten, Sie können auch im IPSec Übersichtsfenster auf Save klicken. Damit wird der IPSec Dienst gestartet und die Verbindung hergestellt. Durch das Aktivieren der Dead Peer Detection wird die Verbindung erneut gestartet, wenn die Verbindung abgebrochen ist. Klicken Sie In der Navigationsleiste auf das Icon VPN und im Dropdownmenü auf den Eintrag IPSec. Es erscheint das Fenster IPSec. Klicken Sie auf Save, um die Verbindung zu starten. Abb. 20 Fenster IPSec zum Bearbeiten, Starten und Stoppen der Verbindung IT - Made in Germany 11