Inhalt 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP Grundeinstellungen... 6 1.4 L2TP Konfiguration... 7 1.4.1 Konfiguration mit dem Assistenten... 7 1.4.2 Konfiguration über die Layer-Ansicht...10 1.5 Benutzer einrichten...15 2 Konfiguration des Windows-L2TP-VPN Roadwarriors...16 2.1 Erstellen der VPN-Verbindung...16 2.2 Eigenschaften der VPN-Verbindung einstellen...18 2
VPN mit L2TP und dem Windows VPN-Client Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt. Zielsetzung: Aufbau einer VPN-L2TP zwischen der Securepoint Appliance und einem Windows L2TP-Client. Abb. 1 VPN-Verbindungen in der Layer-Darstellung 3
1 Konfiguration der Appliance 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager Gehen Sie folgendermaßen vor: Wählen Sie über Firewall den Folder Netzwerkobjekte. Legen Sie die Netzwerkobjekte wie in der folgenden Abbildung an. Abb. 2 benötigte Netzwerkobjekte 4
1.2 Erstellen von Firewall-Regeln Gehen Sie folgendermaßen vor: Wählen Sie über Firewall den Folder Portfilter. Legen Sie die Firewall-Regeln wie in der nachfolgenden Abbildung an. Abb. 3 Firewall-Regeln 5
1.3 L2TP Grundeinstellungen Gehen Sie folgendermaßen vor: Wählen Sie im Hauptmenü VPN über die Auswahlliste VPN L2TP. Das lokale L2TP-Interface sollte eine freie IP-Adresse aus dem internen Netz sein. Die L2TP-IP-Adressen (L2TP Adressenpool) werden im Anschluss an das L2TP- Interface vergeben. Sie können als Authentifizierungsmechanismen zwischen Radius Server und Active Directory wählen. Bei dieser Konfiguration kann der L2TP-Client über Proxy-Arp Funktionalität mit dem internen Netz kommunizieren, da ihm eine IP-Adresse aus diesem Netz bei der Einwahl zugewiesen wird. Abb. 4 allgemein VPN-L2TP Einstellungen Abb. 5 NS/WINS VPN-L2TP Einstellungen 6
1.4 L2TP Konfiguration Die Konfiguration kann auf zwei Weisen vorgenommen werden. Entweder über einen Assistenten geführte Konfiguration oder zeichnungsbasierte manuelle Konfiguration. 1.4.1 Konfiguration mit dem Assistenten Gehen Sie folgendermaßen vor: Wählen Sie über VPN den Folder VPN Verbindungen. Klicken Sie auf den Button Neu, der den Assistenten startet. Wählen Sie im Assistenten Roadwarrior und klicken auf Weiter. Abb. 6 Konfiguration mit dem Assistenten Schritt 1 7
Wählen Sie im folgenden Dialog L2TP aus und klicken Sie auf Weiter. Abb. 7 Konfiguration mit dem Assistenten Schritt 2 Geben Sie einen Namen für die Verbindung und den Preshared Key ein. Klicken Sie auf Weiter. Abb. 8 Konfiguration mit dem Assistenten Schritt 3 8
Der Assistent weist Sie daraufhin, welche Schritte noch ausgeführt werden müssen. Klicken Sie auf Fertigstellen, um den Assistenten zu beenden. Abb. 9 Konfiguration mit dem Assistenten Schritt 4 Das Ergebnis der Konfiguration sehen Sie in der Abbildung 10. Abb. 10 Ergebnis der Konfiguration Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung werden SERVICE_IPSEC und SERVICE_L2TP benötigt. 9
1.4.2 Konfiguration über die Layer-Ansicht Gehen Sie folgendermaßen vor: Wählen Sie über VPN den Folder VPN Verbindungen. Wechsel Sie in die Layer-Ansicht durch Klicken auf den Button Ansicht. Ziehen Sie mit der Maus das bestehende Firewall-Objekt aus dem linken Fenster auf die VPN Arbeitsfläche. Abb. 11 Firewall-Objekt auf den VPN-Layer ziehen 10
Jetzt erstellen Sie ein neues Roadwarrior-Objekt im linken Fenster. Klicken Sie auf das Notebook-Symbol in der Bildleiste des oberen Fensters. Im Dialog-Fenster Roadwarrior hinzufügen wird der Roadwarrior ohne IP (0.0.0.0) angelegt, da diese sich ständig ändern kann! Klicken Sie auf L2TP im Roadwarrior-Dialog an, um L2TP zu aktivieren. Abb. 12 L2TP Roadwarrior hinzufügen Ziehen Sie nun das neu erstellte Roadwarrior-Objekt aus dem linken Fenster auch auf die VPN Arbeitsfläche. Abb. 13 Roadwarrior-Objekt auf den VPN-Layer ziehen 11
Klicken Sie nun auf das Icon Verbinden und auf das Roadwarrior-Objekt. Es erscheint eine Fahne am Roadwarrior-Objekt mit der Information Bitte Zielobjekt anklicken. Klicken Sie nun das Firewall-Objekt an. Abb. 14 Objekte auf dem Layer verbinden 12
Es erscheint jetzt automatisch ein neues Dialog-Fenster IP-Sec-Verbindungen Übernehmen. Wählen Sie das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall einfach zu übernehmen. Abb. 15 Verbindung konfigurieren Wechseln Sie auf die Registerkarte mit dem Firewall-Namen. Klicken Sie unter Lokaler Schlüssel das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein. Abb. 17 Preshared Key eingeben Abb. 16 Verbindung konfigurieren 13
Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen. Abb. 18 Verbindung aktualisieren Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung werden SERVICE_IPSEC und SERVICE_L2TP benötigt. Abb. 19 Dienste Status überprüfen 14
1.5 Benutzer einrichten Gehen Sie folgendermaßen vor: Das Icon Authentifizierung in der Icon-Leiste öffnet die Benutzerverwaltung. Klicken Sie in dem Dialog Benutzer auf das Icon Neu. Erstellen Sie einen L2TP-Benutzer mit Name, Login, Passwort etc. Abb. 20 neuen Benutzer anlegen Wechseln Sie auf die Registerkarte Gruppenmitgliedschaft und aktivieren Sie VPN- L2TP-Benutzer. Wechseln Sie dann auf die Registerkarte VPN-Optionen und tragen Sie eine Adresse aus dem lokalen Adress-Pool ein, die dem neuen Benutzer beim Einwählen zugewiesen werden soll. Abb. 21 Gruppenmitglieschaft zuweisen Abb. 22 IP-Adresse zuweisen 15
2 Konfiguration des Windows-L2TP-VPN Roadwarriors 2.1 Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor: Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPN- Verbindung. (Unter Windows XP Start Systemsteuerung Netzwerk- und Internetverbindungen Neue Verbindung erstellen) Abb. 23 Verbindungsassistent starten Abb. 24 Verbindungstyp auswählen Abb. 25 Art der Verbindungherstellung 16
Abb. 26 Namen vergeben Abb. 27 Servernamen oder IP angeben Abb. 28 Einrichtung abschließen 17
2.2 Eigenschaften der VPN-Verbindung einstellen Gehen Sie folgendermaßen vor: Nach dem Fertigstellen erscheint der Dialog Verbindung herstellen. Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen. Wählen Sie anschließend in den Eigenschaften -> Sicherheit -> IPSec-Einstellungen. Tragen Sie den Lokalen Schlüssel (SECRET) ein. Abb. 29 Eigenschaften bearbeiten Abb. 30 Registerkarte Sicherheit Abb. 31 Schlüssel eingeben Unter Folder Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN ein. In den Eigenschaften -> Erweitert kann noch die Option Standardgateway für das Remotenetzwerk verwenden eingestellt werden. Jetzt können Sie die IPSec-Verbindung starten. 18
Abb. 32 Netzwerkeingenschaften bearbeiten Abb. 33 Adressen Einstellungen Abb. 34 Verwendung des Standardgateway 19