Securepoint Security System Version 2007nx
Inhaltsverzeichnis VPN mit L2TP und dem Windows VPN-Client... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager... 4 1.2 Erstellen von Firewall-Regeln... 5 1.3 L2TP-Grundeinstellungen... 6 1.4 L2TP-Konfiguration... 7 1.5 Benutzer einrichten... 12 2 Konfiguration des Windows-L2TP-VPN-Roadwarriors unter Windows... 13 2.1 Erstellen der VPN-Verbindung... 13 2.2 Eigenschaften der VPN-Verbindung einrichten... 14 Seite 2
VPN mit L2TP und dem Windows VPN-Client Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über das Internet verbunden ist. Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt. Zielsetzung: Aufbau einer VPN-L2TP zwischen der Securepoint Appliance und einem Windows L2TP-Client. Abb. VPN Seite 3
1 Konfiguration der Appliance 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager Gehen Sie folgendermaßen vor: Wählen Sie über Firewall den Folder Netzwerkobjekte. Legen Sie die Netzwerkobjekte wie in der folgenden Abbildung an. Abb. Netzwerkobjekte Seite 4
1.2 Erstellen von Firewall-Regeln Gehen Sie folgendermaßen vor: Wählen Sie über Firewall den Folder Portfilter. Legen Sie die Firewall-Regeln wie in der nachfolgenden Abbildung an. Abb. Firewall-Regeln Seite 5
1.3 L2TP-Grundeinstellungen Gehen Sie folgendermaßen vor: Wählen Sie im Hauptmenü VPN über die Auswahlliste VPN L2TP. Das lokale L2TP-Interface sollte eine freie IP-Adresse aus dem internen Netz sein. Die L2TP-IP-Adressen (L2TP Adressenpool) werden im Anschluss an das L2TP-Interface vergeben. Bei dieser Konfiguration kann der L2TP-Client über Proxy-Arp Funktionalität mit dem internen Netz kommunizieren, da ihm eine IP-Adresse aus diesem Netz bei der Einwahl zugewiesen wird. Abb. Allgemeine VPN L2TP-Einstellungen Abb. NS / WINS-VPN L2TP-Einstellungen Seite 6
1.4 L2TP-Konfiguration Gehen Sie folgendermaßen vor: Wählen Sie über VPN den Folder VPN Verbindungen. Ziehen Sie mit der Maus das bestehende Firewallobjekt aus dem linken Fenster auf die VPN Arbeitsfläche. Abb. Firewall-Symbol auf die Arbeitsfläche ziehen Jetzt erstellen Sie ein neues Roadwarrior-Objekt im linken Fenster. Klicken Sie auf das Notebook-Symbol in der Bildleiste des oberen Fensters. Im Dialog-Fenster Roadwarrior hinzufügen wird der Roadwarrior ohne IP (0.0.0.0) angelegt, da diese sich ständig ändern kann! Klicken Sie auf L2TP im Roadwarrior-Dialog an, um L2TP zu aktivieren. Abb. Neues Roadwarrior-Objekt erstellen Seite 7
Ziehen Sie nun das neu erstellte Roadwarrior-Objekt aus dem linken Fenster auch auf die VPN Arbeitsfläche. Abb. Roadwarrior-Objekt auf die Arbeitsfläche ziehen Klicken Sie nun auf das Icon Verbinden und auf das Roadwarrior-Objekt. Es erscheint eine Fahne am Roadwarrior-Objekt mit der Information Bitte Zielobjekt anklicken. Klicken Sie nun das Firewall-Objekt an. Abb. Neues Roadwarrior-Objekt erstellen Seite 8
Es erscheint jetzt automatisch ein neues Dialog-Fenster IP-Sec-Verbindungen Übernehmen. Wählen Sie das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall einfach zu übernehmen. Abb. VPN mit Roadwarrior aufbauen Klicken Sie unter Lokaler Schlüssel das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein. Abb. VPN mit Roadwarrior aufbauen Abb. Lokalen Schlüssel eingeben Arbeitet der Client-PC hinter einem Router (genatet), so ist noch das Client-Subnet einzutragen. Soll der Eintrag für alle möglichen Subnetze gelten, so muss 0.0.0.0/0 eingetragen werden. Seite 9
Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen. Abb. Verbindungen Aktualisierung Seite 10
Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung werden SERVICE_IPSEC und SERVICE_L2TP benötigt. Abb. Überprüfung, ob die VPN-Services in Betrieb sind Seite 11
1.5 Benutzer einrichten Gehen Sie folgendermaßen vor: Klicken Sie unter Benutzerverwaltung auf das Icon Neu. Erstellen Sie einen L2TP-Benutzer mit Name, Login, Passwort etc. Abb. Erstellen Sie einen L2TP-Benutzer Optional kann dem L2TP-Benutzer eine IP-Adresse außerhalb der L2TP-Pools direkt zugewiesen werden. Abb. Zuweisen einer IP-Adresse Seite 12
2 Konfiguration des Windows-L2TP-VPN-Roadwarriors unter Windows 2.1 Erstellen der VPN-Verbindung Gehen Sie folgendermaßen vor: Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPN-Verbindung. Abb. Standard-VPN-Verbindung unter Windows erstellen Abb. VPN-Name erstellen Abb. VPN-Serverauswahl Abb. Öffentliches Netzwerk Abb. VPN-Verbindung fertigstellen Seite 13
2.2 Eigenschaften der VPN-Verbindung einrichten Gehen Sie folgendermaßen vor: Öffnen Sie die Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen. Wählen Sie anschließend in den Eigenschaften -> Sicherheit -> IPSec-Einstellungen. Tragen Sie den Lokalen Schlüssel (SECRET) ein. Abb. Eigenschaften der VPN-Verbindung wählen Abb. Eigenschaften -> Sicherheit Abb. Eigenschaften -> Sicherheit Seite 14
Unter Folder Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN ein. In den Eigenschaften -> Erweitert kann noch die Option Standardgateway für das Remotenetzwerk verwenden eingestellt werden. Jetzt können Sie die IPSec-Verbindung starten. Abb. Eigenschaften der VPN-Verbindung wählen Abb. Eigenschaften -> Erweitert Abb. Standardgateway für das Remotenetzwerk verwenden Seite 15