Securepoint.UTM: Unterschied zwischen den Versionen

Aus PPwiki
Wechseln zu: Navigation, Suche
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „{{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} jetzt im [https://intern.pplant.de/index.php?title=Securepoint.UTM internen Wiki]“)
 
(21 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
= SSL VPN Client  =
+
{{DISPLAYTITLE:Securepoint UTM / Cloud Connector}}
  
*[[Securepoint:_Kunde_Einrichten|SSL VPN Client konfigurieren]]
+
jetzt im [https://intern.pplant.de/index.php?title=Securepoint.UTM internen Wiki]
 
 
== OpenVN SSL unter Android ===
 
 
 
Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden.
 
 
 
[[https://support.securepoint.de/viewtopic.php?f=27&t=7332| SSL VPN mit Android (Securepoint Forum)]]
 
 
 
 
 
= Einrichtung =
 
* Die '''Lizenzdatei''' steht im Securepoint Resellerportal zum Download zur Verfügung.
 
 
 
=== Datenverbrauch / Datengeschwindigkeit ====
 
* [[UTM_Datenverbrauch| Datenverbrauch / Datengeschwindigkeit]]
 
 
 
=== OpenVPN SSL Portfilter ====
 
* Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist.
 
* Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?).
 
 
 
=== S2S SSL VPN Verbindungen ====
 
* Auf der einen Seite ist der '''S2S Client''' (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector).
 
* Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den '''S2S Server''' ("ssl-s2s").
 
* Das '''Transfer-Netzwerk''' (Pool) entspricht nicht dem LAN auf der Client Seite!
 
* Das '''Serverzertifikat''' muss als Serverzertifikat gekennzeichnet sein.
 
* Die '''CA''' kann ohne '''privaten Schlüssel''' im Client importiert werden, das '''Client Zertifikat''' nicht.
 
* Auf dem Server müssen in den Clients immer Server- und Clientnetzwerke eingetragen werden. Auch wenn z.B. das Clientnetzwerk für den Server gar nicht erreichbar sein soll.
 
* Es müssen ('''Netzwerkgruppen''' und) '''Netzwerkobjekte''' auf beiden Seiten angelegt werden. Die Zone wird automatisch über das SSL-VPN angelegt.
 
* Dazu müssen '''Portfilter''' in beide Richtungen mit angelegt werden. Auf dem Server kann(?) für die eingehende Verbindung HideNAT auf das interne Interface eingestellt werden.
 
* Auf beiden Seiten müssen die gleichen Zertifikate, Transfer Netzwerke und Transfer Adressen ausgewählt sein.
 
* Besser als der '''Neustart''' des SSL-VPNs ist den Dienst über Anwendungen > Anwendungsstatus zu stoppen und zu starten.
 
** '''Achtung:''' Dazu darf man nicht über einen andren VPN mit der Firewall verbunden sein. Sonst ist sie nicht mehr erreichbar.
 
* Siehe auch [https://wiki.securepoint.de/UTM/VPN/SSL_VPN-S2S Securepoint Wiki zur SSL VPN S2S]
 
 
 
===== Clientnetzwerk ändern =====
 
Die Netzwerkadresse (z.B. 192.168.174.0/24) muss an folgenden Stellen geändert werde:
 
'''Server'''
 
* VPN > SSL-VPN > Client-Gegenstellen
 
* Firewall > Portfilter > Netzwerkobjekte
 
* Netzwerkkonfiguration > Routing
 
* U.U Netzwerk als admin freigeben
 
 
 
Dann auf beiden Seiten die UTM neu starten oder den Dienst über Anwendungen > Anwendungsstatus stoppen und starten.
 
 
 
''Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.''
 
 
 
==== Fehlersuche ====
 
===== Tcpdump auf der root-Konsole =====
 
* SSH über z.B. Putty
 
* oder Webinterface > Extras > CLI
 
* geht nur als root (nur dieser Benutzer)
 
** auf der UTMS in der Cloud (für die VMs) kann nur der Wortmann Support einen root Zugriff bzw. tcpdump bereit stellen. Der Benutzer root ist für alle anderen gesperrt.
 
* z.B. <pre>tcpdump –i tun1 -npp proto 1 </pre> zeigt ICMP-Pakete (z.B. Ping, proto 1) auf dem Interface tun1
 
* -npp
 
** -n: Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
 
** -p / -- no-promiscuous-mode: Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, `-p' cannot be used as an abbreviation for `ether host {local-hw-addr} or ether broadcast'.
 
** [https://www.tcpdump.org/manpages/tcpdump.1.html Tcdump Manpage]
 
 
 
* siehe auch das [https://wiki.securepoint.de/UTM/Extras/ipsec_fehleranalyse#Tcpdump_auf_der_root-Konsole entsprechend Securepoint Wiki]
 

Aktuelle Version vom 23. Dezember 2021, 17:18 Uhr


jetzt im internen Wiki