|
|
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| {{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} | | {{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} |
| | | |
− | Mehr im [[https://wiki.securepoint.de/UTM Securepoint Wiki]]
| + | jetzt im [https://intern.pplant.de/index.php?title=Securepoint.UTM internen Wiki] |
− |
| |
− | = Einrichtung =
| |
− | * Die '''Lizenzdatei''' steht im Securepoint Resellerportal zum Download zur Verfügung.
| |
− | | |
− | = Namenskonventionen =
| |
− | | |
− | ; Netzwerkgruppen : ngrp- (oder z.B. sslnet'''s'''- oder internal-network'''s''')
| |
− | ; Dienstgruppen : dgrp-
| |
− | ; Konfiguration : datum-[ticket|aufgabe-]aenderungen[-namenskuerzel]
| |
− | | |
− | = Datenverbrauch / Datengeschwindigkeit =
| |
− | * [[UTM_Datenverbrauch| Datenverbrauch / Datengeschwindigkeit]]
| |
− | | |
− | = Routen =
| |
− | == Sourcerouting ==
| |
− | * Wenn eine Source Route für ein bestimmtes Endgerät als Quasi Default Route eingerichtet ist, dann müssen für dieses Gerät darüber hinaus für alle VPN Netzwerke Source ERouten eingetragen werden.
| |
− | * Wenn z.B. beim Multipath Routing (mehrere Internetleitungen parallel) die Telefonalage über eieb Source Route immer eine bestimmte Internetleitung benutzen soll.
| |
− | * Source Routen haben immer die höchste Priorität. Wenn es also eine Source Rpute mit dem Zielnetzwerk 0.0.0.0/o gibt, werden alle Pakete dieser Quelle ins Internet geschickt. Auch wenn deren Ziele lokalen Netzwerken liegen, die korrekt über VPN erreichbar sind.
| |
− | * Es müssen also weitere Source Routen für dieses Gerät mit den jeweiliegen LANs hinter den VPN als Zielnetzwerk engerichtet werden.
| |
− | | |
− | == Routen anzeigen ==
| |
− | * am Rechner über <pre>route print -4</pre>
| |
− | | |
− | = VPN =
| |
− | | |
− | == Site-to-Site Verbindungen ==
| |
− | | |
− | === Allgemeine Hinweise ===
| |
− | Bei Multi-Path Routing müssen u.U [[#Sourcerouting|weitere Source Routen]] angelegt werden.
| |
− | | |
− | === SSL-VPN (OpenVPN) S2S ===
| |
− | * Auf der einen Seite ist der '''S2S Client''' (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector).
| |
− | * Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den '''S2S Server''' ("ssl-s2s").
| |
− | * Das '''Transfer-Netzwerk''' (Pool) entspricht nicht dem LAN auf der Client Seite!
| |
− | * Das '''Serverzertifikat''' muss als Serverzertifikat gekennzeichnet sein.
| |
− | * Die '''CA''' kann ohne '''privaten Schlüssel''' im Client importiert werden, das '''Client Zertifikat''' nicht.
| |
− | * Auf dem Server müssen in den Clients immer Server- und Clientnetzwerke eingetragen werden. Auch wenn z.B. das Clientnetzwerk für den Server gar nicht erreichbar sein soll.
| |
− | * Es müssen ('''Netzwerkgruppen''' und) '''Netzwerkobjekte''' auf beiden Seiten angelegt werden. Die Zone wird automatisch über das SSL-VPN angelegt.
| |
− | * Dazu müssen '''Portfilter''' in beide Richtungen mit angelegt werden. Auf dem Server kann(?) für die eingehende Verbindung HideNAT auf das interne Interface eingestellt werden.
| |
− | * Auf beiden Seiten müssen die gleichen Zertifikate, Transfer Netzwerke und Transfer Adressen ausgewählt sein.
| |
− | * Besser als der '''Neustart''' des SSL-VPNs ist den Dienst über Anwendungen > Anwendungsstatus zu stoppen und zu starten.
| |
− | ** '''Achtung:''' Dazu darf man nicht über einen andren VPN mit der Firewall verbunden sein. Sonst ist sie nicht mehr erreichbar.
| |
− | * Siehe auch [https://wiki.securepoint.de/UTM/VPN/SSL_VPN-S2S Securepoint Wiki zur SSL VPN S2S]
| |
− | | |
− | ===== Clientnetzwerk ändern =====
| |
− | Die Netzwerkadresse (z.B. 192.168.174.0/24) muss an folgenden Stellen geändert werde:
| |
− | '''Server'''
| |
− | * VPN > SSL-VPN > Client-Gegenstellen
| |
− | * Firewall > Portfilter > Netzwerkobjekte
| |
− | * Netzwerkkonfiguration > Routing
| |
− | * U.U Netzwerk als admin freigeben
| |
− | | |
− | Dann auf beiden Seiten die UTM neu starten oder den Dienst über Anwendungen > Anwendungsstatus stoppen und starten.
| |
− | | |
− | ''Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.''
| |
− | | |
− | | |
− | === IPsec S2S ===
| |
− | | |
− | ==== UTM als zusätzliches Gerät im Netzwerk ====
| |
− | | |
− | * Der eigentliche '''Router''' (z.B. die Fritzbox) darf '''kein IPsec''' benutzen.
| |
− | ** Sonst werden die Pakete vom Router geändert bzw. gar nicht erst durchgelassen.
| |
− | * '''Portfreigaben auf dem Router'''
| |
− | ** 500 UDP
| |
− | ** 4500 UDP
| |
− | ** Protokoll ESP
| |
− | | |
− | == Roadwarrior Verbindungen (End-to-Site-VPN) ==
| |
− | | |
− | === SSL-VPN (OpenVPN) Roadwarrior Verbindung ===
| |
− | | |
− | ==== SSL VPN Client ====
| |
− | | |
− | *[[Securepoint:_Kunde_Einrichten|SSL VPN Client konfigurieren]]
| |
− | | |
− | ==== OpenVN SSL unter Android ====
| |
− | | |
− | Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden.
| |
− | | |
− | [[https://support.securepoint.de/viewtopic.php?f=27&t=7332| SSL VPN mit Android (Securepoint Forum)]]
| |
− | | |
− | ==== OpenVPN SSL Portfilter ====
| |
− | * Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist.
| |
− | * Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?).
| |
− | | |
− | = Fehlersuche =
| |
− | == Tcpdump auf der root-Konsole ==
| |
− | * SSH über z.B. Putty
| |
− | * oder Webinterface > Extras > CLI
| |
− | * geht nur als root (nur dieser Benutzer)
| |
− | ** auf der UTMS in der Cloud (für die VMs) kann nur der Wortmann Support einen root Zugriff bzw. tcpdump bereit stellen. Der Benutzer root ist für alle anderen gesperrt.
| |
− | * z.B. <pre>tcpdump –i tun1 -npp proto 1 </pre> zeigt ICMP-Pakete (z.B. Ping, proto 1) auf dem Interface tun1
| |
− | * -npp
| |
− | ** -n: Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
| |
− | ** -p / -- no-promiscuous-mode: Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, `-p' cannot be used as an abbreviation for `ether host {local-hw-addr} or ether broadcast'.
| |
− | ** [https://www.tcpdump.org/manpages/tcpdump.1.html Tcdump Manpage]
| |
− | | |
− | * siehe auch das [https://wiki.securepoint.de/UTM/Extras/ipsec_fehleranalyse#Tcpdump_auf_der_root-Konsole entsprechend Securepoint Wiki]
| |