Securepoint.UTM: Unterschied zwischen den Versionen
Aus PPwiki
Schild (Diskussion | Beiträge) |
Schild (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
| − | + | {{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} | |
| − | *[[ | + | Mehr im [[https://wiki.securepoint.de/UTM Securepoint Wiki]] |
| + | |||
| + | = Einrichtung = | ||
| + | * Die '''Lizenzdatei''' steht im Securepoint Resellerportal zum Download zur Verfügung. | ||
| + | |||
| + | = Datenverbrauch / Datengeschwindigkeit = | ||
| + | * [[UTM_Datenverbrauch| Datenverbrauch / Datengeschwindigkeit]] | ||
| − | |||
| − | |||
| − | |||
| + | = VPN = | ||
| − | = | + | == Site-to-Site Verbindungen == |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | === | + | === SSL-VPN (OpenVPN) S2S === |
* Auf der einen Seite ist der '''S2S Client''' (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector). | * Auf der einen Seite ist der '''S2S Client''' (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector). | ||
* Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den '''S2S Server''' ("ssl-s2s"). | * Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den '''S2S Server''' ("ssl-s2s"). | ||
| Zeile 45: | Zeile 43: | ||
''Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.'' | ''Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.'' | ||
| + | |||
| + | |||
| + | |||
| + | == Roadwarrior Verbindungen (End-to-Site-VPN) == | ||
| + | |||
| + | == SSL-VPN (OpenVPN) == | ||
| + | |||
| + | === SSL VPN Client === | ||
| + | |||
| + | *[[Securepoint:_Kunde_Einrichten|SSL VPN Client konfigurieren]] | ||
| + | |||
| + | === OpenVN SSL unter Android === | ||
| + | |||
| + | Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden. | ||
| + | |||
| + | [[https://support.securepoint.de/viewtopic.php?f=27&t=7332| SSL VPN mit Android (Securepoint Forum)]] | ||
| + | |||
| + | |||
| + | |||
| + | === OpenVPN SSL Portfilter ==== | ||
| + | * Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist. | ||
| + | * Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?). | ||
==== Fehlersuche ==== | ==== Fehlersuche ==== | ||
Version vom 29. Juni 2021, 10:54 Uhr
Mehr im [Securepoint Wiki]
Inhaltsverzeichnis
1 Einrichtung
- Die Lizenzdatei steht im Securepoint Resellerportal zum Download zur Verfügung.
2 Datenverbrauch / Datengeschwindigkeit
3 VPN
3.1 Site-to-Site Verbindungen
3.1.1 SSL-VPN (OpenVPN) S2S
- Auf der einen Seite ist der S2S Client (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector).
- Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den S2S Server ("ssl-s2s").
- Das Transfer-Netzwerk (Pool) entspricht nicht dem LAN auf der Client Seite!
- Das Serverzertifikat muss als Serverzertifikat gekennzeichnet sein.
- Die CA kann ohne privaten Schlüssel im Client importiert werden, das Client Zertifikat nicht.
- Auf dem Server müssen in den Clients immer Server- und Clientnetzwerke eingetragen werden. Auch wenn z.B. das Clientnetzwerk für den Server gar nicht erreichbar sein soll.
- Es müssen (Netzwerkgruppen und) Netzwerkobjekte auf beiden Seiten angelegt werden. Die Zone wird automatisch über das SSL-VPN angelegt.
- Dazu müssen Portfilter in beide Richtungen mit angelegt werden. Auf dem Server kann(?) für die eingehende Verbindung HideNAT auf das interne Interface eingestellt werden.
- Auf beiden Seiten müssen die gleichen Zertifikate, Transfer Netzwerke und Transfer Adressen ausgewählt sein.
- Besser als der Neustart des SSL-VPNs ist den Dienst über Anwendungen > Anwendungsstatus zu stoppen und zu starten.
- Achtung: Dazu darf man nicht über einen andren VPN mit der Firewall verbunden sein. Sonst ist sie nicht mehr erreichbar.
- Siehe auch Securepoint Wiki zur SSL VPN S2S
3.1.1.1 Clientnetzwerk ändern
Die Netzwerkadresse (z.B. 192.168.174.0/24) muss an folgenden Stellen geändert werde: Server
- VPN > SSL-VPN > Client-Gegenstellen
- Firewall > Portfilter > Netzwerkobjekte
- Netzwerkkonfiguration > Routing
- U.U Netzwerk als admin freigeben
Dann auf beiden Seiten die UTM neu starten oder den Dienst über Anwendungen > Anwendungsstatus stoppen und starten.
Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.
3.2 Roadwarrior Verbindungen (End-to-Site-VPN)
3.3 SSL-VPN (OpenVPN)
3.3.1 SSL VPN Client
3.3.2 OpenVN SSL unter Android
Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden.
[SSL VPN mit Android (Securepoint Forum)]
3.3.3 OpenVPN SSL Portfilter =
- Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist.
- Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?).
3.3.3.1 Fehlersuche
3.3.3.1.1 Tcpdump auf der root-Konsole
- SSH über z.B. Putty
- oder Webinterface > Extras > CLI
- geht nur als root (nur dieser Benutzer)
- auf der UTMS in der Cloud (für die VMs) kann nur der Wortmann Support einen root Zugriff bzw. tcpdump bereit stellen. Der Benutzer root ist für alle anderen gesperrt.
- z.B.
tcpdump –i tun1 -npp proto 1
zeigt ICMP-Pakete (z.B. Ping, proto 1) auf dem Interface tun1 - -npp
- -n: Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
- -p / -- no-promiscuous-mode: Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, `-p' cannot be used as an abbreviation for `ether host {local-hw-addr} or ether broadcast'.
- Tcdump Manpage
- siehe auch das entsprechend Securepoint Wiki
