Securepoint UTM / Cloud Connector

Aus PPwiki
Wechseln zu: Navigation, Suche


Mehr im [Securepoint Wiki]

1 Einrichtung

  • Die Lizenzdatei steht im Securepoint Resellerportal zum Download zur Verfügung.

2 Datenverbrauch / Datengeschwindigkeit

3 Routen

3.1 Sourcerouting

  • Wenn eine Source Route für ein bestimmtes Endgerät als Quasi Default Route eingerichtet ist, dann müssen für dieses Gerät darüber hinaus für alle VPN Netzwerke Source ERouten eingetragen werden.
  • Wenn z.B. beim Multipath Routing (mehrere Internetleitungen parallel) die Telefonalage über eieb Source Route immer eine bestimmte Internetleitung benutzen soll.
  • Source Routen haben immer die höchste Priorität. Wenn es also eine Source Rpute mit dem Zielnetzwerk 0.0.0.0/o gibt, werden alle Pakete dieser Quelle ins Internet geschickt. Auch wenn deren Ziele lokalen Netzwerken liegen, die korrekt über VPN erreichbar sind.
  • Es müssen also weitere Source Routen für dieses Gerät mit den jeweiliegen LANs hinter den VPN als Zielnetzwerk engerichtet werden.

3.2 Routen anzeigen

  • am Rechner über

<syntaxhighlight lang="python" line> def quick_sort(arr): less = [] pivot_list = [] more = [] if len(arr) <= 1: return arr else: pass </syntaxhighlight>

<source> def quick_sort(arr): less = [] pivot_list = [] more = [] if len(arr) <= 1: return arr else: pass </source>

4 VPN

4.1 Site-to-Site Verbindungen

4.1.1 Allgemeine Hinweise

Bei Multi-Path Routing müssen u.U weitere Source Routen angelegt werden.

4.1.2 SSL-VPN (OpenVPN) S2S

  • Auf der einen Seite ist der S2S Client (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector).
  • Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den S2S Server ("ssl-s2s").
  • Das Transfer-Netzwerk (Pool) entspricht nicht dem LAN auf der Client Seite!
  • Das Serverzertifikat muss als Serverzertifikat gekennzeichnet sein.
  • Die CA kann ohne privaten Schlüssel im Client importiert werden, das Client Zertifikat nicht.
  • Auf dem Server müssen in den Clients immer Server- und Clientnetzwerke eingetragen werden. Auch wenn z.B. das Clientnetzwerk für den Server gar nicht erreichbar sein soll.
  • Es müssen (Netzwerkgruppen und) Netzwerkobjekte auf beiden Seiten angelegt werden. Die Zone wird automatisch über das SSL-VPN angelegt.
  • Dazu müssen Portfilter in beide Richtungen mit angelegt werden. Auf dem Server kann(?) für die eingehende Verbindung HideNAT auf das interne Interface eingestellt werden.
  • Auf beiden Seiten müssen die gleichen Zertifikate, Transfer Netzwerke und Transfer Adressen ausgewählt sein.
  • Besser als der Neustart des SSL-VPNs ist den Dienst über Anwendungen > Anwendungsstatus zu stoppen und zu starten.
    • Achtung: Dazu darf man nicht über einen andren VPN mit der Firewall verbunden sein. Sonst ist sie nicht mehr erreichbar.
  • Siehe auch Securepoint Wiki zur SSL VPN S2S
4.1.2.1 Clientnetzwerk ändern

Die Netzwerkadresse (z.B. 192.168.174.0/24) muss an folgenden Stellen geändert werde: Server

  • VPN > SSL-VPN > Client-Gegenstellen
  • Firewall > Portfilter > Netzwerkobjekte
  • Netzwerkkonfiguration > Routing
  • U.U Netzwerk als admin freigeben

Dann auf beiden Seiten die UTM neu starten oder den Dienst über Anwendungen > Anwendungsstatus stoppen und starten.

Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.


4.1.3 IPsec S2S

4.1.3.1 UTM als zusätzliches Gerät im Netzwerk

  • Der eigentliche Router (z.B. die Fritzbox) darf kein IPsec benutzen.
    • Sonst werden die Pakete vom Router geändert bzw. gar nicht erst durchgelassen.
  • Portfreigaben auf dem Router
    • 500 UDP
    • 4500 UDP
    • Protokoll ESP

4.2 Roadwarrior Verbindungen (End-to-Site-VPN)

4.2.1 SSL-VPN (OpenVPN) Roadwarrior Verbindung

4.2.1.1 SSL VPN Client

4.2.1.2 OpenVN SSL unter Android

Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden.

[SSL VPN mit Android (Securepoint Forum)]

4.2.1.3 OpenVPN SSL Portfilter

  • Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist.
  • Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?).

5 Fehlersuche

5.1 Tcpdump auf der root-Konsole

  • SSH über z.B. Putty
  • oder Webinterface > Extras > CLI
  • geht nur als root (nur dieser Benutzer)
    • auf der UTMS in der Cloud (für die VMs) kann nur der Wortmann Support einen root Zugriff bzw. tcpdump bereit stellen. Der Benutzer root ist für alle anderen gesperrt.
  • z.B.
    tcpdump –i tun1 -npp proto 1 
    zeigt ICMP-Pakete (z.B. Ping, proto 1) auf dem Interface tun1
  • -npp
    • -n: Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
    • -p / -- no-promiscuous-mode: Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, `-p' cannot be used as an abbreviation for `ether host {local-hw-addr} or ether broadcast'.
    • Tcdump Manpage