|
|
| Zeile 1: |
Zeile 1: |
| | {{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} | | {{DISPLAYTITLE:Securepoint UTM / Cloud Connector}} |
| | | | |
| − | Mehr im [[https://wiki.securepoint.de/UTM Securepoint Wiki]]
| + | jetzt im [https://intern.pplant.de/index.php?title=Securepoint.UTM internen Wiki] |
| − |
| |
| − | = Einrichtung =
| |
| − | * Die '''Lizenzdatei''' steht im Securepoint Resellerportal zum Download zur Verfügung.
| |
| − | | |
| − | = Namenskonventionen =
| |
| − | ; Netzwerkgruppen : ngrp- (oder z.B. sslnet'''s'''- oder internal-network'''s''')
| |
| − | ; Dienstgruppen : dgrp-
| |
| − | ; Konfiguration : datum-[ticket|aufgabe-]aenderungen[-namenskuerzel]
| |
| − | ; Zonen : ''firewall-'' Zone für eine Schnittstelle, um Pakete an die (Dienste der) UTM zu leiten (oder von ihr zu bekommen, Flag ''Interface'')
| |
| − | | |
| − | = Routen =
| |
| − | == Sourcerouting ==
| |
| − | * Wenn eine Source Route für ein bestimmtes Endgerät als Quasi Default Route eingerichtet ist, dann müssen für dieses Gerät darüber hinaus für alle VPN Netzwerke Source ERouten eingetragen werden.
| |
| − | * Wenn z.B. beim Multipath Routing (mehrere Internetleitungen parallel) die Telefonalage über eieb Source Route immer eine bestimmte Internetleitung benutzen soll.
| |
| − | * Source Routen haben immer die höchste Priorität. Wenn es also eine Source Rpute mit dem Zielnetzwerk 0.0.0.0/o gibt, werden alle Pakete dieser Quelle ins Internet geschickt. Auch wenn deren Ziele lokalen Netzwerken liegen, die korrekt über VPN erreichbar sind.
| |
| − | * Es müssen also weitere Source Routen für dieses Gerät mit den jeweiliegen LANs hinter den VPN als Zielnetzwerk engerichtet werden.
| |
| − | | |
| − | == Routen anzeigen ==
| |
| − | * am Rechner über <pre>route print -4</pre>
| |
| − | | |
| − | = VPN =
| |
| − | | |
| − | == Site-to-Site Verbindungen ==
| |
| − | | |
| − | === Allgemeine Hinweise ===
| |
| − | Bei Multi-Path Routing müssen u.U [[#Sourcerouting|weitere Source Routen]] angelegt werden.
| |
| − | | |
| − | === SSL-VPN (OpenVPN) S2S ===
| |
| − | * Auf der einen Seite ist der '''S2S Client''' (z.B. "ssl-s2s-p63743001-plugplant-cc-client" auf dem Cloud Connector).
| |
| − | * Auf der anderen Seite (in der Cloud bei der Wortmann Standardkonfiguration) gibt es den '''S2S Server''' ("ssl-s2s").
| |
| − | * Das '''Transfer-Netzwerk''' (Pool) entspricht nicht dem LAN auf der Client Seite!
| |
| − | * Das '''Serverzertifikat''' muss als Serverzertifikat gekennzeichnet sein.
| |
| − | * Die '''CA''' kann ohne '''privaten Schlüssel''' im Client importiert werden, das '''Client Zertifikat''' nicht.
| |
| − | * Auf dem Server müssen in den Clients immer Server- und Clientnetzwerke eingetragen werden. Auch wenn z.B. das Clientnetzwerk für den Server gar nicht erreichbar sein soll.
| |
| − | * Es müssen ('''Netzwerkgruppen''' und) '''Netzwerkobjekte''' auf beiden Seiten angelegt werden. Die Zone wird automatisch über das SSL-VPN angelegt.
| |
| − | * Dazu müssen '''Portfilter''' in beide Richtungen mit angelegt werden. Auf dem Server kann(?) für die eingehende Verbindung HideNAT auf das interne Interface eingestellt werden.
| |
| − | * Auf beiden Seiten müssen die gleichen Zertifikate, Transfer Netzwerke und Transfer Adressen ausgewählt sein.
| |
| − | * Besser als der '''Neustart''' des SSL-VPNs ist den Dienst über Anwendungen > Anwendungsstatus zu stoppen und zu starten.
| |
| − | ** '''Achtung:''' Dazu darf man nicht über einen andren VPN mit der Firewall verbunden sein. Sonst ist sie nicht mehr erreichbar.
| |
| − | * Siehe auch [https://wiki.securepoint.de/UTM/VPN/SSL_VPN-S2S Securepoint Wiki zur SSL VPN S2S]
| |
| − | | |
| − | ===== Clientnetzwerk ändern =====
| |
| − | Die Netzwerkadresse (z.B. 192.168.174.0/24) muss an folgenden Stellen geändert werde:
| |
| − | '''Server'''
| |
| − | * VPN > SSL-VPN > Client-Gegenstellen
| |
| − | * Firewall > Portfilter > Netzwerkobjekte
| |
| − | * Netzwerkkonfiguration > Routing
| |
| − | * U.U Netzwerk als admin freigeben
| |
| − | | |
| − | Dann auf beiden Seiten die UTM neu starten oder den Dienst über Anwendungen > Anwendungsstatus stoppen und starten.
| |
| − | | |
| − | ''Es reicht meist nicht, nur die SSL-VPN Verbindungen neu zu starten.''
| |
| − | | |
| − | | |
| − | === IPsec S2S ===
| |
| − | | |
| − | ==== UTM als zusätzliches Gerät im Netzwerk ====
| |
| − | | |
| − | * Der eigentliche '''Router''' (z.B. die Fritzbox) darf '''kein IPsec''' benutzen.
| |
| − | ** Sonst werden die Pakete vom Router geändert bzw. gar nicht erst durchgelassen.
| |
| − | * '''Portfreigaben auf dem Router'''
| |
| − | ** 500 UDP
| |
| − | ** 4500 UDP
| |
| − | ** Protokoll ESP
| |
| − | | |
| − | == Roadwarrior Verbindungen (End-to-Site-VPN) ==
| |
| − | | |
| − | === SSL-VPN (OpenVPN) Roadwarrior Verbindung ===
| |
| − | | |
| − | ==== SSL VPN Client ====
| |
| − | | |
| − | *[[Securepoint:_Kunde_Einrichten|SSL VPN Client konfigurieren]]
| |
| − | | |
| − | ==== OpenVN SSL unter Android ====
| |
| − | | |
| − | Mit der openVPN-Connect App kann einfach eine neue Verbindung mit Verweis auf die Konfigurationsdateien (Die openvpn.ovpn uhnd die anderen drei Dateien) mit Config-Datei angelegt werden.
| |
| − | | |
| − | [[https://support.securepoint.de/viewtopic.php?f=27&t=7332| SSL VPN mit Android (Securepoint Forum)]]
| |
| − | | |
| − | ==== OpenVPN SSL Portfilter ====
| |
| − | * Der Verkehr läuft von der Quelle mgmtn-vpn-openvpn-sslrw-192.168.20.0-24, wobei 192.168.20.0-24 der Adresskreis der VPN Clients ist.
| |
| − | * Über diese Regel lässt sich der Verkehr überwachen (zumindest der eingehende?).
| |
| − | | |
| − | = Fehlersuche =
| |
| − | == Datenverbrauch / Datengeschwindigkeit ==
| |
| − | * [[UTM_Datenverbrauch| Datenverbrauch / Datengeschwindigkeit]]
| |
| − | | |
| − | == Tcpdump auf der root-Konsole ==
| |
| − | * SSH über z.B. Putty
| |
| − | * oder Webinterface > Extras > CLI
| |
| − | * geht nur als root (nur dieser Benutzer)
| |
| − | ** auf der UTMS in der Cloud (für die VMs) kann nur der Wortmann Support einen root Zugriff bzw. tcpdump bereit stellen. Der Benutzer root ist für alle anderen gesperrt.
| |
| − | * z.B. <pre>tcpdump –i tun1 -npp proto 1 </pre> zeigt ICMP-Pakete (z.B. Ping, proto 1) auf dem Interface tun1
| |
| − | * -npp
| |
| − | ** -n: Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
| |
| − | ** -p / -- no-promiscuous-mode: Don't put the interface into promiscuous mode. Note that the interface might be in promiscuous mode for some other reason; hence, `-p' cannot be used as an abbreviation for `ether host {local-hw-addr} or ether broadcast'.
| |
| − | ** [https://www.tcpdump.org/manpages/tcpdump.1.html Tcdump Manpage]
| |
| − | | |
| − | * siehe auch das [https://wiki.securepoint.de/UTM/Extras/ipsec_fehleranalyse#Tcpdump_auf_der_root-Konsole entsprechend Securepoint Wiki]
| |
