Handbuch Ergänzung â L2TP-VPN-Konfiguration - Securepoint
Handbuch Ergänzung â L2TP-VPN-Konfiguration - Securepoint
Handbuch Ergänzung â L2TP-VPN-Konfiguration - Securepoint
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Security System<br />
Version 2007nx
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
Inhaltsverzeichnis<br />
<strong>VPN</strong> mit IPSec und Gateway to Gateway ....................................................................................................... 3<br />
1 <strong>Konfiguration</strong> der Appliance.......................................................................................................................... 4<br />
1.1 Erstellen von Netzwerkobjekten im <strong>Securepoint</strong> Security Manager .................................................................. 4<br />
1.2 Erstellen von Firewall-Regeln........................................................................................................................ 7<br />
1.3 IPSec-<strong>Konfiguration</strong> ................................................................................................................................... 10<br />
2 <strong>Konfiguration</strong> des zweiten <strong>VPN</strong>-Gateways.................................................................................................... 16<br />
Seite 2
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
<strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
Ein <strong>VPN</strong> verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das<br />
Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem<br />
Netzwerk der Zentrale über das Internet verbunden ist.<br />
Für den Benutzer sieht das <strong>VPN</strong> wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen<br />
Übertragungsweg sieht er nicht. Das <strong>VPN</strong> stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine<br />
tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom<br />
<strong>Securepoint</strong> Server wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein <strong>VPN</strong> ist ebenso<br />
möglich.<br />
Zielsetzung: Aufbau einer <strong>VPN</strong> mit IPSec zwischen der <strong>Securepoint</strong> Appliance und einem <strong>VPN</strong>-Gateway<br />
Abb. <strong>VPN</strong><br />
Seite 3
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
1 <strong>Konfiguration</strong> der Appliance<br />
1.1 Erstellen von Netzwerkobjekten im <strong>Securepoint</strong> Security Manager<br />
Als erstes müssen einige Netzwerkobjekte erstellt werden. Damit zur Firewall ein IPSec-Tunnel aufgebaut werden kann, wird<br />
das externe Interface als Netzwerkobjekt benötigt. Die weiteren Netzwerkobjekte beschreiben die Netze, welche über das <strong>VPN</strong><br />
miteinander kommunizieren sollen.<br />
Es werden 3 Objekte und 3 Rechnergruppen erstellt:<br />
Rechnergruppe Rechner Bedeutung<br />
Grp-external-interface External-Interface Das externes Firewall-Interface<br />
Grp-internal-net Internal-net Das interne Netz<br />
Grp-ipsec-net<br />
ipsec-net<br />
Das IPSec-Netz<br />
Gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie über Firewall den Folder Netzwerkobjekte. Klicken Sie auf den Button Rechner.<br />
Es werden Ihnen hier zwei Möglichkeiten dargestellt. Wenn Sie über eine feste IP-Adresse verfügen fahren Sie mit 1. (Feste IP-<br />
Adresse) fort. Im Fall von dynamischen IP-Adressen fahren Sie mit 2. (Dynamische IP-Adresse) fort.<br />
Abb. Externes Interfaces mit fester IP-Adresse<br />
‣ 1. Feste IP-Adresse: Die IP wird angegeben, daher muss der Bitcount 32 (= Host) sein. Die Zone ist firewall-external.<br />
Bei der Gruppe Grp-external-interface muss ein Symbol ausgewählt werden.<br />
Seite 4
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
‣ 2. Dynamische IP-Adresse: Falls keine feste externe IP vorhanden ist, sondern ein dynamischer DNS Dienst (dyn-DNS)<br />
verwendet wird, muss das Interface mit der IP 0.0.0.0 und der Maske 0 angelegt werden.<br />
Abb. Externes Interfaces mit Dyn-DNS<br />
‣ Legen Sie nun das interne Netz und das IPSec-Netz wie dargestellt an.<br />
Abb. Internes Netz<br />
Abb. IPSec-Netz<br />
Seite 5
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
Das Ergebnis zeigt folgende Abbildung.<br />
Abb. Ergebnis Netzwerkobjekte erstellen<br />
Seite 6
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
1.2 Erstellen von Firewall-Regeln<br />
Gehen Sie folgendermaßen vor:<br />
‣ Wählen Sie über Firewall den Folder Portfilter und legen Sie die Firewall-Regeln wie in der Abbildung an.<br />
Damit das Remote Gateway den Tunnel initialisieren kann, muss ihm erlaubt werden, die IPSec-Dienste auf dem externen<br />
Interface anzusprechen. In diesem Beispiel wird allen externen IPs der Zugriff gestattet. Zur Kommunikation zwischen den<br />
Netzen müssen weitere Regeln angelegt werden. Um beiden Netzen kompletten Zugriff auf das jeweils andere zu gestatten,<br />
kann der vordefinierte Dienst „any“ verwendet werden.<br />
Sie benötigen nur drei Regeln.<br />
‣ Die erste Regel erlaubt dem externen Gateway über das Internet eine IPSec-Verbindung zum externen Interface der<br />
Appliance aufzubauen.<br />
Abb. Firewall-Regeln Internet -> Firewall extern<br />
Seite 7
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
‣ Die zweite Regel ermöglicht dem internen Netzwerk auf das entfernte Netz zuzugreifen.<br />
Abb. Firewall-Regeln Internes Netz -> IPSec Netz<br />
‣ Die dritte Regel gestattet dem entfernten Netz den Zugriff auf das interne Netzwerk.<br />
Abb. Firewall-Regeln IPSec Netz -> internes Netz<br />
‣ Nachdem die Regeln angelegt wurden, ist ein Regelupdate zum Aktivieren der Regeln erforderlich.<br />
Seite 8
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
‣ Achtung: Falls ein Hide-NAT für Verbindungen von intern nach extern konfiguriert ist, muss eine Ausnahme für das <strong>VPN</strong><br />
erstellt werden, ansonsten kann das interne Netz nicht auf das entfernte Netz zugreifen. In diesem Fall wechseln Sie<br />
auf den Folder Hide-NAT.<br />
‣ Alle Verbindungen, die vom internen Netz auf das IPSec-Netz gehen, sollen nicht genattet werden, siehe Abbildung.<br />
Falls diese Regel nicht erstellt wird, bekommen alle Verbindungen aus dem internen Netz, die das IPSec-Netz erreichen<br />
wollen, die IP von eth0 (existierende Hide-NAT Regel) zugewiesen.<br />
Abb. Hide-NAT Ausnahme<br />
Seite 9
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
1.3 IPSec-<strong>Konfiguration</strong><br />
Nachdem die Regeln angelegt sind, muss die <strong>VPN</strong>-<strong>Konfiguration</strong> durchgeführt werden. Dazu wird ein Gateway angelegt,<br />
welches zusammen mit der <strong>Securepoint</strong> Firewall in die Arbeitsmappe vom <strong>VPN</strong> gezogen wird. Die <strong>Konfiguration</strong> der <strong>VPN</strong>-<br />
Verbindung öffnet sich, wenn die beiden Objekte miteinander verbunden werden.<br />
Gehen Sie folgendermaßen vor:<br />
‣ Klicken Sie über <strong>VPN</strong> auf den Folder <strong>VPN</strong> Verbindungen.<br />
‣ Ziehen Sie nun das bestehende Firewallobjekt aus dem linken Fenster auf die <strong>VPN</strong> Arbeitsfläche.<br />
Abb. Firewall-Symbol auf die Arbeitsfläche ziehen<br />
Seite 10
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
Jetzt erstellen Sie ein neues Firewall-Objekt im linken Fenster.<br />
‣ Klicken Sie auf das „blaue Firewall-Symbol“ in der Bildleiste des linken Fensters.<br />
Falls das andere Gateway eine <strong>Securepoint</strong> Appliance ist, wählen Sie das „rote Firewall-Symbol“.<br />
Abb. Neues Firewall-Objekt erstellen<br />
‣ Ziehen Sie das neu erstellte Symbol aus dem linken Fenster dann ebenfalls auf die <strong>VPN</strong> Arbeitsfläche.<br />
Abb. Neues Firewall-Objekt auf die Arbeitsfläche ziehen<br />
Seite 11
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
‣ Klicken Sie nun auf das Icon Verbinden und dann auf das Firewall-Objekt.<br />
Es erscheint eine Fahne am Firewall-Objekt mit der Information Bitte Zielobjekt anklicken.<br />
‣ Klicken Sie nun das blaue Firewall-Objekt an.<br />
Abb. Objekte verbinden<br />
Seite 12
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
Es öffnet sich automatisch das Dialog-Fenster IPSec-Verbindung übernehmen.<br />
‣ Da beide Gateways eine feste IP haben, wird die <strong>Konfiguration</strong> über einen Preshared Key (PSK) realisiert (bei<br />
dynamischen IPs empfiehlt sich die Verwendung von Zertifikaten, da die Gegenstellen sich nicht über die IP als<br />
eindeutige ID identifizieren können). Die Verschlüsselung und andere Parameter müssen auf der <strong>Securepoint</strong> mit denen<br />
auf dem Remote Gateway übereinstimmen. Die <strong>Securepoint</strong> nimmt standardmäßig alle ihr möglichen Verschlüsselungen<br />
an, falls nur eine bestimmte zugelassen werden soll, muss die untere Checkbox ausgewählt werden.<br />
‣ Wählen Sie im neuen Fenster das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall<br />
einfach zu übernehmen.<br />
Abb. <strong>VPN</strong>-Verbindung definieren<br />
‣ Klicken Sie unter Lokaler Schlüssel auf das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein.<br />
Abb. <strong>VPN</strong>-Verbindung definieren<br />
Abb. Lokalen Schlüssel eingeben<br />
Seite 13
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
Nach dem Erstellen der Verbindung muss auch das Subnetz für den Firewall konfiguriert werden. Die Verbindung wird jetzt rot<br />
dargestellt, da die Subnetze, welche miteinander kommunizieren sollen noch nicht eingetragen wurden.<br />
‣ Klicken Sie hierzu mit der rechten Maustaste auf die schwarzen Kästchen, die zwischen den Verbindungslinien sind und<br />
wählen Sie Subnetz aus. Ein neues Fenster zur Definition der Subnetze erscheint.<br />
‣ Legen Sie nun ein neues Subnetz an, indem Sie auf das Icon Neu klicken und dann Ihre Daten im Dialog-Fenster<br />
eingeben. Zwischen den hier eingetragenen Netzen wird nach erfolgreichem Aufbau des Tunnels geroutet.<br />
Abb. Subnetz eintragen<br />
Nach dem Anlegen des Subnetzes wird die Verbindungslinie grün. Ein <strong>VPN</strong> kann nun aufgebaut werden.<br />
‣ Nach einem Klick auf das Icon Aktualisieren ist die <strong>Konfiguration</strong> auf der Appliance abgeschlossen.<br />
Abb. Verbindungen aktualisieren<br />
Seite 14
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
‣ Überprüfen Sie anschließend den Status der Dienste unter Applikationen im Folder Dienste Status.<br />
Für die <strong>VPN</strong>-Verbindung wird der SERVICE_IPSEC benötigt.<br />
Abb. Überprüfung, ob die <strong>VPN</strong>-Services in Betrieb sind<br />
Seite 15
How-to: <strong>VPN</strong> mit IPSec und Gateway to Gateway<br />
<strong>Securepoint</strong> Version 2007nx<br />
2 <strong>Konfiguration</strong> des zweiten <strong>VPN</strong>-Gateways<br />
‣ Ist die Gegenstelle ebenfalls eine <strong>Securepoint</strong>, wird die <strong>VPN</strong>-<strong>Konfiguration</strong> automatisch auf beiden Firewalls gespeichert.<br />
Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden.<br />
‣ Die <strong>Securepoint</strong> kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu<br />
gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-<br />
<strong>VPN</strong>, Checkpoint usw.). Die <strong>Konfiguration</strong> der Gegenstelle muss dem <strong>Handbuch</strong> des Herstellers entnommen werden. Die<br />
Parameter müssen mit den Einstellungen auf der <strong>Securepoint</strong> übereinstimmen.<br />
Seite 16