Handbuch ErgÃ¤nzung â L2TP-VPN-Konfiguration - Securepoint

How-to: VPN mit IPSec und Gateway to Gateway 

Securepoint Security System 

Version 2007nx


Securepoint Version 2007nx 

Inhaltsverzeichnis 

VPN mit IPSec und Gateway to Gateway ....................................................................................................... 3 

1 Konfiguration der Appliance.......................................................................................................................... 4 

1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager .................................................................. 4 

1.2 Erstellen von Firewall-Regeln........................................................................................................................ 7 

1.3 IPSec-Konfiguration ................................................................................................................................... 10 

2 Konfiguration des zweiten VPN-Gateways.................................................................................................... 16 

Seite 2



VPN mit IPSec und Gateway to Gateway 

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das 

Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem 

Netzwerk der Zentrale über das Internet verbunden ist. 

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen 

Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine 

tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom 

Securepoint Server wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein VPN ist ebenso 

möglich. 

Zielsetzung: Aufbau einer VPN mit IPSec zwischen der Securepoint Appliance und einem VPN-Gateway 

Abb. VPN 

Seite 3



1 Konfiguration der Appliance 

1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager 

Als erstes müssen einige Netzwerkobjekte erstellt werden. Damit zur Firewall ein IPSec-Tunnel aufgebaut werden kann, wird 

das externe Interface als Netzwerkobjekt benötigt. Die weiteren Netzwerkobjekte beschreiben die Netze, welche über das VPN 

miteinander kommunizieren sollen. 

Es werden 3 Objekte und 3 Rechnergruppen erstellt: 

Rechnergruppe Rechner Bedeutung 

Grp-external-interface External-Interface Das externes Firewall-Interface 

Grp-internal-net Internal-net Das interne Netz 

Grp-ipsec-net 

ipsec-net 

Das IPSec-Netz 

Gehen Sie folgendermaßen vor: 

‣ Wählen Sie über Firewall den Folder Netzwerkobjekte. Klicken Sie auf den Button Rechner. 

Es werden Ihnen hier zwei Möglichkeiten dargestellt. Wenn Sie über eine feste IP-Adresse verfügen fahren Sie mit 1. (Feste IP- 

Adresse) fort. Im Fall von dynamischen IP-Adressen fahren Sie mit 2. (Dynamische IP-Adresse) fort. 

Abb. Externes Interfaces mit fester IP-Adresse 

‣ 1. Feste IP-Adresse: Die IP wird angegeben, daher muss der Bitcount 32 (= Host) sein. Die Zone ist firewall-external. 

Bei der Gruppe Grp-external-interface muss ein Symbol ausgewählt werden. 

Seite 4



‣ 2. Dynamische IP-Adresse: Falls keine feste externe IP vorhanden ist, sondern ein dynamischer DNS Dienst (dyn-DNS) 

verwendet wird, muss das Interface mit der IP 0.0.0.0 und der Maske 0 angelegt werden. 

Abb. Externes Interfaces mit Dyn-DNS 

‣ Legen Sie nun das interne Netz und das IPSec-Netz wie dargestellt an. 

Abb. Internes Netz 

Abb. IPSec-Netz 

Seite 5



Das Ergebnis zeigt folgende Abbildung. 

Abb. Ergebnis Netzwerkobjekte erstellen 

Seite 6



1.2 Erstellen von Firewall-Regeln 


‣ Wählen Sie über Firewall den Folder Portfilter und legen Sie die Firewall-Regeln wie in der Abbildung an. 

Damit das Remote Gateway den Tunnel initialisieren kann, muss ihm erlaubt werden, die IPSec-Dienste auf dem externen 

Interface anzusprechen. In diesem Beispiel wird allen externen IPs der Zugriff gestattet. Zur Kommunikation zwischen den 

Netzen müssen weitere Regeln angelegt werden. Um beiden Netzen kompletten Zugriff auf das jeweils andere zu gestatten, 

kann der vordefinierte Dienst „any“ verwendet werden. 

Sie benötigen nur drei Regeln. 

‣ Die erste Regel erlaubt dem externen Gateway über das Internet eine IPSec-Verbindung zum externen Interface der 

Appliance aufzubauen. 

Abb. Firewall-Regeln Internet -> Firewall extern 

Seite 7



‣ Die zweite Regel ermöglicht dem internen Netzwerk auf das entfernte Netz zuzugreifen. 

Abb. Firewall-Regeln Internes Netz -> IPSec Netz 

‣ Die dritte Regel gestattet dem entfernten Netz den Zugriff auf das interne Netzwerk. 

Abb. Firewall-Regeln IPSec Netz -> internes Netz 

‣ Nachdem die Regeln angelegt wurden, ist ein Regelupdate zum Aktivieren der Regeln erforderlich. 

Seite 8



‣ Achtung: Falls ein Hide-NAT für Verbindungen von intern nach extern konfiguriert ist, muss eine Ausnahme für das VPN 

erstellt werden, ansonsten kann das interne Netz nicht auf das entfernte Netz zugreifen. In diesem Fall wechseln Sie 

auf den Folder Hide-NAT. 

‣ Alle Verbindungen, die vom internen Netz auf das IPSec-Netz gehen, sollen nicht genattet werden, siehe Abbildung. 

Falls diese Regel nicht erstellt wird, bekommen alle Verbindungen aus dem internen Netz, die das IPSec-Netz erreichen 

wollen, die IP von eth0 (existierende Hide-NAT Regel) zugewiesen. 

Abb. Hide-NAT Ausnahme 

Seite 9



1.3 IPSec-Konfiguration 

Nachdem die Regeln angelegt sind, muss die VPN-Konfiguration durchgeführt werden. Dazu wird ein Gateway angelegt, 

welches zusammen mit der Securepoint Firewall in die Arbeitsmappe vom VPN gezogen wird. Die Konfiguration der VPN- 

Verbindung öffnet sich, wenn die beiden Objekte miteinander verbunden werden. 


‣ Klicken Sie über VPN auf den Folder VPN Verbindungen. 

‣ Ziehen Sie nun das bestehende Firewallobjekt aus dem linken Fenster auf die VPN Arbeitsfläche. 

Abb. Firewall-Symbol auf die Arbeitsfläche ziehen 

Seite 10



Jetzt erstellen Sie ein neues Firewall-Objekt im linken Fenster. 

‣ Klicken Sie auf das „blaue Firewall-Symbol“ in der Bildleiste des linken Fensters. 

Falls das andere Gateway eine Securepoint Appliance ist, wählen Sie das „rote Firewall-Symbol“. 

Abb. Neues Firewall-Objekt erstellen 

‣ Ziehen Sie das neu erstellte Symbol aus dem linken Fenster dann ebenfalls auf die VPN Arbeitsfläche. 

Abb. Neues Firewall-Objekt auf die Arbeitsfläche ziehen 

Seite 11



‣ Klicken Sie nun auf das Icon Verbinden und dann auf das Firewall-Objekt. 

Es erscheint eine Fahne am Firewall-Objekt mit der Information Bitte Zielobjekt anklicken. 

‣ Klicken Sie nun das blaue Firewall-Objekt an. 

Abb. Objekte verbinden 

Seite 12



Es öffnet sich automatisch das Dialog-Fenster IPSec-Verbindung übernehmen. 

‣ Da beide Gateways eine feste IP haben, wird die Konfiguration über einen Preshared Key (PSK) realisiert (bei 

dynamischen IPs empfiehlt sich die Verwendung von Zertifikaten, da die Gegenstellen sich nicht über die IP als 

eindeutige ID identifizieren können). Die Verschlüsselung und andere Parameter müssen auf der Securepoint mit denen 

auf dem Remote Gateway übereinstimmen. Die Securepoint nimmt standardmäßig alle ihr möglichen Verschlüsselungen 

an, falls nur eine bestimmte zugelassen werden soll, muss die untere Checkbox ausgewählt werden. 

‣ Wählen Sie im neuen Fenster das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall 

einfach zu übernehmen. 

Abb. VPN-Verbindung definieren 

‣ Klicken Sie unter Lokaler Schlüssel auf das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein. 

Abb. VPN-Verbindung definieren 

Abb. Lokalen Schlüssel eingeben 

Seite 13



Nach dem Erstellen der Verbindung muss auch das Subnetz für den Firewall konfiguriert werden. Die Verbindung wird jetzt rot 

dargestellt, da die Subnetze, welche miteinander kommunizieren sollen noch nicht eingetragen wurden. 

‣ Klicken Sie hierzu mit der rechten Maustaste auf die schwarzen Kästchen, die zwischen den Verbindungslinien sind und 

wählen Sie Subnetz aus. Ein neues Fenster zur Definition der Subnetze erscheint. 

‣ Legen Sie nun ein neues Subnetz an, indem Sie auf das Icon Neu klicken und dann Ihre Daten im Dialog-Fenster 

eingeben. Zwischen den hier eingetragenen Netzen wird nach erfolgreichem Aufbau des Tunnels geroutet. 

Abb. Subnetz eintragen 

Nach dem Anlegen des Subnetzes wird die Verbindungslinie grün. Ein VPN kann nun aufgebaut werden. 

‣ Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen. 

Abb. Verbindungen aktualisieren 

Seite 14



‣ Überprüfen Sie anschließend den Status der Dienste unter Applikationen im Folder Dienste Status. 

Für die VPN-Verbindung wird der SERVICE_IPSEC benötigt. 

Abb. Überprüfung, ob die VPN-Services in Betrieb sind 

Seite 15



2 Konfiguration des zweiten VPN-Gateways 

‣ Ist die Gegenstelle ebenfalls eine Securepoint, wird die VPN-Konfiguration automatisch auf beiden Firewalls gespeichert. 

Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden. 

‣ Die Securepoint kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu 

gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec- 

VPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die 

Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen. 

Seite 16

Handbuch ErgÃ¤nzung â L2TP-VPN-Konfiguration - Securepoint

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?

Handbuch ErgÃ¤nzung â L2TP-VPN-Konfiguration - Securepoint