VPN mit IPSec und Gateway to Gateway

Transcription

How-to: VPN mit IPSec und Gateway to Gateway
Securepoint Security System
Version 2007nx
Securepoint Version 2007nx
Inhaltsverzeichnis
VPN mit IPSec und Gateway to Gateway ....................................................................................................... 3
1
Konfiguration der Appliance.......................................................................................................................... 4
1.1
Erstellen von Netzwerkobjekten im Securepoint Security Manager .................................................................. 4
1.2
Erstellen von Firewall-Regeln ........................................................................................................................ 7
1.3
IPSec-Konfiguration ................................................................................................................................... 10
2
Konfiguration des zweiten VPN-Gateways.................................................................................................... 16
Seite 2
VPN mit IPSec und Gateway to Gateway
Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das
Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem
Netzwerk der Zentrale über das Internet verbunden ist.
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen
Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine
tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom
Securepoint Server wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein VPN ist ebenso
möglich.
Zielsetzung: Aufbau einer VPN mit IPSec zwischen der Securepoint Appliance und einem VPN-Gateway
Abb. VPN
Seite 3
1
Konfiguration der Appliance
1.1
Erstellen von Netzwerkobjekten im Securepoint Security Manager
Als erstes müssen einige Netzwerkobjekte erstellt werden. Damit zur Firewall ein IPSec-Tunnel aufgebaut werden kann, wird
das externe Interface als Netzwerkobjekt benötigt. Die weiteren Netzwerkobjekte beschreiben die Netze, welche über das VPN
miteinander kommunizieren sollen.
Es werden 3 Objekte und 3 Rechnergruppen erstellt:
Rechnergruppe
Rechner
Bedeutung
Grp-external-interface
External-Interface
Das externes Firewall-Interface
Grp-internal-net
Internal-net
Das interne Netz
Grp-ipsec-net
ipsec-net
Das IPSec-Netz
Gehen Sie folgendermaßen vor:
¾
Wählen Sie über Firewall den Folder Netzwerkobjekte. Klicken Sie auf den Button Rechner.
Es werden Ihnen hier zwei Möglichkeiten dargestellt. Wenn Sie über eine feste IP-Adresse verfügen fahren Sie mit 1. (Feste IPAdresse) fort. Im Fall von dynamischen IP-Adressen fahren Sie mit 2. (Dynamische IP-Adresse) fort.
Abb. Externes Interfaces mit fester IP-Adresse
¾
1. Feste IP-Adresse: Die IP wird angegeben, daher muss der Bitcount 32 (= Host) sein. Die Zone ist firewall-external.
Bei der Gruppe Grp-external-interface muss ein Symbol ausgewählt werden.
Seite 4
¾
2. Dynamische IP-Adresse: Falls keine feste externe IP vorhanden ist, sondern ein dynamischer DNS Dienst (dyn-DNS)
verwendet wird, muss das Interface mit der IP 0.0.0.0 und der Maske 0 angelegt werden.
Abb. Externes Interfaces mit Dyn-DNS
¾
Legen Sie nun das interne Netz und das IPSec-Netz wie dargestellt an.
Abb. Internes Netz
Abb. IPSec-Netz
Seite 5
Das Ergebnis zeigt folgende Abbildung.
Abb. Ergebnis Netzwerkobjekte erstellen
Seite 6
1.2
Erstellen von Firewall-Regeln
¾
Wählen Sie über Firewall den Folder Portfilter und legen Sie die Firewall-Regeln wie in der Abbildung an.
Damit das Remote Gateway den Tunnel initialisieren kann, muss ihm erlaubt werden, die IPSec-Dienste auf dem externen
Interface anzusprechen. In diesem Beispiel wird allen externen IPs der Zugriff gestattet. Zur Kommunikation zwischen den
Netzen müssen weitere Regeln angelegt werden. Um beiden Netzen kompletten Zugriff auf das jeweils andere zu gestatten,
kann der vordefinierte Dienst „any“ verwendet werden.
Sie benötigen nur drei Regeln.
¾ Die erste Regel erlaubt dem externen Gateway über das Internet eine IPSec-Verbindung zum externen Interface der
Appliance aufzubauen.
Abb. Firewall-Regeln Internet -> Firewall extern
Seite 7
¾ Die zweite Regel ermöglicht dem internen Netzwerk auf das entfernte Netz zuzugreifen.
Abb. Firewall-Regeln Internes Netz -> IPSec Netz
¾ Die dritte Regel gestattet dem entfernten Netz den Zugriff auf das interne Netzwerk.
Abb. Firewall-Regeln IPSec Netz -> internes Netz
¾
Nachdem die Regeln angelegt wurden, ist ein Regelupdate zum Aktivieren der Regeln erforderlich.
Seite 8
¾
Achtung: Falls ein Hide-NAT für Verbindungen von intern nach extern konfiguriert ist, muss eine Ausnahme für das VPN
erstellt werden, ansonsten kann das interne Netz nicht auf das entfernte Netz zugreifen. In diesem Fall wechseln Sie
auf den Folder Hide-NAT.
¾
Alle Verbindungen, die vom internen Netz auf das IPSec-Netz gehen, sollen nicht genattet werden, siehe Abbildung.
Falls diese Regel nicht erstellt wird, bekommen alle Verbindungen aus dem internen Netz, die das IPSec-Netz erreichen
wollen, die IP von eth0 (existierende Hide-NAT Regel) zugewiesen.
Abb. Hide-NAT Ausnahme
Seite 9
1.3
IPSec-Konfiguration
Nachdem die Regeln angelegt sind, muss die VPN-Konfiguration durchgeführt werden. Dazu wird ein Gateway angelegt,
welches zusammen mit der Securepoint Firewall in die Arbeitsmappe vom VPN gezogen wird. Die Konfiguration der VPNVerbindung öffnet sich, wenn die beiden Objekte miteinander verbunden werden.
¾
Klicken Sie über VPN auf den Folder VPN Verbindungen.
¾
Ziehen Sie nun das bestehende Firewallobjekt aus dem linken Fenster auf die VPN Arbeitsfläche.
Abb. Firewall-Symbol auf die Arbeitsfläche ziehen
Seite 10
Jetzt erstellen Sie ein neues Firewall-Objekt im linken Fenster.
¾
Klicken Sie auf das „blaue Firewall-Symbol“ in der Bildleiste des linken Fensters.
Falls das andere Gateway eine Securepoint Appliance ist, wählen Sie das „rote Firewall-Symbol“.
Abb. Neues Firewall-Objekt erstellen
¾
Ziehen Sie das neu erstellte Symbol aus dem linken Fenster dann ebenfalls auf die VPN Arbeitsfläche.
Abb. Neues Firewall-Objekt auf die Arbeitsfläche ziehen
Seite 11
¾
Klicken Sie nun auf das Icon Verbinden und dann auf das Firewall-Objekt.
Es erscheint eine Fahne am Firewall-Objekt mit der Information Bitte Zielobjekt anklicken.
¾
Klicken Sie nun das blaue Firewall-Objekt an.
Abb. Objekte verbinden
Seite 12
Es öffnet sich automatisch das Dialog-Fenster IPSec-Verbindung übernehmen.
¾
Da beide Gateways eine feste IP haben, wird die Konfiguration über einen Preshared Key (PSK) realisiert (bei
dynamischen IPs empfiehlt sich die Verwendung von Zertifikaten, da die Gegenstellen sich nicht über die IP als
eindeutige ID identifizieren können). Die Verschlüsselung und andere Parameter müssen auf der Securepoint mit denen
auf dem Remote Gateway übereinstimmen. Die Securepoint nimmt standardmäßig alle ihr möglichen Verschlüsselungen
an, falls nur eine bestimmte zugelassen werden soll, muss die untere Checkbox ausgewählt werden.
¾
Wählen Sie im neuen Fenster das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall
einfach zu übernehmen.
Abb. VPN-Verbindung definieren
¾
Klicken Sie unter Lokaler Schlüssel auf das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein.
Abb. VPN-Verbindung definieren
Abb. Lokalen Schlüssel eingeben
Seite 13
Nach dem Erstellen der Verbindung muss auch das Subnetz für den Firewall konfiguriert werden. Die Verbindung wird jetzt rot
dargestellt, da die Subnetze, welche miteinander kommunizieren sollen noch nicht eingetragen wurden.
¾
Klicken Sie hierzu mit der rechten Maustaste auf die schwarzen Kästchen, die zwischen den Verbindungslinien sind und
wählen Sie Subnetz aus. Ein neues Fenster zur Definition der Subnetze erscheint.
¾
Legen Sie nun ein neues Subnetz an, indem Sie auf das Icon Neu klicken und dann Ihre Daten im Dialog-Fenster
eingeben. Zwischen den hier eingetragenen Netzen wird nach erfolgreichem Aufbau des Tunnels geroutet.
Abb. Subnetz eintragen
Nach dem Anlegen des Subnetzes wird die Verbindungslinie grün. Ein VPN kann nun aufgebaut werden.
¾
Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen.
Abb. Verbindungen aktualisieren
Seite 14
¾
Überprüfen Sie anschließend den Status der Dienste unter Applikationen im Folder Dienste Status.
Für die VPN-Verbindung wird der SERVICE_IPSEC benötigt.
Abb. Überprüfung, ob die VPN-Services in Betrieb sind
Seite 15
2
Konfiguration des zweiten VPN-Gateways
¾
Ist die Gegenstelle ebenfalls eine Securepoint, wird die VPN-Konfiguration automatisch auf beiden Firewalls gespeichert.
Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden.
¾
Die Securepoint kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu
gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSecVPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die
Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen.
Seite 16

VPN mit IPSec und Gateway to Gateway

Transcription

Documents pareils

Collax Security Gateway

bintec VPN Access 1000 Begrüßen Sie eine neue VPN

Mit Smartphone in den Urlaub: Sicher und anonym

L2TP over IPSec mit Smartphone Android

iSCSI-R3 - Thomas

Stempel-lasern

Howto: Das SZUT-WLAN mit Gentoo

(Scheinkompensationspendel) einer Comtoise, 4

Endodontie Journal 08/2015

Stockeinsaiter - Zukunftsmusiker

Anfahrtsbeschreibung zum neuen LSG Sky Chefs Betrieb

Dunkelfeld-Diagnostik - Naturheilpraxis Hoffmeister

Comodo Firewall - ECS