How-to: VPN mit IPSec und Gateway to Gateway · How-to: VPN mit IPSec und Gateway to Gateway...

How-to: VPN mit IPSec und Gateway to Gateway

Securepoint Security System

Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway Securepoint Version 2007nx

Seite 2

Inhaltsverzeichnis

VPN mit IPSec und Gateway to Gateway ....................................................................................................... 3

1 Konfiguration der Appliance.......................................................................................................................... 4

1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager .................................................................. 4

1.2 Erstellen von Firewall-Regeln ........................................................................................................................ 7

1.3 IPSec-Konfiguration ................................................................................................................................... 10

2 Konfiguration des zweiten VPN-Gateways.................................................................................................... 16


VPN mit IPSec und Gateway to Gateway

Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein anderes Netzwerk, z. B. das

Internet, als Transportweg nutzt. Das kann z. B. der Rechner eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem

Netzwerk der Zentrale über das Internet verbunden ist.

Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus. Den tatsächlichen

Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine

tatsächliche getunnelt wird. Die über diese Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom

Securepoint Server wieder entschlüsselt und umgekehrt. Das Verbinden von kompletten Netzwerken über ein VPN ist ebenso

möglich.

Zielsetzung: Aufbau einer VPN mit IPSec zwischen der Securepoint Appliance und einem VPN-Gateway

Abb. VPN

Seite 3


1 Konfiguration der Appliance

1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager

Als erstes müssen einige Netzwerkobjekte erstellt werden. Damit zur Firewall ein IPSec-Tunnel aufgebaut werden kann, wird

das externe Interface als Netzwerkobjekt benötigt. Die weiteren Netzwerkobjekte beschreiben die Netze, welche über das VPN

miteinander kommunizieren sollen.

Es werden 3 Objekte und 3 Rechnergruppen erstellt:

Rechnergruppe Rechner Bedeutung

Grp-external-interface External-Interface Das externes Firewall-Interface

Grp-internal-net Internal-net Das interne Netz

Grp-ipsec-net Das IPSec-Netz ipsec-net

Gehen Sie folgendermaßen vor:

Wählen Sie über Firewall den Folder Netzwerkobjekte. Klicken Sie auf den Button Rechner.

Es werden Ihnen hier zwei Möglichkeiten dargestellt. Wenn Sie über eine feste IP-Adresse verfügen fahren Sie mit 1. (Feste IP-

Adresse) fort. Im Fall von dynamischen IP-Adressen fahren Sie mit 2. (Dynamische IP-Adresse) fort.

Abb. Externes Interfaces mit fester IP-Adresse

1. Feste IP-Adresse: Die IP wird angegeben, daher muss der Bitcount 32 (= Host) sein. Die Zone ist firewall-external.

Bei der Gruppe Grp-external-interface muss ein Symbol ausgewählt werden.

Seite 4


2. Dynamische IP-Adresse: Falls keine feste externe IP vorhanden ist, sondern ein dynamischer DNS Dienst (dyn-DNS)

verwendet wird, muss das Interface mit der IP 0.0.0.0 und der Maske 0 angelegt werden.

Abb. Externes Interfaces mit Dyn-DNS

Legen Sie nun das interne Netz und das IPSec-Netz wie dargestellt an.

Abb. Internes Netz Abb. IPSec-Netz

Seite 5


Das Ergebnis zeigt folgende Abbildung.

Abb. Ergebnis Netzwerkobjekte erstellen

Seite 6


1.2 Erstellen von Firewall-Regeln


Wählen Sie über Firewall den Folder Portfilter und legen Sie die Firewall-Regeln wie in der Abbildung an.

Damit das Remote Gateway den Tunnel initialisieren kann, muss ihm erlaubt werden, die IPSec-Dienste auf dem externen

Interface anzusprechen. In diesem Beispiel wird allen externen IPs der Zugriff gestattet. Zur Kommunikation zwischen den

Netzen müssen weitere Regeln angelegt werden. Um beiden Netzen kompletten Zugriff auf das jeweils andere zu gestatten,

kann der vordefinierte Dienst „any“ verwendet werden.

Sie benötigen nur drei Regeln.

Die erste Regel erlaubt dem externen Gateway über das Internet eine IPSec-Verbindung zum externen Interface der

Appliance aufzubauen.

Abb. Firewall-Regeln Internet -> Firewall extern

Seite 7


Die zweite Regel ermöglicht dem internen Netzwerk auf das entfernte Netz zuzugreifen.

Abb. Firewall-Regeln Internes Netz -> IPSec Netz

Die dritte Regel gestattet dem entfernten Netz den Zugriff auf das interne Netzwerk.

Abb. Firewall-Regeln IPSec Netz -> internes Netz

Nachdem die Regeln angelegt wurden, ist ein Regelupdate zum Aktivieren der Regeln erforderlich.

Seite 8


Achtung: Falls ein Hide-NAT für Verbindungen von intern nach extern konfiguriert ist, muss eine Ausnahme für das VPN

erstellt werden, ansonsten kann das interne Netz nicht auf das entfernte Netz zugreifen. In diesem Fall wechseln Sie

auf den Folder Hide-NAT.

Alle Verbindungen, die vom internen Netz auf das IPSec-Netz gehen, sollen nicht genattet werden, siehe Abbildung.

Falls diese Regel nicht erstellt wird, bekommen alle Verbindungen aus dem internen Netz, die das IPSec-Netz erreichen

wollen, die IP von eth0 (existierende Hide-NAT Regel) zugewiesen.

Abb. Hide-NAT Ausnahme

Seite 9


1.3 IPSec-Konfiguration

Nachdem die Regeln angelegt sind, muss die VPN-Konfiguration durchgeführt werden. Dazu wird ein Gateway angelegt,

welches zusammen mit der Securepoint Firewall in die Arbeitsmappe vom VPN gezogen wird. Die Konfiguration der VPN-

Verbindung öffnet sich, wenn die beiden Objekte miteinander verbunden werden.


Klicken Sie über VPN auf den Folder VPN Verbindungen.

Ziehen Sie nun das bestehende Firewallobjekt aus dem linken Fenster auf die VPN Arbeitsfläche.

Abb. Firewall-Symbol auf die Arbeitsfläche ziehen

Seite 10


Jetzt erstellen Sie ein neues Firewall-Objekt im linken Fenster.

Klicken Sie auf das „blaue Firewall-Symbol“ in der Bildleiste des linken Fensters.

Falls das andere Gateway eine Securepoint Appliance ist, wählen Sie das „rote Firewall-Symbol“.

Abb. Neues Firewall-Objekt erstellen

Ziehen Sie das neu erstellte Symbol aus dem linken Fenster dann ebenfalls auf die VPN Arbeitsfläche.

Abb. Neues Firewall-Objekt auf die Arbeitsfläche ziehen

Seite 11


Klicken Sie nun auf das Icon Verbinden und dann auf das Firewall-Objekt.

Es erscheint eine Fahne am Firewall-Objekt mit der Information Bitte Zielobjekt anklicken.

Klicken Sie nun das blaue Firewall-Objekt an.

Abb. Objekte verbinden

Seite 12


Es öffnet sich automatisch das Dialog-Fenster IPSec-Verbindung übernehmen.

Da beide Gateways eine feste IP haben, wird die Konfiguration über einen Preshared Key (PSK) realisiert (bei

dynamischen IPs empfiehlt sich die Verwendung von Zertifikaten, da die Gegenstellen sich nicht über die IP als

eindeutige ID identifizieren können). Die Verschlüsselung und andere Parameter müssen auf der Securepoint mit denen

auf dem Remote Gateway übereinstimmen. Die Securepoint nimmt standardmäßig alle ihr möglichen Verschlüsselungen

an, falls nur eine bestimmte zugelassen werden soll, muss die untere Checkbox ausgewählt werden.

Wählen Sie im neuen Fenster das Authentisierungsverfahren SECRET. Weitere Einstellungen sind im Standardfall

einfach zu übernehmen.

Abb. VPN-Verbindung definieren

Klicken Sie unter Lokaler Schlüssel auf das Symbol (...) und geben den Lokalen Schlüssel (Secret) ein.

Abb. VPN-Verbindung definieren Abb. Lokalen Schlüssel eingeben

Seite 13


Nach dem Erstellen der Verbindung muss auch das Subnetz für den Firewall konfiguriert werden. Die Verbindung wird jetzt rot

dargestellt, da die Subnetze, welche miteinander kommunizieren sollen noch nicht eingetragen wurden.

Klicken Sie hierzu mit der rechten Maustaste auf die schwarzen Kästchen, die zwischen den Verbindungslinien sind und

wählen Sie Subnetz aus. Ein neues Fenster zur Definition der Subnetze erscheint.

Legen Sie nun ein neues Subnetz an, indem Sie auf das Icon Neu klicken und dann Ihre Daten im Dialog-Fenster

eingeben. Zwischen den hier eingetragenen Netzen wird nach erfolgreichem Aufbau des Tunnels geroutet.

Abb. Subnetz eintragen Nach dem Anlegen des Subnetzes wird die Verbindungslinie grün. Ein VPN kann nun aufgebaut werden.

Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance abgeschlossen.

Abb. Verbindungen aktualisieren

Seite 14


Überprüfen Sie anschließend den Status der Dienste unter Applikationen im Folder Dienste Status.

Für die VPN-Verbindung wird der SERVICE_IPSEC benötigt.

Abb. Überprüfung, ob die VPN-Services in Betrieb sind

Seite 15


Seite 16

2 Konfiguration des zweiten VPN-Gateways

Ist die Gegenstelle ebenfalls eine Securepoint, wird die VPN-Konfiguration automatisch auf beiden Firewalls gespeichert.

Das Regelwerk muss auf der zweiten Firewall analog zu dem hier Beschriebenen angelegt werden.

Die Securepoint kann IPSec Tunnel zu Gegenstellen aufbauen, die eine korrekte IPSec Implementierung besitzen. Dazu

gehören unter anderem: Gateways die Strongswan, Openswan oder Freeswan verwenden (Astaro, IPCop, Cisco IPSec-

VPN, Checkpoint usw.). Die Konfiguration der Gegenstelle muss dem Handbuch des Herstellers entnommen werden. Die

Parameter müssen mit den Einstellungen auf der Securepoint übereinstimmen.

How-to: VPN mit IPSec und Gateway to Gateway · How-to: VPN mit IPSec und Gateway to Gateway...

Documents

Transcript of How-to: VPN mit IPSec und Gateway to Gateway · How-to: VPN mit IPSec und Gateway to Gateway...