Menü „VPN“

Mit VPN können zwei lokale Netzwerke über unsichere Netzwerke wie das Internet direkt miteinander verbunden werden. Der gesamte Datenverkehr über die VPN-Verbindung wird innerhalb eines verschlüsselten Tunnels übertragen und vor unerwünschtem Zugriff geschützt. Solche Konfigurationen werden Gateway-zu-Gateway-VPN oder kurz Gw2Gw-VPN genannt. Ebenso kann ein einzelner externer Computer einen VPN-Tunnel nutzen, um sich mit einem lokalen vertrauenswürdigen LAN zu verbinden. Wenn der VPN-Tunnel aktiv ist, scheint der externe Computer – auch Road Warrior genannt – direkt mit dem vertrauenswürdigen LAN verbunden zu sein.

Die Panda GateDefender-Appliance unterstützt die Erstellung von VPNs, die auf dem IPsec-Protokoll (wird von den meisten Betriebssystemen und Netzwerkgeräten unterstützt) bzw. auf dem OpenVPN-Dienst basieren.

Die Panda GateDefender-Appliance kann entweder als OpenVPN-Server oder als Client eingerichtet werden. Sie kann sogar beide Rollen zur gleichen Zeit übernehmen, um ein Netzwerk von Anwendungen zu erstellen, die über OpenVPN verbunden sind. Folgende Menüelemente stehen im Untermenü zur Verfügung:

• OpenVPN-Server – Richten Sie den OpenVPN-Server so ein, dass die Clients (sowohl Road-Warriors als auch andere Panda-GateDefender-Hilfsmittel in einer Gateway-zu-Gateway-Einstellung) eine Verbindung zu einer der lokalen Zonen herstellen können.
• OpenVPN Client (Gw2Gw) – Richten Sie die Clientseite eines Gateway-zu-Gateway-Setups zwischen zwei oder mehreren Panda GateDefender-Appliances ein
• IPsec/L2TP – Richten Sie IPsec-basierte VPN-Tunnel und L2TP-Verbindungen ein.
• OpenVPN User – Verwaltung der Benutzer von VPN-Verbindungen.

OpenVPN-Server

Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.

Beim Öffnen der Seite wird in zwei Feldern eine Übersicht der aktuellen Server-Konfiguration angezeigt: Globale Einstellungen und Verbindungsstatus und -kontrolle. Über zwei weitere Registerkarten erhalten Sie Zugriff auf die Erweiterten Einstellungen und den VPN-Client-Download.

Bemerkung

Bei Änderung der Konfiguration des OpenVPN-Servers bzw. der Interaktionsart zwischen Benutzern (z. B. über die Option Netzwerke hinter dem Client, siehe unten), muss der OpenVPN-Server neu gestartet werden, damit die Änderungen auf alle Benutzer angewendet werden. Nach dem Vornehmen einer Änderung werden Sie in einem kleinen Textfeld an die Notwendigkeit des Neustarts erinnert. Die Verbindung der Clients wird getrennt und nach einem kurzen Timeout automatisch wiederhergestellt, üblicherweise ohne dass Sie es bemerken.

Serverkonfiguration

In diesem Abschnitt werden zwei Felder angezeigt: In einem Feld können Sie globale Einstellungen vornehmen; das andere Feld ist rein informativ und zeigt die verbundenen Clients an.

Globale Einstellungen

Im oberen Feld werden die aktuellen Einstellungen angezeigt. Diese können nach Bedarf durch Modifikation der folgenden Optionen, die für den gebridgeten OpenVPN-Server zur Verfügung stehen, geändert werden. Bei gerouteten VPN-Konfigurationen ist nur eine Option verfügbar: VPN Subnetz.

OpenVPN Server aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Start des OpenVPN-Servers definiert.

Gebridget

Durch Aktivieren dieses Kontrollkästchens wird der OpenVPN-Server im gebridgeten Modus gestartet, d. h. innerhalb einer der bestehenden Zonen.

Bemerkung

Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw. bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist, übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.

VPN Subnetz

Diese Option steht nur im gebridgeten Modus zur Verfügung. Mithilfe dieser Option kann der OpenVPN-Server in seinem eigenen dedizierten Subnetz ausgeführt werden, das im Textfeld festgelegt werden kann. Es sollte sich von den Subnetzen der anderen Zonen unterscheiden.

Bridge zu

Die Zone, an die der OpenVPN-Server gebrigdet werden soll. Die verfügbaren Zonen werden im Dropdown-Menü angezeigt.

Startadresse des dynamischen IP Pool

Die erstmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.

Endadresse des dynamischen IP Pool

Die letztmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.

Bemerkung

Der an diesen IP-Pool gerichtete Datenverkehr muss mithilfe der VPN Firewall gefiltert werden.

Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat erzeugt. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden sollen. Andernfalls können die Clients nicht auf den Server zugreifen.

Nach Einrichtung des Servers können Konten für Clients erstellt und konfiguriert werden. Eine Verbindung zur Panda GateDefender-Appliance kann über die Registerkarte Konten hergestellt werden.

Verbindungsstatus und -kontrolle

Im unteren Feld wird eine Liste mit den aktuell verbundenen Clients angezeigt. Die Liste wird erst gefüllt, wenn der OpenVPN-Server gestartet wird, die Clients erstellt wurden und ein Zugriff der Clients auf den OpenVPN-Server stattgefunden hat. Dieses Feld ist mit dem Feld unter Menüleiste ‣ Status ‣ OpenVPN-Verbindungen identisch und enthält für jeden Client folgende Informationen: Name, zugewiesene und tatsächliche IP-Adresse, Datenverkehr (empfangen/übertragen) in Byte, Verbindungszeit, Betriebszeit und mögliche Aktionen. Dazu gehören:

Trennen

Sofortige Trennung der Verbindung des Clients.

Fehlerbehebung für VPN Verbindungen

Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1450 Byte, um Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1500 Byte liegt, zu verhindern. Einige Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen werden können). Sie können diesen Wert durch Zugriff auf die PandaGateDefender-Appliance über die Kommandozeilenschnittstelle (CLI) anhand der folgenden Richtlinien ändern:

1. Notieren Sie den vom Internetdienstanbieter verwendeten MTU-Wert (siehe untenstehenden Link).
2. Öffnen Sie die Kommandozeilenschnittstelle entweder über eine Shell oder über Menüleiste ‣ System ‣ Web Konsole an.
3. Bearbeiten Sie die OpenVPN-Vorlage mit einem Editor Ihrer Wahl: nano/etc/openvpn/openvpn.conf.tmpl.
4. Suchen Sie nach der Zeichenkette mssfix 1450.
5. Ersetzen Sie den Wert 1450 durch einen niedrigeren Wert, z. B. 1200.
6. Starten Sie OpenVPN neu durch folgende Eingabe: restartopenvpn.

Siehe auch

Weitere Informationen zum MTU-Wert.

Erweitert

Diese Registerkarte bietet drei Felder, in denen Sie erweiterte Einstellungen für den OpenVPN-Server vornehmen können. Unter anderem können Sie hier die Authentifizierung auf Grundlage von Zertifikaten (anstatt auf Grundlage von Passworten) festlegen.

Bemerkung

Für normale Standardanwendungen können Sie die vorgegebenen Werte beibehalten.

Erweiterte Einstellungen

Dieses Feld enthält einige globale Einstellungen zum Dämon:

Port, Protokoll

Die Kombination (1194, UDP) für Port und Protokoll entspricht der Standardeinstellung für OpenVPN. Es empfiehlt sich, diese Einstellung beizubehalten. Um über andere Ports auf OpenVPN zugreifen zu können, müssen geeignete Regeln zur Portweiterleitung (siehe :menuselection: Menüleiste –> Firewall –> Port Forwarding) definiert werden, um den empfangenen Datenverkehr auf Port 1194 umzuleiten. Das Protokoll sollte nur in Ausnahmefällen als TCP-basiert festgelegt werden, beispielsweise bei einem Zugriff auf den OpenVPN-Server über den HTTP-Proxy eines Dritten. In allen anderen Fällen sollten stets die Standardwerte (1194, UDP) verwendet werden.

DHCP Antworten aus dem Tunnel blockieren

Aktivieren Sie dieses Kontrollkästchen, wenn DHCP-Antworten, die Konflikte mit dem lokalen DHCP-Server hervorrufen, aus dem LAN auf der anderen Seite des VPN-Tunnels empfangen werden.

Datenverkehr zwischen Clients nicht blockieren

Standardmäßig werden Clients durch den OpenVPN-Server voneinander isoliert. Aktivieren Sie diese Option, um dieses Verhalten zu ändern und den Datenverkehr zwischen den verschiedenen VPN-Clients zu erlauben.

Mehrere Verbindungen von einem Benutzer zulassen:

In der Regel kann eine Client-Verbindung jeweils nur von einem Standort aus hergestellt werden. Diese Option ermöglicht die Anmeldung mehrerer Clients von verschiedenen Standorten aus. Die VPN-Firewall-Regeln treffen nicht mehr zu, wenn für einen Client mehrere Verbindungen bestehen.

Globale Pushoptionen

Im zweiten Feld können Sie die Netzwerkeinstellungen ändern, die an den Client gesendet werden. Nach der Modifikation sollten Sie jede Option durch Auswahl des entsprechenden Kontrollkästchens aktivieren.

Diese Netzwerke pushen

Die hier definierten Routen zu den spezifizierten Netzwerken werden an die verbundenen Clients gesendet.

Diese Nameserver pushen

Die spezifizierten Namenserver werden an die verbundenen Clients gesendet.

Domäne pushen

Die für die lokale Auflösung von Namen verwendeten Suchdomänen werden zu den Domänen der verbundenen Clients hinzugefügt.

Authentifzierungs Einstellungen

Im letzten Feld können Sie eine von drei verfügbaren Methoden zur Authentifizierung auswählen, womit auch die verfügbaren Konfigurationsoptionen bestimmt werden.

PSK (Benutzername/Kennwort)

Die auf der Panda GateDefender-Appliance voreingestellte Methode lautet PSK (Benutzername/Passwort): Der Client wird anhand des Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden Methoden werden nachfolgend beschrieben.

Durch Klicken auf den Link CA Zertifikat herunterladen wird das öffentliche Zertifikat des betreffenden OpenVPN-Servers heruntergeladen. Das Zertifikat wird von den Clients zur Authentifizierung des Servers benötigt, mit dem sie verbunden sind. Durch Klicken auf die Dateiverknüpfung Exportiere CA als PKCS#12 wird das Zertifikat im PKCS#12-Format (sollte privat gehalten werden) heruntergeladen. Dieses kann anschließend in jeden beliebigen OpenVPN-Server importiert werden, der als Fallback-Server verwendet werden sollte.

Handelt es sich hierbei um ein Fallback-System, stehen zwei weitere Optionen zur Verfügung:

PKCS#12

Verwenden Sie die Schaltfläche Durchsuchen, um die vom primären Server exportierte Zertifikatsdatei auszuwählen bzw. geben Sie den Namen des primären Servers sowie den dazugehörigen Pfad an.

Challenge Passwort

Passwort zum Lesen des Zertifikats. Lassen Sie das Feld frei, wenn das Zertifikat von einer anderen Panda GateDefender-Appliance stammt.

X.509-Zertifikat und X.509-Zertifikat & PSK (Zweifaktor)

Die Konfiguration einer auf X.509-Zertifikaten basierenden Authentifizierungsmethode (entweder Zertifikat oder Zertifikat zuzüglich Benutzername und Passwort) ist etwas komplizierter. Zu diesem Zweck wird eine unabhängige Zertifizierungsstelle (CA, certificate authority) benötigt. Es ist weder möglich noch gewünscht, eine solche Zertifizierungsstelle auf der Panda GateDefender-Appliance zu hosten.

Die Erstellung und Signierung von Zertifikaten ist für den Server sowie für sämtliche Clients erforderlich, die die ausgewählte Zertifizierungsstelle nutzen. Der Zertifikatstyp muss explizit angegeben und im Feld “Netscape Zertifikatstyp” unter „Server“ oder „Client“ geführt werden.

Die Server-Zertifikatsdatei im PKCS#12-Format muss in diesem Abschnitt heruntergeladen werden (geben Sie das Challenge-Passwort an, das vor bzw. im Laufe der Zertifikatserstellung bei der Zertifizierungsstelle festgelegt wurde).

Bei den Client-Zertifikaten müssen die Einträge im Feld „Gemeinsamer Name“ mit den jeweiligen OpenVPN-Benutzernamen übereinstimmen.

Warnung

Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen!

Schließlich kann bei Verlust eines Client-Zertifikats eine Sperrliste (CRL, certificate revocation list) hochgeladen werden, um das Client-Zertifikat bei der Zertifizierungsstelle zu sperren.

OpenVPN-Client (Gw2Gw

Auf dieser Seite wird die Liste der als OpenVPN-Clients ausgewiesenen Verbindungen der Panda GateDefender-Appliances angezeigt, d. h. sämtliche Tunnelverbindungen zu externen OpenVPN-Servern. Für jede Verbindung werden in der Liste folgende Informationen angezeigt: Status, Name, zusätzliche Optionen, eine Anmerkung sowie verfügbare Aktionen. Wenn die Verbindung deaktiviert ist, wird der Status beendet angezeigt, bei aktivierter Verbindung hingegen der Status aufgebaut. Zu den verfügbaren Aktionen gehören außer dem Aktivieren und Deaktivieren von Verbindungen auch das Bearbeiten oder Löschen von Verbindungen. Im ersteren Fall wird dasselbe Formular wie beim Hinzufügen einer Verbindung (siehe unten) geöffnet, in dem Sie die aktuellen Einstellungen anzeigen und modifizieren können. Im letzteren Fall können Sie ausschließlich die zuvor erwähnten modifizierten Einstellungen von der Panda GateDefender-Appliance löschen.

Die Erstellung neuer OpenVPN-Client-Verbindungen ist unkompliziert und kann auf zwei Arten erfolgen: Klicken Sie entweder auf die Schaltfläche Tunnelkonfiguration hinzufügen, und geben Sie die erforderlichen Informationen zum OpenVPN-Server ein, zu dem eine Verbindung hergestellt werden soll (mehrere Verbindungen sind möglich), oder importieren Sie die Client-Einstellungen vom OpenVPN-Zugriffsserver, indem sie auf die Schaltfläche Profil von OpenVPN Access Server importieren klicken.

Tunnelkonfiguration hinzufügen

Es gibt zwei Arten von Einstellungen, die bei jeder Tunnelkonfiguration modifiziert werden können: Die Basiskonfiguration sieht die Integration obligatorischer Optionen für den Tunnel vor. Die erweiterte Konfiguration ist optional und sollte nur vorgenommen werden, wenn der OpenVPN-Server nicht standardkonform eingerichtet wurde. Klicken Sie auf die Schaltfläche >> neben Erweiterte Tunnelkonfiguration, um zu den erweiterten Einstellungen zu gelangen. Nachfolgend werden die Grundeinstellungen aufgezählt:

Name für die Verbindung

Bezeichnung zur Identifizierung der Verbindung.

Verbinden mit

Der vollständig qualifizierte Domainname (FQDN) des OpenVPN-Remote-Servers, der Port sowie das Protokoll in der folgenden Form: myefw.example.com:port:protocol. Soweit nicht anders spezifiziert, haben der Port und das Protokoll ihre jeweiligen Standardwerte 1194 bzw. UDP. Das Protokoll muss in Kleinbuchstaben angegeben werden.

Zertifikat hochladen

Server-Zertifikat für die Tunnelverbindung. Sie können das lokale Dateisystem nach Dateien durchsuchen oder alternativ Pfad und Dateinamen für den Suchvorgang eingeben. Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) konfiguriert ist, muss das Host-Zertifikat des Servers (das Zertifikat, das über den Link CA Zertifikat herunterladen in Abschnitt Menüleiste –> VPN –> OpenVPN server heruntergeladen wurde) in der Panda  GateDefender-Appliance hochgeladen werden. Für eine zertifikatsbasierte Authentifizierung muss hingegen die PKCS#12-Datei des Servers (das Zertifikat, das über den Link Exportiere CA als PKCS#12 Datei in Abschnitt Menüleiste –> VPN –> OpenVPN-Server –> Erweitern) hochgeladen werden.

PKCS#12 Challenge Passwort

Geben Sie hier das Challenge-Passwort ein, das im Laufe der Zertifikatserstellung der Zertifizierungsstelle bereitgestellt wurde (falls verfügbar). Dies ist nur dann notwendig, wenn ein PKCS#12-Zertifikat hochgeladen wird.

Benutzername, Passwort

Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) oder für die Authentifizierung auf Grundlage von Zertifikaten und Passworten konfiguriert ist, müssen an dieser Stelle der Benutzername und das Passwort des auf dem OpenVPN-Server befindlichen Kontos eingegeben werden.

Anmerkung

Ein Kommentar zur Verbindung.

Erweiterte Tunnelkonfiguration

Nachdem Sie auf die Schaltfläche >> im vorherigen Feld geklickt haben, wird dieses Feld angezeigt, in dem Sie zusätzliche Optionen ändern können. Die Werte in diesem Feld sollten nur geändert werden, wenn die Serverseite nicht gemäß den Standardwerten konfiguriert wurde.

Fallback VPN Server

Mindestens ein OpenVPN-Fallback-Server (pro Zeile) in dem für den primären Server verwendeten Format, also myvpn.example.com:port:protocol. Wenn die Werte für Port und Protokoll nicht angegeben werden, werden sie standardmäßig auf 1194 bzw. UDP festgelegt. Sollte die Verbindung zu den Hauptservern fehlschlagen, werden die entsprechenden Aufgaben an einen Fallback-Server übertragen. Das Protokoll muss in Kleinbuchstaben angegeben werden.

Gerätetyp

Vom Server verwendeter Gerätetyp – entweder TAP oder TUN.

Verbindungstyp

Dieses Dropdown-Menu ist nicht verfügbar, wenn TUN als Gerätetyp ausgewählt wurde, da in diesem Fall die Verbindungen immer geroutet sind. Folgende Filteroptionen stehen zur Verfügung: geroutet (d. h. der Client agiert als Gateway zum externen LAN) oder gebridget (d. h. die Firewall des Clients wird als Teil des externen LANs angezeigt). Die Standardeinstellung ist geroutet.

Bridge zu

Dieses Feld ist nur verfügbar, wenn TAP als Gerätetyp und als Verbindungstyp gebridget ausgewählt wurde. Wählen Sie aus diesem Dropdown-Menü die Zone aus, zu der die betreffende Client-Verbindung gebridget werden soll.

NAT

Diese Option ist nur verfügbar, wenn als Verbindungstyp geroutet ausgewählt wurde. Aktivieren Sie dieses Kontrollkästchen, um die mittels dieser Panda GateDefender-Appliance verbundenen Clients hinter den VPN-IP-Adressen der Firewall zu verbergen. Diese Konfiguration verhindert Anfragen von eingehenden Verbindungen an die Clients. Anders ausgedrückt: Die Clients im lokalen Netzwerk werden vor den eingehenden Verbindungen verborgen.

DHCP Antworten aus dem Tunnel blockieren

Aktivieren Sie dieses Kontrollkästchen, um den Empfang von DHCP-Antworten aus dem LAN auf der anderen Seite des VPN-Tunnels, die Konflikte mit dem lokalen DHCP-Server hervorrufen, zu vermeiden.

LZO-Kompression verwenden

Komprimierung des Datenverkehrs, der den Tunnel passiert (standardmäßig aktiviert).

Protokoll

Vom Server verwendetes Protokoll: UDP (Standardeinstellung) oder TCP. Wählen Sie TCP-Protokolle nur aus, wenn ein HTTP-Proxy verwendet werden soll: In diesem Fall wird für die Konfiguration ein Formular geöffnet.

Wenn die Panda GateDefender-Appliance nur über einen vorgelagerten HTTP-Proxy auf das Internet zugreifen kann, ist es weiterhin möglich, die Appliance in einem Gateway-zu-Gateway-Szenario als OpenVPN-Client zu verwenden. Das TCP-Protokoll für OpenVPN muss allerdings für beide Seiten ausgewählt werden. Außerdem müssen die folgenden Kontoinformationen des HTTP-Proxy in die Textfelder eingegeben werden:

HTTP-Proxy

Der HTTP-Proxyhost, z. B. proxy.example.com:port, und der standardmäßig festgelegte Port 8080 (sofern nicht angegeben).

Proxy-Benutzername, Proxy-Password

Die Kontoinformationen des Proxy: Benutzername und Passwort.

Fälsche Proxy Useragent

Eine gefälschte Useragent-Zeichenkette kann in einigen Fällen verwendet werden, um die Panda GateDefender-Appliance als regulären Webbrowser zu tarnen, beispielsweise zur Herstellung eines Kontakts zwischen Proxy und Browser. Dieser Vorgang kann nützlich sein, wenn der Proxy nur Verbindungen bestimmter Browsertypen akzeptieren soll.

Nach Konfiguration der Verbindung wird unten auf der Seite ein neues Feld mit der Bezeichnung TLS Authentifizierung angezeigt. Hier können Sie die TLS-Schlüsseldatei hochladen, die für die Verbindung verwendet werden soll. Folgende Optionen stehen zur Auswahl:

TLS Schlüsseldatei

Die hochzuladende Schlüsseldatei, nach der Sie im lokalen Dateisystem des Computers suchen können.

MD5

Die MD5-Prüfsumme der hochgeladenen Datei, die nach dem Speichern der Datei auf der Panda GateDefender-Appliance angezeigt wird.

Richtung

Der Wert in diesem Feld ist bei Servern auf 0, bei Clients auf 1 gesetzt.

Profil von OpenVPN Access Server importieren

Die zweite Möglichkeit, ein Konto hinzuzufügen, besteht darin, das Profil direkt von einem OpenVPN-Zugriffsserver zu importieren. In diesem Fall müssen folgende Informationen bereitgestellt werden:

Name für die Verbindung

Benutzerdefinierter Name für die Verbindung.

Access Server URL

Die URL des OpenVPN-Zugriffsservers.

Bemerkung

Beachten Sie, dass die Panda GateDefender-Appliance nur die XML-RPC-Konfiguration des OpenVPN-Zugriffsservers unterstützt. Demzufolge wird die URL folgendermaßen dargestellt: https://<SERVERNAME>/RPC2.

Benutzername, Passwort

Benutzername und Passwort auf dem Zugriffsserver.

SSL Zertifikat Überprüfen

Wenn dieses Kontrollkästchen aktiviert ist und der Server über eine verschlüsselte SSL-Verbindung läuft, wird das SSL-Zertifikat auf seine Gültigkeit hin überprüft. Sollte es sich um ein ungültiges Zertifikat handeln, wird die Verbindung umgehend getrennt. Diese Funktion kann bei Verwendung eines selbstsignierten Zertifikats deaktiviert werden.

Anmerkung

Kommentar zum Sinn und Zweck der Verbindung.

IPsec/L2TP

Die Seite „IPsec“ enthält zwei Registerkarten (IPsec und L2TP), welche es erlauben die IPsec-Tunnel zu konfigurieren bzw. den L2TP-Support zu aktivieren.

IPsec

Die Registerkarte „IPsec“ enthält drei Felder: Im Feld Globale Einstellungen kann IPsec aktiviert und konfiguriert werden. Im Feld Verbindungsstatus und -kontrolle können Sie sämtliche Verbindungen anzeigen und neue Verbindungen hinzufügen. Schließlich können im Feld Zertifizierungstellen die Zertifikate verwalten werden. Beachten Sie, dass durch das Hinzufügen einer neuen Verbindung neue Felder angezeigt werden, die bei der Konfiguration der Verbindungstypen und -optionen helfen.

IPSec auf einen Blick.

IPsec ist eine standardisierte Erweiterung des IP-Protokolls, bei der auf der Schicht 3 des OSI-Modells Verschlüsselungs- und Authentifizierungsmechanismen ausgeführt werden. IPsec muss daher im IP-Stapel des Kernels implementiert sein. Auch wenn IPsec ein standardisiertes Protokoll ist, das mit den IPsec-Lösungen der meisten Anbieter kompatibel ist, kann sich die Implementierung je nach Anbieter sehr unterschiedlich gestalten und zuweilen schwerwiegende Probleme hinsichtlich der Interoperabilität hervorrufen.

Zudem erweist sich die Konfiguration und Verwaltung von IPsec aufgrund seiner Komplexität und Struktur in der Regel als schwierig. Bestimmte Aufgaben wie die Verwendung von NAT sind u. U. gar nicht möglich.

Im Vergleich zu IPsec ist die Installation, Konfiguration und Verwaltung von OpenVPN unkomplizierter. Die Panda GateDefender-Appliance verfügt über eine leicht zu bedienende Administrationsoberfläche, die verschiedene Authentifizierungsverfahren unterstützt. Es wird empfohlen, IPsec nur in Ausnahmefällen zu verwenden, beispielsweise zur Unterstützung bestehender IPsec-Installationen oder für Geräte, die OpenVPN aufgrund potenzieller Interoperabilitätsprobleme nicht unterstützen. In allen anderen Fällen hingegen wird die Verwendung von OpenVPN empfohlen, insbesondere, wenn die Nutzung von NAT notwendig ist.

Globale Einstellungen

In diesem Feld können Sie die Konfiguration der wichtigsten Parameter für die IPsec-Konfiguration vornehmen:

Aktiviert

Aktivieren Sie IPsec durch Aktivieren des Kontrollkästchens (standardmäßig deaktiviert).

Debug Optionen

Nach Klicken auf das kleine +-Zeichen werden einige Kontrollkästchen angezeigt: Struktur der Eingabemeldungen anzeigen, Struktur der Ausgabemeldungen anzeigen, Interaktion mit Kernel IPSec Support (KLIPS) anzeigen und Interaktion mit DNS anzeigen. Durch Aktivierung der Kontrollkästchen werden ausführlichere Meldungen in der Datei /var/log/messages protokolliert.

Verbindungsstatus und -kontrolle

Im Folgenden finden Sie eine Liste der Konten und des jeweiligen Verbindungsstatus: Für jede Verbindung werden in der Liste folgende Informationen angezeigt: Name, Typ, gemeinsamer Name, Anmerkung und Status. Neue Verbindungen können durch Klicken auf ie Schaltfläche Hinzufügen hinzugefügt werden (siehe unten).

Zertifizierungsstellen

Auf der Hauptseite von „IPsec“ können im letzten Feld die Root- und Hostzertifikate ngezeigt sowie vorhandene Zertifikate verwaltet werden. Wenn noch keine Root- und ostzertifikate erzeugt wurden, wird die Nachricht „Nicht vorhanden“ angezeigt.

Root/Host-Zertifikat erstellen

Klicken Sie auf die Schaltfläche, um neue Root- und Host-Zertifikate zu generieren. Es wird eine neue Seite mit allen erforderlichen Informationen angezeigt (siehe Root/Host Zertifikat erstellen weiter unten).

Name der Zertifizierungsstelle

Wenn ein von einer Zertifizierungsstelle signiertes CA-Zertifikat verfügbar ist, geben Sie im ersten Textfeld den Namen der Zertifizierungsstelle und im zweiten Feld den Namen der Zertifikatsdatei an. Durchsuchen... wird ein Tool für die Dateiauswahl geöffnet. Durch Klicken auf die Schaltfläche CA Zertifikat hochladen kann das Zertifikat hochgeladen werden.

Zurücksetzen

Durch Klicken auf diese Schaltfläche im unteren Seitenbereich können bereits erstellte Zertifikate gelöscht werden.

Warnung

Beachten Sie, dass beim Zurücksetzen von Root-Zertifikaten nicht nur die Zertifikate, sondern auch zertifikatsbasierte Verbindungen gelöscht werden.

Root/Host Zertifikat erstellen

Geben Sie folgende Daten ein, um neue Host- und Rootzertifikate zu erstellen.

Name des Unternehmens

Name des Unternehmens, der im Zertifikat verwendet werden soll. Beispiel: Beispiel: Wenn die Schulen eines Schulbezirks per VPN verbunden werden, könnte der Name „Schulbezirk von Aberdeen“ lauten.

Der Hostname der Panda GateDefender-Appliance

Der Hostname zur Identifizierung des Zertifikats. Es sollte sich hierbei entweder um den vollständig qualifizierten Domänennamen (FQDN) handeln oder um die ROTE IP-Adresse der Panda GateDefender-Appliance.

Ihre Emailadresse

Kontakt-E-Mail-Adresse.

Ihre Abteilung

Name der Abteilung.

Stadt

Name der Stadt bzw. Gemeinde.

Land oder Provinz

Name des Landes bzw. der Provinz.

Land

Wohnsitz.

Durch Klicken auf die Schaltfläche Root/Host Zertifikat erstellen werden die Zertifikate erzeugt. Dieser Vorgang kann einige Minuten dauern.

Betreffzeile

Alternativer Hostname für die Identifizierung.

Anstatt neue Zertifikate zu erzeugen, können Sie eine zuvor erstellte PKCS12-Zertifikatsdatei im unteren Feld der Seite hochladen.

PKCS12 Datei hochladen

Durch Klicken auf die Schaltfläche Durchsuchen... wird der Dateiauswahldialog geöffnet, über den Sie die PKCS12-Datei auswählen können.

PKCS12 Dateipasswort

Passwort des Zertifikats, falls die Datei geschützt ist.

PKCS12-Datei hochladen

Klicken Sie auf diese Schaltfläche, um die PKCS12-Datei hochzuladen.

Tunnel hinzufügen/Verbindungstyp

Durch Klicken auf Hinzufügen unter Verbindungsstatus und -kontrolle wird eine neue Seite geöffnet, in der Sie entweder ein Host-to-Net-, Net-to-Net- oder L2TP-Host-to-Net-VPN auswählen können. Nach Auswahl des Verbindungstyps und Klicken auf die Schaltfläche Hinzufügen wird die Seite für den Verbindungseditor geöffnet. Diese enthält zwei Felder mit verschiedenen Optionstypen: Verbindungskonfiguration und Authentifizierung.

Verbindungskonfiguration

Im ersten Feld werden die Netzwerkparameter konfiguriert:

Name

Name der Verbindung.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird die Verbindung aktiviert.

Schnittstelle

Schnittstelle, über die der Host eine Verbindung herstellt. In Net-to-Net-VPNs ist dies immer der Uplink.

Lokales Subnetz

Das lokale Subnetz.

Lokale ID

Zeichenkette zur Identifizierung des lokalen Hosts der Verbindung.

Gegenstelle Host/IP

IP oder vollständig qualifizierter Domänenname (FQDN) des Remotehosts.

Subnetz der Gegenseite

Nur für Net-to-Net-Verbindungen verfügbar; gibt das Subnetz der Gegenseite an.

Entfernte ID

ID zur Identifizierung des Remotehosts dieser Verbindung.

Aktion bei Dead Peer Erkennung

Aktion, die bei der Verbindungstrennung von Peers durchgeführt wird. Verfügbare Optionen im Dropdown-Menü sind: Löschen, Halten oder Neustart des Peer.

Bemerkung

An dieser Stelle wird durch Klicken auf bzw. durch Bewegen des Mauszeigers über das ? kein Tooltip angezeigt. Stattdessen wird eine Webseite mit einer ausführlichen Beschreibung der Funktionen zur Dead-Peer-Erkennung angezeigt.

Anmerkung

Kommentar zur Verbindung.

Erweiterte Einstellungen bearbeiten

Durch Aktivieren dieses Kontrollkästchens können erweiterte Einstellungen bearbeitet werden. Sie können auf die erweiterten Einstellungen zugreifen und sie bearbeiten, nachdem die aktuellen Einstellungen gespeichert wurden (unterhalb des folgenden Feldes).

Authentifizierung

In diesem Feld können Sie die Authentifizierung konfigurieren.

Einen Pre-Shared-Key verwenden

Geben Sie ein Kennwort zur Authentifizierung der anderen Tunnelseite ein. Wählen Sie diese Option bei einfachen Net-to-Net-VPNs aus.

Warnung

Verwenden Sie zur Authentifizierung von Host-to-Net-Verbindungen keine PSKs!

Eine Zertifikatsanfrage hochladen

Einige Roadwarrior-IPsec-Implementierungen verfügen über keine eigene Zertifizierungsstelle. Soll die integrierte Zertifizierungsstelle von IPsec verwendet werden, können sogenannte Zertifikatsanfragen generiert werden. Dabei handelt es sich um einen Teil des X.509-Zertifikats, das von einer Zertifizierungsstelle signiert werden muss. Die Zertifikatsanfrage wird während des Hochladens signiert. Das neue Zertifikat ist daraufhin im Abschnitt Menuleiste ‣ VPN der Panda GateDefender-Appliance verfügbar.

Ein Zertifikat hochladen

In diesem Fall verfügt das Peer-IPsec über eine eigene Zertifizierungsstelle. Sowohl das Zertifikat der Peer-Zertifizierungsstelle als auch das Hostzertifikat müssen in der hochgeladenen Datei enthalten sein.

PKCS12 Datei hochladen – PKCS12 Dateipasswort

Mithilfe dieser Option können PKCS12-Dateien hochgeladen werden. Ist die Datei passwortgeschützt, muss das Passwort im Textfeld unter dem Dateiauswahlfeld eingegeben werden.

Erzeuge ein Zertifikat

Erstellung eines neuen X.509-Zertifikats. In diesem Fall müssen die erforderlichen Felder definiert werden. Optionale Felder sind durch rote Punkte gekennzeichnet. Handelt es hierbei um ein Zertifikat für eine Net-to-Net-Verbindung, muss in den Feldern „Voller Benutzername“ und „Systemhostname“ der vollständig qualifizierte Domänenname des Peer enthalten sein. Die entsprechenden Einträge in den Feldern für das PKCS12-Dateipasswort gewährleisten, dass die durch den Host erzeugten Zertifikate während der Übertragung zum IPsec-Peer nicht abgefangen und kompromittiert werden können.

Erweiterte Einstellungen

Diese Seite wird nach Definition und Speicherung einer neuen Verbindung geöffnet. Sie ermöglicht die Definition einiger erweiterter Einstellungen für die betreffende Verbindung.

Warnung

Ungeübte Benutzer sollten die folgenden erweiterten Einstellungen nicht ändern.

IKE Verschlüsselung

Verschlüsselungsmethoden, die vom IKE-Protokoll unterstützt werden sollen.

IKE Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

IKE Gruppen Typ

Der IKE-Gruppentyp.

IKE Lebensdauer

Gültigkeitsdauer der IKE-Pakete.

ESP Verschlüsselung

Verschlüsselungsmethoden, die vom Encapsulating Security Payload-Protokoll (ESP) unterstützt werden sollen.

ESP Integrität

Algorithmen, die für die Überprüfung der Integrität von Paketen unterstützt werden sollen.

ESP Lebensdauer

Gültigkeitsdauer der ESP-Pakete.

IKE Agressive Mode erlaubt

Durch Aktivieren dieses Kontrollkästchens wird der IKE Agressive Mode aktiviert. Es ist empfehlenswert, dies NICHT zu tun.

Perfect Forward Secrecy

Durch Aktivieren dieses Kontrollkästchens wird Perfect Forward Secrecy aktiviert.

Payloadkompression aushandeln

Durch Aktivieren dieses Kontrollkästchens wird die Payloadkompression verwendet.

Virtuelle IP des Roadwarriors

Option für die Zuweisung virtueller IP-Adressen an Benutzer bei hergestellter Verbindung.

Erstellung von Net-To-Net-VPNs mithilfe von IPsec durch Verwendung der Zertifikatsauthentifizierung.

Szenario:

• Firewall CoreFW – REDIP: 100.100.100.100, GREENIP: 10.10.10.1/24
• Firewall LocalFW – REDIP: 200.200.200.200, GREENIP: 192.168.0.1/24

Problem: Verbinden Sie LocalFW mit CoreFW mithilfe von IPSec.

Lösung:

• Ausführung der folgenden Schritte auf CoreFW:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 100.100.100.100 ein.
2. Sofern sie noch nicht erstellt wurden, klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen, und füllen Sie das Formular aus.
3. Laden Sie das Hostzertifikat herunter, und speichern Sie es unter dem Namen fw_a_cert.pem.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie im Feld Gegenstelle Host/IP unter Verbindungskonfiguration die IP-Adresse 200.200.200.200 ein, 10.10.10.0/24 als lokales Subnetz und 192.168.0.0/24 als Subnetz der Gegenseite.
6. Wählen Sie im Feld Authentifizierung die Option Erzeuge ein Zertifikat aus, und füllen Sie das Formular aus. Vergessen Sie nicht, ein Passwort festzulegen.
7. Laden Sie nach dem Speichern die PKCS12-Datei herunter, und speichern Sie sie unter dem Namen fw_a.p12.

• Folgende Schritte müssen auf LocalFW ausgeführt werden:

1. Wechseln Sie zu Menüleiste ‣ VPN ‣ IPsec, aktivieren Sie IPsec, und geben Sie als lokalen VPN-Hostnamen/IP 200.200.200.200 ein.
2. Klicken Sie nach dem Speichern auf die Schaltfläche Root- und Host-Zertifikat erstellen. Wurden bereits Zertifikate erstellt, wählen Sie für die früheren Zertifikate die Option Zurücksetzen aus.
3. Füllen Sie unter Root- und Host-Zertifikat erstellen im ersten Abschnitt kein Feld aus! Laden Sie stattdessen die von CoreFW gespeicherte Datei fw_a.p12 hoch, geben Sie das Passwort ein, und klicken Sie auf PKCS12 Datei hochladen.
4. Klicken Sie im Feld Verbindungsstatus und -kontrolle auf die Schaltfläche Hinzufügen, und wählen Sie die Option Net-to-Net aus. Es wird eine Seite mit zwei Feldern geöffnet.
5. Geben Sie im Feld Gegenstelle Host/IP unter Verbindungskonfiguration die IP-Adresse 100.100.100.100 ein, 192.168.0.0/24 als lokales Subnetz und 10.10.10.0/24 als Subnetz der Gegenseite.
6. Wählen Sie im Feld Authentifizierung die Option Ein Zertifikat hochladen aus, und laden Sie die auf MainFW erstellte Datei fw_a_cert.pem hoch.

L2TP

Das Layer-2-Tunneling-Protokoll (L2TP) wird unter RFC 2661 beschrieben. Kurz gesagt handelt es sich hierbei um ein Protokoll, das Tunnelverbindungen mit PPP-Paketen erlaubt. Es wird verwendet, um VPN-Verbindungen mit IPSec zu unterstützen.

Folgende Optionen sind für das Konfigurieren von L2TP verfügbar.

L2TP aktivieren

Durch Aktivieren dieses Kontrollkästchens wird L2TP auf der Panda GateDefender´-Appliance unterstützt.

Zone

Zone, an die die L2TP-Verbindungen gerichtet sind. Nur aktivierte Zonen können aus dem Dropdown-Menü ausgewählt werden.

Startadresse des L2TP IP Bereichs, Endadresse des L2TP IP Bereichs

IP-Bereich, aus dem L2TP-Benutzer bei Verbindungsherstellung mit der Panda  GateDefender-Appliance eine IP-Adresse erhalten.

Debugmodus aktivieren

Durch Aktivieren dieses Kontrollkästchens werden von L2TP ausführlichere Protokolle erstellt.

VPN-Benutzer

Im Feld auf dieser Seite ist die zunächst leere Liste der OpenVPN-Benutzer enthalten. Die einzig verfügbare Aktion lautet demnach Neuen Benutzer hinzufügen. In der Liste ist die Liste mit den bereits definierten Konten und einigen Informationen enthalten: Kontonamen, Anmerkungen, Angaben zum Benutzer (OpenVPN- oder L2TP-Benutzer), die vom Konto verwendeten Netzwerke und deren Status sowie die verfügbaren Aktionen.

Klicken Sie auf Neuen Benutzer hinzufügen, um ein VPN-Konto hinzuzufügen. Es wird ein Formular geöffnet, in dem für jeden Benutzer folgende Optionen festgelegt werden können:

Benutzer hinzufügen

Name

Anmeldename des Benutzers.

Aktiviert

Durch Aktivieren dieses Kontrollkästchens wird der Benutzer aktiviert, d. h. er kann sich mit dem OpenVPN-Server auf der Panda GateDefender-Appliance verbinden.

Passwort, Passwort bestätigen

Passwort für den Benutzer; wird zweimal eingegeben. Die Passwörter werden momentan nicht angezeigt: Aktivieren Sie die beiden Kontrollkästchen rechts von den Passwörtern, um sie anzuzeigen.

Anmerkung

Ein zusätzlicher Kommentar.

Im Abschnitt VPN Protokolle können Sie zwei Kontrollkästchen aktivieren, um das für die VPN-Verbindung verwendete Protokoll auszuwählen:

OpenVPN

Aktivieren Sie dieses Kontrollkästchen, um das OpenVPN-Protokoll zu verwenden.

L2TP

Durch Aktivieren dieses Kontrollkästchens wird das L2TP-Protokoll verwendet. Diese Option steht nur zur Auswahl, wenn mindestens ein L2TP-Tunnel bereits konfiguriert wurde. In diesem Fall wird eine Meldung in Form eines Hyperlinks angezeigt. Durch Klicken auf den Hyperlink wird der IPsec-Verbindungseditor geöffnet, mit dem Sie neue L2TP-Host-to-Net-Verbindungen im Handumdrehen hinzufügen können. Dies ist erforderlich, um Benutzern die Verbindung per L2TP zu ermöglichen. Nach diesem Schritt können VPN-Benutzer Verbindungen mithilfe des L2TP-Protokolls herstellen.

Nachstehend können Sie erweiterte Einstellungen für sämtliche Protokolle vornehmen, die der Benutzer verwenden soll. Durch Klicken auf den Hyperlink Erweiterte Einstellungen werden zwei weitere Hyperlinks angezeigt: Durch Klicken auf die Hyperlinks wird ein neuer Abschnitt angezeigt, in dem Sie weitere Einstellungen für die Verbindung vornehmen können.

OpenVPN Optionen

Den gesamten Datenverkehr des Clients durch den VPN Server leiten

Wenn diese Option aktiviert ist, wird der gesamte Datenverkehr vom sich verbindenden Client unabhängig vom Ziel über den Uplink der Panda GateDefender Appliance geroutet. Die Standardeinstellung sieht vor, dass der gesamte Datenverkehr, dessen Ziel außerhalb der internen Zonen liegt (z. B. Internethosts), über den Uplink des Clients geroutet wird.

Nur globale Optionen an den Client schicken

Nur für fortgeschrittene Benutzer. Wenn der Client eine Verbindung herstellt, werden in der Regel Tunnelrouten zu Netzwerken, auf die per VPN zugegriffen werden kann, zur Routingtabelle des Clients hinzugefügt, um die Verbindung zu verschiedenen lokalen Netzwerken zu ermöglichen, die von der Panda GateDefender-Appliance erreichbar sind. Aktivieren Sie die Option, wenn dieses Verhalten nicht gewünscht ist. Die Routingtabellen (insbesondere die Tabellen für die internen Zonen) sollten allerdings manuell geändert werden.

Route zur blauen Zone eintragen, Route zur orangen Zone eintragen

Wenn diese Option aktiviert ist, hat der Client Zugriff auf die blaue bzw. orange Zone. Diese Optionen haben keine Wirkung, wenn die entsprechenden Zonen nicht aktiviert sind.

Netzwerke hinter dem Client

Diese Option ist nur notwendig, wenn dieses Konto als Client in einem Gateway-zu-Gateway-Szenario verwendet wird. In diesem Feld sollten die Netzwerke eingetragen werden, die hinter diesem Client liegen und zu den anderen Clients gesendet werden sollen. Nach diesem Vorgang stehen die Netzwerke auch den anderen Clients zur Verfügung.

Nur diese Netzwerke pushen

Die lokalen Netzwerkrouten, die an den Client gesendet werden sollen. Mithilfe dieser Option werden alle automatisch gesendeten Routen überschrieben.

Statische IP Adresse

Clients werden in der Regel dynamische IP-Adressen zugewiesen. Bei dieser Option hingegen wird dem Client die hier bereitgestellte statische IP-Adresse zugewiesen.

Benutzerdefinierten Domain-Name-Server pushen

Zuweisung benutzerdefinierter Namenserver pro Client. Diese (wie auch die nächste) Einstellung kann definiert und nach Bedarf aktiviert bzw. deaktiviert werden.

Benutzerdefinierte Domains pushen

Zuweisung benutzerdefinierter Suchdomänen pro Client.

One-To-One NAT

In den beiden unteren Textfeldern ist es möglich, benutzerdefinierte One-To-One-NAT-Quellen und die Ziele anzugeben.

Bemerkung

Wenn zwei oder mehr Zweigstellen über ein Gateway-to-Gateway-VPN verbunden werden sollen, empfiehlt es sich, unterschiedliche Subnetze für die lokalen Netzwerke der verschiedenen Zweigstellen auszuwählen. Sie können beispielsweise einer Zweigstelle in der GRÜNEN Zone das Subnetz 192.168.1.0/24 zuweisen und einer anderen Zweigstelle in derselben Zone das Subnetz 192.168.2.0/24. Auf diese Weise können verschiedene potenzielle Fehlerquellen und Konflikte vermieden werden. Diese Option bietet verschiedene Vorteile, z. B.: automatische Zuweisung der richtigen Routen, ohne dass benutzerdefinierte Routen gesendet werden müssen; keine Warnmeldungen zu potenziell widersprüchlichen Routen; korrekte Auflösung des lokalen Namens; vereinfachte WAN-Netzwerkeinrichtung.

L2TP-Optionen

IPsec Tunnel

Mithilfe dieses Dropdown-Menüs kann ausgewählt werden, welcher der bereits definierten Tunnel vom Benutzer verwendet werden soll.