Navigation

OpenVPN-Client (Gw2Gw)

Auf dieser Seite wird eine Liste der Verbindungen der Panda GateDefender-Appliance als OpenVPN-Clients angezeigt, d. h. alle getunnelten Verbindungen zu Remote-OpenVPN-Servern. Für jede Verbindung werden in der Liste folgende Informationen angezeigt: Status, Name, zusätzliche Optionen, eine Anmerkung sowie verfügbare Aktionen:

  • ein aus – Der Server ist aktiv oder angehalten.
  • bearbeiten – Ändern der Serverkonfiguration.
  • löschen – Entfernen der Konfiguration und des Servers.

Wenn die Verbindung deaktiviert ist, wird der Status beendet angezeigt. Dahingegen wird bei aktivierter Verbindung der Status aufgebaut und Verbindung wird hergestellt... angezeigt, wenn die Verbindung aufgebaut wird. Zu den verfügbaren Aktionen gehören außer dem Aktivieren und Deaktivieren von Verbindungen auch das Bearbeiten oder Löschen von Verbindungen. Im ersteren Fall wird dasselbe Formular wie beim Hinzufügen einer Verbindung (siehe unten) geöffnet, in dem Sie die aktuellen Einstellungen anzeigen und modifizieren können. Im letzteren Fall können Sie ausschließlich die zuvor erwähnten modifizierten Einstellungen von der Panda GateDefender-Appliance löschen.

Die Erstellung neuer OpenVPN-Client-Verbindungen ist unkompliziert und kann auf zwei Arten erfolgen: Klicken Sie entweder auf die Schaltfläche Tunnelkonfiguration hinzufügen, und geben Sie die erforderlichen Informationen zum OpenVPN-Server ein, zu dem eine Verbindung hergestellt werden soll (mehrere Verbindungen sind möglich), oder importieren Sie die Client-Einstellungen vom OpenVPN-Zugriffsserver, indem sie auf die Schaltfläche Profil von OpenVPN Access Server importieren klicken.

Tunnelkonfiguration hinzufügen

Es gibt zwei Arten von Einstellungen, die bei jeder Tunnelkonfiguration modifiziert werden können: Die Basiskonfiguration sieht die Integration obligatorischer Optionen für den Tunnel vor. Die erweiterte Konfiguration ist optional und sollte nur vorgenommen werden, wenn der OpenVPN-Server nicht standardkonform eingerichtet wurde. Klicken Sie auf die Schaltfläche >> neben Erweiterte Tunnelkonfiguration, um zu den erweiterten Einstellungen zu gelangen. Nachfolgend werden die Grundeinstellungen aufgezählt:

Name für die Verbindung
Bezeichnung zur Identifizierung der Verbindung.
Verbinden mit
Der vollständig qualifizierte Domänenname (FQDN) des OpenVPN-Remote-Servers, der Port sowie das Protokoll in der folgenden Form: myefw.example.com:port:protocol. Soweit nicht anders spezifiziert, haben der Port und das Protokoll ihre jeweiligen Standardwerte 1194 bzw. UDP. Das Protokoll muss in Kleinbuchstaben angegeben werden.
Zertifikat hochladen
Server-Zertifikat für die Tunnelverbindung. Sie können das lokale Dateisystem nach Dateien durchsuchen oder alternativ Pfad und Dateinamen für den Suchvorgang eingeben. Falls der Server eine PSK-Authentifizierung verwendet (Benutzername/Passwort), muss das Hostzertifikat (d. h. das auf dem Server im Abschnitt Menüleiste ‣ VPN ‣ OpenVPN Server über den Link CA Zertifikat herunterladen heruntergeladene Zertifikat) auf die Panda GateDefender-Appliance hochgeladen werden. Für eine zertifikatsbasierte Authentifizierung muss hingegen die PKCS#12-Datei des Servers (das Zertifikat, das über den Link Exportiere CA als PKCS#12 Datei in Abschnitt Menüleiste ‣ VPN ‣ OpenVPN-Server ‣ Erweitert) hochgeladen werden muss.
PKCS#12 Challenge Passwort
Geben Sie hier das Challenge Passwort ein, das im Laufe der Zertifikatserstellung der Zertifizierungsstelle bereitgestellt wurde (falls verfügbar). Dies ist nur dann notwendig, wenn ein PKCS#12-Zertifikat hochgeladen wird.
Benutzername, Passwort
Wenn der Server für die Verwendung der PSK-Authentifizierung (Passwort/Benutzername) oder für die Authentifizierung auf Grundlage von Zertifikaten und Passworten konfiguriert ist, müssen an dieser Stelle der Benutzername und das Passwort des auf dem OpenVPN-Server befindlichen Kontos eingegeben werden.
Anmerkung
Ein Kommentar zur Verbindung.

Erweiterte Tunnelkonfiguration

Nachdem Sie auf die Schaltfläche >> im vorherigen Feld geklickt haben, wird dieses Feld angezeigt, in dem Sie zusätzliche Optionen ändern können. Die Werte in diesem Feld sollten nur geändert werden, wenn die Serverseite nicht gemäß den Standardwerten konfiguriert wurde.

Fallback VPN Server

Mindestens ein OpenVPN-Fallback-Server (pro Zeile) in dem für den primären Server verwendeten Format, also myvpn.example.com:port:protocol. Wenn die Werte für Port und Protokoll nicht angegeben werden, werden sie standardmäßig auf 1194 bzw. UDP festgelegt. Sollte die Verbindung zu den Hauptservern fehlschlagen, werden die entsprechenden Aufgaben an einen Fallback-Server übertragen.

Tipp

Das Protokoll muss in Kleinbuchstaben angegeben werden.

Gerätetyp
Vom Server verwendeter Gerätetyp – entweder TAP oder TUN.
Verbindungstyp
Dieses Dropdown-Menu ist nicht verfügbar, wenn TUN als Gerätetyp ausgewählt wurde, da in diesem Fall die Verbindungen immer geroutet sind. Verfügbare Optionen sind geroutet (d. h. der Client fungiert als Gateway zum Remote-LAN) oder gebridget (d. h. die Client-Firewall erscheint als Teil des Remote-LAN). Die Standardeinstellung ist geroutet.
Bridge zu
Dieses Feld ist nur verfügbar, wenn TAP als Gerätetyp und gebridget als Verbindungstyp ausgewählt wurde. Wählen Sie aus diesem Dropdown-Menü die Zone aus, zu der die betreffende Client-Verbindung gebridget werden soll.
NAT
Diese Option ist nur verfügbar, wenn geroutet als Verbindungstyp ausgewählt wurde. Aktivieren Sie dieses Kontrollkästchen, um die mittels dieser Panda GateDefender-Appliance verbundenen Clients hinter den VPN-IP-Adressen der Firewall zu verbergen. Diese Konfiguration verhindert Anfragen von eingehenden Verbindungen an die Clients. Anders ausgedrückt: Die Clients im lokalen Netzwerk werden vor den eingehenden Verbindungen verborgen.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie dieses Kontrollkästchen, um den Empfang von DHCP-Antworten aus dem LAN auf der anderen Seite des VPN-Tunnels, die Konflikte mit dem lokalen DHCP-Server hervorrufen, zu vermeiden.
LZO-Kompression verwenden
Komprimierung des Datenverkehrs, der den Tunnel passiert (standardmäßig aktiviert).
Protokoll
Vom Server verwendetes Protokoll: UDP (Standardeinstellung) oder TCP. Wählen Sie TCP-Protokolle nur aus, wenn ein HTTP-Proxy verwendet werden soll: In diesem Fall wird für die Konfiguration ein Formular geöffnet.

Wenn die Panda GateDefender-Appliance nur über einen vorgelagerten HTTP-Proxy auf das Internet zugreifen kann, ist es weiterhin möglich, die Appliance in einem Gateway-zu-Gateway-Szenario als OpenVPN-Client zu verwenden. Das TCP-Protokoll für OpenVPN muss allerdings für beide Seiten ausgewählt werden. Außerdem müssen die Kontoinformationen für den vorgelagerten HTTP-Proxy in den Textfeldern angegeben werden.

HTTP Proxy
Der HTTP-Proxy-Host, z. B. proxy.beispiel.com:port, wobei der Port standardmäßig 8080 ist, falls nichts angegeben wird.
Proxy Benutzername,Proxy Passwort
Die Kontoinformationen des Proxy: Benutzername und Passwort.
Proxy User-Agent vortäuschen
Eine gefälschte Benutzeragent-Zeichenfolge kann in einigen Fällen verwendet werden, um die Panda GateDefender-Appliance als regulären Webbrowser zu tarnen, d. h. um den Proxy als Browser zu kontaktieren. Dieser Vorgang kann nützlich sein, wenn der Proxy nur Verbindungen bestimmter Browsertypen akzeptieren soll.

Nach Konfiguration der Verbindung wird unten auf der Seite ein neues Feld mit der Bezeichnung TLS Authentifizierung angezeigt. Hier können Sie die TLS-Schlüsseldatei hochladen, die für die Verbindung verwendet werden soll. Folgende Optionen stehen zur Auswahl:

TLS Schlüsseldatei
Die hochzuladende Schlüsseldatei, nach der Sie im lokalen Dateisystem der Workstation suchen können.
MD5
Die MD5-Prüfsumme der hochgeladenen Datei, die angezeigt wird, sobald die Datei auf der Panda GateDefender-Appliance gespeichert wurde.
Richtung
Der Wert ist bei Servern auf 0 und bei Clients auf 1 gesetzt.

Profil von OpenVPN Access Server importieren

Die zweite Möglichkeit, ein Konto hinzuzufügen, besteht darin, das Profil direkt von einem OpenVPN-Zugriffsserver zu importieren. In diesem Fall müssen folgende Informationen bereitgestellt werden:

Name für die Verbindung
Benutzerdefinierter Name für die Verbindung.
Access Server URL

Die URL des OpenVPN-Zugriffsservers.

Hinweis

Beachten Sie, dass die Panda GateDefender-Appliance nur eine XML-RPC-Konfiguration des OpenVPN Access-Servers unterstützt. Daher hat eine URL-Eingabe die Form: https://<SERVERNAME>/RPC2.

Benutzername, Passwort
Benutzername und Passwort auf dem Zugriffsserver.
SSL Zertifikat überprüfen
Wenn dieses Kontrollkästchen aktiviert ist und der Server über eine verschlüsselte SSL-Verbindung läuft, wird das SSL-Zertifikat auf seine Gültigkeit hin überprüft. Sollte es sich um ein ungültiges Zertifikat handeln, wird die Verbindung umgehend getrennt. Diese Funktion kann bei Verwendung eines selbstsignierten Zertifikats deaktiviert werden.
Anmerkung
Kommentar zum Sinn und Zweck der Verbindung.

Vorheriges Thema

OpenVPN Server

Nächstes Thema

IPSec

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.