Navigation

...nur von Panda verwendet

OpenVPN-Server

Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.

Beginnend mit Version 5.50 ermöglicht der auf der Panda GateDefender-Appliance bereitgestellte OpenVPN-Server die gleichzeitige Präsenz mehrerer Instanzen. Jeder Server überwacht einen anderen Port, sodass nur eingehende Verbindungen über diesen Port akzeptiert werden. Darüber hinaus kann, falls die Hardware, auf der die Panda GateDefender-Appliance installiert wird, mehrere CPU-Kerne besitzt, jeder Instanz mehr als eine CPU zugewiesen werden. Das resultiert in einer Erhöhung des Durchsatzes und der Datenverarbeitung dieser Instanz. Es ist auch möglich, mehrere Instanzen von OpenVPN auf einem Gerät mit Einzelkern-CPU auszuführen, wobei diese dann jedoch die gesamte Last aller Instanzen trägt.

Serverkonfiguration

Diese Seite enthält den Schalter OpenVPN Server aktivieren swoff, der den OpenVPN-Server und alle damit verbundenen Dienste (z. B. die VPN-Firewall) durch Anklicken startet. Unterhalb befindet sich das Feld OpenVPN Einstellungen, in dem einige globale Einstellungen festgelegt werden können. Rechts unterhalb ermöglicht es ein Link, neue Serverinstanzen zu definieren, während am unteren Rand der Seite eine Liste der verfügbaren laufenden VPN-Server der Panda GateDefender-Appliance angezeigt werden, falls solche bereits definiert wurden. Die Liste enthält die folgenden Daten über jede definierte Instanz eines OpenVPN-Servers: Name, Anmerkung und Details zur Konfiguration wie: der überwachte Port, das Protokoll sowie der Geräte- und Netzwerktyp. Schließlich stehen folgende Aktionen zur Verfügung:

  • ein aus – Der Server ist aktiv oder angehalten.
  • bearbeiten – Ändern der Serverkonfiguration.
  • löschen – Entfernen der Konfiguration und des Servers.

Hinweis

Beim ersten Start des OpenVPN-Servers werden die Root- und Hostzertifikate automatisch generiert.

OpenVPN-Einstellungen

Das Feld im oberen Bereich zeigt die aktuellen OpenVPN-Einstellungen zur Authentifizierungsmethode. Diese sind:

Authentifizierungstyp:

Es gibt drei verfügbare Authentifizierungsmethoden, um Clients mit dem OpenVPN-Server zu verbinden, der auf der Panda GateDefender-Appliance ausgeführt wird:

  • PSK (Benutzername und Passwort): Die Verbindung wird hergestellt, nachdem ein korrekter Benutzername und ein Passwort angegeben wurden.
  • X.509 Zertifikat: Ein gültiges Zertifikat wird nur zur Verbindungsherstellung benötigt.
  • X.509 Zertifikat & PSK (Zweifaktor): Neben einem gültigen Zertifikat werden Benutzername und Passwörter benötigt.

Warnung

Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen.

Die Standardmethode der Panda GateDefender-Appliance ist PSK (Benutzername/Passwort): Der Client wird anhand des Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden Methoden werden nachfolgend beschrieben.

Zertifikatskonfiguration:

Dieses Dropdown-Menü wird verwendet, um die Erstellungsmethode eines neuen Zertifikats auszuwählen. Folgende Optionen sind verfügbar:

  • Erzeuge ein neues Zertifikat: Erstellung eines komplett neuen Zertifikats. Diese Option ist nur verfügbar, wenn noch kein Hostzertifikat generiert wurde. Ein Formular öffnet sich, in dem alle notwendigen Informationen zur Erstellung eines neuen Zertifikats angegeben werden können. Diese sind dieselben wie im Editor zur Erzeugung neuer Zertifikate mit zwei kleineren Änderungen: Trivialname wird zu Hostname des Systems, und Name der Organisational Unit wird zu Abteilungsname.

  • Ausgewähltes Zertifikat verwenden: Wählen Sie eines der verfügbaren Zertifikate aus, das im Dropdown-Menü auf der rechten Seite angezeigt wird. Es ist möglich, sämtliche Details des Zertifikats durch Klicken auf den Hyperlink Details anzeigen anzuzeigen.

    Tipp

    Der Name des ausgewählten Zertifikats wird rechts über dem Hyperlink angezeigt.

  • Ein bestehendes Zertifikat verwenden: In einem zweiten Dropdown-Menü auf der linken Seite können Sie ein bereits erstelltes und in der Panda GateDefender-Appliance gespeichertes Zertifikat auswählen.

  • Ein Zertifikat hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, ein bestehendes Zertifikat von der Workstation aus auszuwählen und hochzuladen. Das Passwort für das Zertifikat kann, falls erforderlich, in das Textfeld auf der rechten Seite eingegeben werden.

  • Anfrage zum Signieren eines Zertifikats (CSR) hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, eine bestehende Zertifizierungsanforderung von der Workstation auszuwählen und hochzuladen. Die Gültigkeit des Zertifikats in Tagen kann in das Textfeld auf der rechten Seite eingegeben werden.

OpenVPN Server Instanzen

Die Liste der bereits definierten OpenVPN-Instanzen wird in diesem Bereich angezeigt, über dem sich der Hyperlink Neue OpenVPN Server Instanz hinzufügen befindet. Durch Klicken auf diesen Link wird ein Editor geöffnet, in dem alle notwendigen Konfigurationswerte für die neue VPN-Instanz angegeben werden können.

Hinweis

Falls die Anzahl der OpenVPN-Instanzen größer ist als die der Kerne ist, zeigt ein gelber Hinweis an, dass die Leistung verringert sein kann.

Im Editor werden folgende Konfigurationsoptionen angezeigt:

Name
Der Name der OpenVPN-Serverinstanz.
Anmerkung
Ein Kommentar für diese Instanz.
Antworte nur auf
Die IP-Adresse, welche die Instanz überwachen soll.
Port
Der Port, auf dem die Instanz auf eingehende Verbindungen wartet.
Gerätetyp
Das für die Instanz verwendete Gerät, das aus dem Dropdown-Menü ausgewählt werden kann (TUN und TAP). TUN-Geräte erfordern, dass der Datenverkehr geroutet wird. Daher ist die untere Option Gebridget nicht für TUN-Geräte verfügbar.
Protokoll
Das verwendete Protokoll, das aus dem Dropdown-Menü ausgewählt werden kann (TCP und UDP).
Gebridget

Aktivieren Sie diese Option, um den Server gebridget zu betreiben, d. h. innerhalb einer der vorhandenen Zonen.

Hinweis

Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw. bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist, übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.

VPN Subnetz
Diese Option ist nur verfügbar, wenn der gebridgete Modus deaktiviert ist. Mithilfe dieser Option kann der OpenVPN-Server in seinem eigenen dedizierten Subnetz ausgeführt werden, das im Textfeld festgelegt werden kann. Es sollte sich von den Subnetzen der anderen Zonen unterscheiden.
Bridge zu
Die Zone, an die der OpenVPN-Server gebrigdet werden soll. Es werden nur die verfügbaren Zonen im Dropdown-Menü angezeigt.
Startadresse des dynamischen IP Pool
Die erstmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.
Endadresse des dynamischen IP Pool
Die letztmögliche IP-Adresse im Netzwerk der ausgewählten Zone, die für die OpenVPN-Clients verwendet werden soll.

Gerouteter und gebridgeter OpenVPN-Server, statisch und dynamisch.

Bei der Konfiguration eines Pools von IP-Adressen, die für OpenVPN-Clients reserviert sind, ist es notwendig einige Richtlinien zu beachten, die helfen, sowohl zukünftige Fehlfunktionen zu vermeiden als auch ein saubereres und einfaches Design einzurichten.

Bevor Sie mit der Konfiguration des Servers beginnen, gilt es eine goldene Regel bei der Implementierung einer Architektur mit VPN-Multikern zu beachten: Unabhängig vom verwendeten gebridgeten oder gerouteten Modus für eine VPN-Serverinstanz mit Multikern erfolgt keine Reservierung statischer IP-Adressen. Mit anderen Worten: Ein Client, der sich mit diesem VPN-Server verbindet, erhält eine dynamische IP-Adresse, auch wenn diesem eine statische IP-Adresse zugewiesen wurde.

Zunächst ist festzulegen, ob der OpenVPN-Server im gerouteten oder gebridgeten Modus arbeiten soll. Im ersten Fall ist es notwendig, ein passendes VPN-Subnetz festzulegen, das IP-Adressen für die Clients bereitstellt. Der Datenverkehr über dieses Subnetz muss gegebenenfalls unter Verwendung der VPN-Firewall gefiltert werden. Im zweiten Fall betrachtet der OpenVPN-Server Clients ab der Verbindung als physisch mit dieser Zone verbunden, d. h. der Server bridget den Client zu einer der Zonen. In diesem Fall muss ein Pool von IP-Adressen innerhalb dieser Zone unter Verwendung der zwei Optionen definiert werden, die direkt vor diesem Feld angezeigt werden. Dieser Pool muss vollständig im Subnetz der Zone enthalten und kleiner als diese sein. Es ist außerdem wichtig, sich zu vergewissern, dass dieser Pool keine Konflikte mit anderen Pools verursacht, die in dieser Zone definiert sind, wie z. B. ein DHCP-Server.

In einem gebridgeten OpenVPN-Server ist es möglich, einigen (oder sogar allen) Benutzern eine statische IP-Adresse zuzuweisen. In diesem Fall ist es sinnvoll, dass diese statischen IP-Adressen zu keinem definierten IP-Pool innerhalb der Zone gehören, um Adressenkonflikte und falsches Routing zu vermeiden. Der Datenverkehr mit diesem bestimmten Client kann dann unter Verwendung des VPN (oder IPsec)-Benutzers als Quelle oder Ziel des Datenverkehrs in den Firewall-Regeln gefiltert werden.

Im Feld Erweiterte Einstellungen können zusätzliche Optionen konfiguriert werden.

Anzahl der Kerne
Dieses Dropdown-Menü ermöglicht es, die Anzahl der CPUs der Panda GateDefender-Appliance festzulegen, die von der Instanz verwendet werden. Daher können sich die Optionen in diesem Dropdown-Menü unterscheiden.
Mehrere Verbindungen von einem Benutzer zulassen:
In der Regel kann eine Client-Verbindung jeweils nur von einem Standort aus hergestellt werden. Diese Option ermöglicht die Anmeldung mehrerer Clients von verschiedenen Standorten aus. Die VPN-Firewall-Regeln treffen nicht mehr zu, wenn für einen Client mehrere Verbindungen bestehen.
DHCP Antworten aus dem Tunnel blockieren
Aktivieren Sie dieses Kontrollkästchen, wenn DHCP-Antworten, die Konflikte mit dem lokalen DHCP-Server hervorrufen, aus dem LAN auf der anderen Seite des VPN-Tunnels empfangen werden.
Client-to-Client-Verbindungen

Wählen Sie in diesem Dropdown-Menü die Modalitäten der Kommunikation zwischen den Clients und dem OpenVPN-Server aus:

  • Nicht erlaubt: Die Clients können nicht miteinander kommunizieren.
  • Direkte Verbindungen zulassen: Die Clients können sich verbinden. Diese Option steht nur bei CPUs mit Einzelkern zur Verfügung.
  • Verbindungen in der VPN-Firewall filtern: Die Clients können miteinander kommunizieren, aber ihr Datenverkehr wird durch die VPN-Firewall geregelt.
Diese Nameserver pushen
Durch Aktivieren dieses Kontrollkästchens wird der im darunter befindlichen Textfeld angegebene Nameserver beim Verbinden an die Clients gesendet.
Nameserver:
Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige Kontrollkästchen aktiviert wurde.
Diese Netzwerke pushen
Durch Aktivieren dieses Kontrollkästchens werden die Routen zu den im unteren Textfeld definierten Netzwerken an die verbundenen Clients gesendet.
Netzwerke
Die in diesem Textfeld angegebenen Nameserver werden an die verbundenen Clients gesendet, wenn das vorherige Kontrollkästchen aktiviert wurde.
Diese Domäne pushen:
Durch Aktivieren dieses Kontrollkästchens wird die im Textfeld auf der rechten Seite festgelegte Suchdomäne zu denen der verbundenen Clients hinzugefügt.
Domäne
Die Domäne, die zur Identifikation der Server und Netzwerkressourcen im VPN-Netzwerk verwendet wird (d. h. die Suchdomäne).

Hinweis

Die Optionen Diese Nameserver pushen und Diese Domäne pushen funktionieren nur bei Clients, die Microsoft Windows als Betriebssystem verwenden.

Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat für diesen OpenVPN Server erzeugt. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden sollen. Anderenfalls können die Clients nicht auf den Server zugreifen.

Nachdem der Server eingerichtet wurde, ist es möglich, Konten für die Clients zu erstellen und zu konfigurieren, die sich mit der Panda GateDefender-Appliance auf der Registerkarte Authentifizierung verbinden können.

Aktiviert
Durch Aktivieren dieses Kontrollkästchens wird der Start des OpenVPN-Servers definiert.

Fehlerbehebung für VPN-Verbindungen

Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1.450 Byte, um Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1.500 Byte liegt, zu verhindern. Einige Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen werden können). Sie können diesen Wert durch Zugriff auf die Panda GateDefender-Appliance über die Kommandozeilenschnittstelle (CLI) anhand der folgenden Richtlinien ändern:

  1. Notieren Sie den vom Internetdienstanbieter verwendeten MTU-Wert (siehe untenstehenden Link).
  2. Öffnen Sie die Befehlszeilenschnittstelle entweder über eine Shell oder über Menüleiste ‣ System ‣ Web Konsole an.
  3. Bearbeiten Sie die OpenVPN-Vorlage mit einem Editor Ihrer Wahl: nano/etc/openvpn/openvpn.conf.tmpl.
  4. Suchen Sie nach der Zeichenkette mssfix 1450.
  5. Ersetzen Sie 1450 durch einen niedrigeren Wert (z. B. 1200).
  6. Starten Sie OpenVPN durch folgende Eingabe neu: jobcontrol restart openvpnjob.

Siehe auch

Weitere Informationen zum MTU-Wert:

Inhalt

Vorheriges Thema

Menü „VPN“

Nächstes Thema

OpenVPN-Client (Gw2Gw)

Navigation

© Copyright 2012–2014, Panda Security SL. Zuletzt aktualisiert am 31. Januar 2014.