...nur von Panda verwendet
Wenn die Panda GateDefender-Appliance als OpenVPN-Server konfiguriert ist, können Remote-Verbindungen vom Uplink akzeptiert und VPN-Clients wie lokale Workstations oder Server eingerichtet werden.
Beginnend mit Version 5.50 ermöglicht der auf der Panda GateDefender-Appliance bereitgestellte OpenVPN-Server die gleichzeitige Präsenz mehrerer Instanzen. Jeder Server überwacht einen anderen Port, sodass nur eingehende Verbindungen über diesen Port akzeptiert werden. Darüber hinaus kann, falls die Hardware, auf der die Panda GateDefender-Appliance installiert wird, mehrere CPU-Kerne besitzt, jeder Instanz mehr als eine CPU zugewiesen werden. Das resultiert in einer Erhöhung des Durchsatzes und der Datenverarbeitung dieser Instanz. Es ist auch möglich, mehrere Instanzen von OpenVPN auf einem Gerät mit Einzelkern-CPU auszuführen, wobei diese dann jedoch die gesamte Last aller Instanzen trägt.
Diese Seite enthält den Schalter OpenVPN Server aktivieren , der den OpenVPN-Server und alle damit verbundenen Dienste (z. B. die VPN-Firewall) durch Anklicken startet. Unterhalb befindet sich das Feld OpenVPN Einstellungen, in dem einige globale Einstellungen festgelegt werden können. Rechts unterhalb ermöglicht es ein Link, neue Serverinstanzen zu definieren, während am unteren Rand der Seite eine Liste der verfügbaren laufenden VPN-Server der Panda GateDefender-Appliance angezeigt werden, falls solche bereits definiert wurden. Die Liste enthält die folgenden Daten über jede definierte Instanz eines OpenVPN-Servers: Name, Anmerkung und Details zur Konfiguration wie: der überwachte Port, das Protokoll sowie der Geräte- und Netzwerktyp. Schließlich stehen folgende Aktionen zur Verfügung:
Hinweis
Beim ersten Start des OpenVPN-Servers werden die Root- und Hostzertifikate automatisch generiert.
OpenVPN-Einstellungen
Das Feld im oberen Bereich zeigt die aktuellen OpenVPN-Einstellungen zur Authentifizierungsmethode. Diese sind:
Es gibt drei verfügbare Authentifizierungsmethoden, um Clients mit dem OpenVPN-Server zu verbinden, der auf der Panda GateDefender-Appliance ausgeführt wird:
Warnung
Bei Verwendung einer ausschließlich zertifikatsbasierten Authentifizierung erhalten Clients mit gültigem Zertifikat Zugriff auf den OpenVPN-Server, auch wenn diese über kein gültiges Konto verfügen.
Die Standardmethode der Panda GateDefender-Appliance ist PSK (Benutzername/Passwort): Der Client wird anhand des Benutzernamens und Passworts authentifiziert. Für diese Methode sind keine weiteren Änderungen nötig. Die anderen beiden Methoden werden nachfolgend beschrieben.
Dieses Dropdown-Menü wird verwendet, um die Erstellungsmethode eines neuen Zertifikats auszuwählen. Folgende Optionen sind verfügbar:
Erzeuge ein neues Zertifikat: Erstellung eines komplett neuen Zertifikats. Diese Option ist nur verfügbar, wenn noch kein Hostzertifikat generiert wurde. Ein Formular öffnet sich, in dem alle notwendigen Informationen zur Erstellung eines neuen Zertifikats angegeben werden können. Diese sind dieselben wie im Editor zur Erzeugung neuer Zertifikate mit zwei kleineren Änderungen: Trivialname wird zu Hostname des Systems, und Name der Organisational Unit wird zu Abteilungsname.
Ausgewähltes Zertifikat verwenden: Wählen Sie eines der verfügbaren Zertifikate aus, das im Dropdown-Menü auf der rechten Seite angezeigt wird. Es ist möglich, sämtliche Details des Zertifikats durch Klicken auf den Hyperlink Details anzeigen anzuzeigen.
Tipp
Der Name des ausgewählten Zertifikats wird rechts über dem Hyperlink angezeigt.
Ein bestehendes Zertifikat verwenden: In einem zweiten Dropdown-Menü auf der linken Seite können Sie ein bereits erstelltes und in der Panda GateDefender-Appliance gespeichertes Zertifikat auswählen.
Ein Zertifikat hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, ein bestehendes Zertifikat von der Workstation aus auszuwählen und hochzuladen. Das Passwort für das Zertifikat kann, falls erforderlich, in das Textfeld auf der rechten Seite eingegeben werden.
Anfrage zum Signieren eines Zertifikats (CSR) hochladen: Durch Klicken auf die Schaltfläche Durchsuchen... unterhalb des Dropdown-Menüs ist es möglich, eine bestehende Zertifizierungsanforderung von der Workstation auszuwählen und hochzuladen. Die Gültigkeit des Zertifikats in Tagen kann in das Textfeld auf der rechten Seite eingegeben werden.
OpenVPN Server Instanzen
Die Liste der bereits definierten OpenVPN-Instanzen wird in diesem Bereich angezeigt, über dem sich der Hyperlink Neue OpenVPN Server Instanz hinzufügen befindet. Durch Klicken auf diesen Link wird ein Editor geöffnet, in dem alle notwendigen Konfigurationswerte für die neue VPN-Instanz angegeben werden können.
Hinweis
Falls die Anzahl der OpenVPN-Instanzen größer ist als die der Kerne ist, zeigt ein gelber Hinweis an, dass die Leistung verringert sein kann.
Im Editor werden folgende Konfigurationsoptionen angezeigt:
Aktivieren Sie diese Option, um den Server gebridget zu betreiben, d. h. innerhalb einer der vorhandenen Zonen.
Hinweis
Wenn der OpenVPN-Server nicht gebridget ist (also geroutet), erhalten die Clients ihre IP-Adressen von einem dedizierten Subnetz. In diesem Fall sollten unter VPN Firewall geeignete Regeln erstellt werden, um sicherzustellen, dass die Clients auf alle Zonen bzw. bestimmte Server/Ressourcen (beispielsweise ein Quellcode-Repository) zugreifen können. Wenn der OpenVPN-Server gebridget ist, übernimmt er die Firewall-Einstellungen der Zone, der er zugeordnet ist.
Gerouteter und gebridgeter OpenVPN-Server, statisch und dynamisch.
Bei der Konfiguration eines Pools von IP-Adressen, die für OpenVPN-Clients reserviert sind, ist es notwendig einige Richtlinien zu beachten, die helfen, sowohl zukünftige Fehlfunktionen zu vermeiden als auch ein saubereres und einfaches Design einzurichten.
Bevor Sie mit der Konfiguration des Servers beginnen, gilt es eine goldene Regel bei der Implementierung einer Architektur mit VPN-Multikern zu beachten: Unabhängig vom verwendeten gebridgeten oder gerouteten Modus für eine VPN-Serverinstanz mit Multikern erfolgt keine Reservierung statischer IP-Adressen. Mit anderen Worten: Ein Client, der sich mit diesem VPN-Server verbindet, erhält eine dynamische IP-Adresse, auch wenn diesem eine statische IP-Adresse zugewiesen wurde.
Zunächst ist festzulegen, ob der OpenVPN-Server im gerouteten oder gebridgeten Modus arbeiten soll. Im ersten Fall ist es notwendig, ein passendes VPN-Subnetz festzulegen, das IP-Adressen für die Clients bereitstellt. Der Datenverkehr über dieses Subnetz muss gegebenenfalls unter Verwendung der VPN-Firewall gefiltert werden. Im zweiten Fall betrachtet der OpenVPN-Server Clients ab der Verbindung als physisch mit dieser Zone verbunden, d. h. der Server bridget den Client zu einer der Zonen. In diesem Fall muss ein Pool von IP-Adressen innerhalb dieser Zone unter Verwendung der zwei Optionen definiert werden, die direkt vor diesem Feld angezeigt werden. Dieser Pool muss vollständig im Subnetz der Zone enthalten und kleiner als diese sein. Es ist außerdem wichtig, sich zu vergewissern, dass dieser Pool keine Konflikte mit anderen Pools verursacht, die in dieser Zone definiert sind, wie z. B. ein DHCP-Server.
In einem gebridgeten OpenVPN-Server ist es möglich, einigen (oder sogar allen) Benutzern eine statische IP-Adresse zuzuweisen. In diesem Fall ist es sinnvoll, dass diese statischen IP-Adressen zu keinem definierten IP-Pool innerhalb der Zone gehören, um Adressenkonflikte und falsches Routing zu vermeiden. Der Datenverkehr mit diesem bestimmten Client kann dann unter Verwendung des VPN (oder IPsec)-Benutzers als Quelle oder Ziel des Datenverkehrs in den Firewall-Regeln gefiltert werden.
Im Feld Erweiterte Einstellungen können zusätzliche Optionen konfiguriert werden.
Wählen Sie in diesem Dropdown-Menü die Modalitäten der Kommunikation zwischen den Clients und dem OpenVPN-Server aus:
Hinweis
Die Optionen Diese Nameserver pushen und Diese Domäne pushen funktionieren nur bei Clients, die Microsoft Windows als Betriebssystem verwenden.
Beim Erststart des Dienstes wird ein neues, selbst signiertes CA-Zertifikat für diesen OpenVPN Server erzeugt. Dieser Vorgang kann einige Zeit in Anspruch nehmen. Nach seiner Erstellung kann das Zertifikat durch Klicken auf den Link CA Zertifikat herunterladen heruntergeladen werden. Dieses Zertifikat muss für alle Clients verwendet werden, die mit diesem OpenVPN-Server verbunden werden sollen. Anderenfalls können die Clients nicht auf den Server zugreifen.
Nachdem der Server eingerichtet wurde, ist es möglich, Konten für die Clients zu erstellen und zu konfigurieren, die sich mit der Panda GateDefender-Appliance auf der Registerkarte Authentifizierung verbinden können.
Fehlerbehebung für VPN-Verbindungen
Zahlreiche Probleme mit VPN-Verbindungen können durch Überprüfen der Konfigurationen leicht entdeckt werden. Problematisch wird es allerdings bei falschen MTU-Werten. Die Panda GateDefender-Appliance begrenzt die MTU-Größe für VPNs auf 1.450 Byte, um Probleme mit dem vom Internetdienstanbieter (ISP) verwendeten gängigen MTU-Wert, der bei 1.500 Byte liegt, zu verhindern. Einige Internetdienstanbieter verwenden möglicherweise einen geringeren MTU-Wert, wodurch der MTU-Wert von Panda zu groß wird und Probleme bei der Verbindung verursacht werden (erkennbar beispielsweise an der Tatsache, dass große Dateien nicht heruntergeladen werden können). Sie können diesen Wert durch Zugriff auf die Panda GateDefender-Appliance über die Kommandozeilenschnittstelle (CLI) anhand der folgenden Richtlinien ändern:
Siehe auch
Weitere Informationen zum MTU-Wert: