Mit Hilfe des IPsec-Verbindungsassistenten können Sie eine VPN-Verbindung manuell konfigurieren.
Der Assistent ist nicht verfügbar, wenn Sie die Appliance über den Sophos Firewall Manager verwalten.
Der VPN-Verbindungsassistent führt Sie schrittweise durch die Konfiguration einer VPN-Verbindung auf der Appliance. Nach Abschluss der Konfiguration erstellt der Assistent eine neue VPN-Verbindung.
Der Assistent besteht aus zwei Fensterbereichen: Konfiguration und Hilfe. Im Konfigurationsbereich werden die Konfigurationsparameter eingegeben, während im Hilfebereich links Hilfestellungen zu den Konfigurationsparametern zu finden sind.
Der erste Bildschirm des Assistenten gibt einen Überblick über die Konfigurationsschritte. Sie können über den Assistenten drei Verbindungstypen erstellen:
Mit dem VPNAssistenten eine Fernzugriffsverbindung erstellen
Gehen Sie zu > > . Klicken Sie auf Assistent und folgen Sie den folgenden Schritten.
Geben Sie einen Namen und eine Beschreibung (falls erforderlich) für die VPN-Verbindung ein und klicken Sie auf Start. Im Hilfebereich links finden Sie eine Übersicht über die Konfigurationsschritte.
Auf der Seite Verbindungstyp auswählen
1. Wählen Sie den Verbindungstyp Fernzugriff.
2. Wählen Sie die VPN-Richtlinie, die für den Datenverkehr dieser Verbindung angewendet werden soll. Es werden sowohl Standard- als auch benutzerdefinierte Richtlinien angezeigt, die auf die Verbindung angewendet werden können.
3. Wählen Sie die Aktion, die für die Verbindung in Kraft treten soll, wenn der VPN-Dienst oder die Appliance neu startet.
Verfügbare Optionen:
◦ Deaktivieren – Die Verbindung wird deaktiviert, bis der Benutzer sie aktiviert.
◦ Nur antworten – Die Verbindung befindet sich in Bereitschaft, um auf eingehende Anfragen zu antworten.
4. Klicken Sie auf >, um fortzufahren.
Auf der Seite Authentifizierung - Einstellungen
1. Wählen Sie den Authentifizierungstyp aus.
Verfügbare Optionen:
Verteilter Schlüssel
Geben Sie den verteilten Schlüssel mit mindestens fünf Zeichen an. Dieser verteilte Schlüssel muss dem Peer am entfernten Ende mitgeteilt werden. Am entfernten Ende muss der Client diesen Schlüssel für die Authentifizierung angeben. Weitere Informationen finden Sie im VPN-Client-Guide, Phase 1 Konfiguration.
Bei einem inkorrekten Schlüssel kann der Benutzer die Verbindung nicht aufbauen.
Digitales Zertifikat
Wählen Sie das lokale Zertifikat aus, das von der Appliance für die Authentifizierung verwendet werden soll.
Wählen Sie das entfernte Zertifikat aus, das vom entfernten Peer für die Authentifizierung verwendet werden soll.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite Lokales Netzwerk - Einstellungen
1. Wählen Sie unter Lokaler WAN-Port eine Option aus. Der ausgewählte Port fungiert als ein Endpunkt des Tunnels.
2. Wählen Sie ein Lokales Subnetz aus. Wählen Sie das/die lokale(n) Netzwerk(e) aus, auf welche Benutzer per Fernzugriff über diese Verbindung zugreifen dürfen.
3. Wählen Sie die Lokale ID aus.
Für Verteilter Schlüssel und Digitales Zertifikat wählen Sie einen ID-Typ und geben seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Bei Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt
4. Klicken Sie auf >, um fortzufahren.
Auf der Seite Entferntes Netzwerk - Einstellungen
1. Geben Sie in das Feld Entfernter VPN-Server die IP-Adresse oder den Hostnamen des entfernten Endpoints an.
Um eine beliebige IP-Adresse auszuwählen, geben Sie * ein
2. Aktivieren Sie NAT-Traversal, wenn zwischen Ihren VPN-Endpoints bereits eine NAT-Appliance vorhanden ist, d. h. wenn der entfernte Peer eine private/nicht-routingfähige IP-Adresse hat.
3. Wählen Sie Entferntes Subnetz. Wählen Sie das/die entfernte(n) Netzwerk(e), auf die Sie über diese Verbindung zugreifen möchten. Diese Option ist nur verfügbar, wenn NAT-Traversal aktiviert ist.
4. Wählen Sie die Entfernte ID aus.
Bei verteiltem Schlüssel wählen Sie einen ID-Typ und geben Sie seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Im Fall von Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt.
5. Klicken Sie auf >, um fortzufahren.
Auf der Seite Benutzerauthentifizierung
1. Wählen Sie Benutzerauthentifizierungsmodus.
Verfügbare Optionen:
◦ Deaktiviert – Wenn keine Authentifizierung erforderlich ist.
◦ Als Client aktivieren – Geben Sie Benutzername und Kennwort ein, um Authentifizierung vom entfernten Gateway zuzulassen.
◦ Als Server aktivieren – Wählen Sie alle Benutzer, die sich verbinden dürfen.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite IPsec-Verbindung - Zusammenfassung
Auf der Seite werden die Einstellungen für die Erstellung einer IPsec-Verbindung angezeigt.
Klicken Sie auf Beenden, um die IPsec-Verbindung zu erstellen, oder klicken Sie auf <, um zur vorherigen Seite zurückzukehren und die Einstellungen zu ändern.
Mit dem VPNAssistenten eine Site-to-Site-Verbindung erstellen
Gehen Sie zu > > . Klicken Sie auf Wizard und folgen Sie den folgenden Schritten
Geben Sie einen Namen und eine Beschreibung (falls erforderlich) für die VPN-Verbindung ein und klicken Sie auf Start. Im Hilfebereich links finden Sie eine Übersicht über die Konfigurationsschritte.
Auf der Seite Verbindungstyp auswählen
1. Geben Sie den Verbindungstyp Site-to-Site ein.
2. Wählen Sie die VPN-Richtlinie, die für den Datenverkehr dieser Verbindung angewendet werden soll. Es werden sowohl Standard- als auch benutzerdefinierte Richtlinien angezeigt, die auf die Verbindung angewendet werden können.
3. Wählen Sie die Aktion, die für die Verbindung in Kraft treten soll, wenn der VPN-Dienst oder die Appliance neu startet.
Verfügbare Optionen:
◦ Deaktivieren – Die Verbindung wird deaktiviert, bis der Benutzer sie aktiviert.
◦ Nur antworten – Die Verbindung befindet sich in Bereitschaft, um auf eingehende Anfragen zu antworten.
◦ Initiieren – Wählen Sie „Initiieren“, um die Verbindung jedes Mal zu errichten, wenn VPN-Dienste oder die Appliance neu starten.
4. Klicken Sie auf >, um fortzufahren.
Auf der Seite Authentifizierung - Einstellungen
1. Wählen Sie den Authentifizierungstyp aus.
Verfügbare Optionen:
Verteilter Schlüssel
Geben Sie den verteilten Schlüssel mit mindestens fünf Zeichen an. Dieser verteilte Schlüssel muss dem Peer am entfernten Ende mitgeteilt werden. Am entfernten Ende muss der Client diesen Schlüssel für die Authentifizierung angeben. Weitere Informationen finden Sie im VPN-Client-Guide, Phase 1 Konfiguration.
Bei einem inkorrekten Schlüssel kann der Benutzer die Verbindung nicht aufbauen.
Digitales Zertifikat
Wählen Sie das lokale Zertifikat aus, das von der Appliance für die Authentifizierung verwendet werden soll.
Wählen Sie das entfernte Zertifikat aus, das vom entfernten Peer für die Authentifizierung verwendet werden soll.
RSA
Der lokale RSA-Schlüssel wird angezeigt, der über die CLI-Konsole neu generiert werden kann. Nähere Informationen finden Sie im Konsolenhandbuch. Geben Sie den entfernten RSA-Schlüssel an.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite Lokales Netzwerk - Einstellungen
1. Wählen Sie unter Lokaler WAN-Port eine Option aus. Der ausgewählte Port fungiert als ein Endpunkt des Tunnels.
2. Wählen Sie ein Lokales Subnetz aus. Wählen Sie das/die lokale(n) Netzwerk(e) aus, auf welche Benutzer per Fernzugriff über diese Verbindung zugreifen dürfen.
3. Wählen Sie die Lokale ID aus.
Bei Verteilter Schlüssel und RSA-Schlüssel wählen Sie einen ID-Typ und geben Sie seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Bei Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt
4. Klicken Sie auf >, um fortzufahren.
Auf der Seite Entferntes Netzwerk - Einstellungen
1. Geben Sie in das Feld Entfernter VPN-Server die IP-Adresse oder den Hostnamen des entfernten Endpoints an.
Um eine beliebige IP-Adresse auszuwählen, geben Sie * ein
2. Aktivieren Sie NAT-Traversal, wenn zwischen Ihren VPN-Endpoints bereits eine NAT-Appliance vorhanden ist, d. h. wenn der entfernte Peer eine private/nicht-routingfähige IP-Adresse hat.
3. Wählen Sie Entferntes Subnetz. Wählen Sie das/die entfernte(n) Netzwerk(e), auf die Sie über diese Verbindung zugreifen möchten. Diese Option ist nur verfügbar, wenn NAT-Traversal aktiviert ist.
4. Wählen Sie die Entfernte ID aus.
Bei Verteilter Schlüssel und RSA-Schlüssel wählen Sie einen ID-Typ und geben Sie seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Im Fall von Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt.
5. Klicken Sie auf >, um fortzufahren.
Auf der Seite Benutzerauthentifizierung
1. Wählen Sie Benutzerauthentifizierungsmodus.
Verfügbare Optionen:
◦ Deaktiviert – Wenn keine Authentifizierung erforderlich ist.
◦ Als Client aktivieren – Geben Sie Benutzername und Kennwort ein, um Authentifizierung vom entfernten Gateway zuzulassen.
◦ Als Server aktivieren – Wählen Sie alle Benutzer, die sich verbinden dürfen.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite IPsec-Verbindung - Zusammenfassung
Auf der Seite werden die Einstellungen für die Erstellung einer IPsec-Verbindung angezeigt.
Klicken Sie auf Beenden, um die IPsec-Verbindung zu erstellen, oder klicken Sie auf <, um zur vorherigen Seite zurückzukehren und die Einstellungen zu ändern.
Mit dem VPNAssistenten eine Host-to-Host-Verbindung erstellen
Gehen Sie zu > > . Klicken Sie auf Wizard und folgen Sie den folgenden Schritten
Geben Sie einen Namen und eine Beschreibung (falls erforderlich) für die VPN-Verbindung ein und klicken Sie auf Start. Im Hilfebereich links finden Sie eine Übersicht über die Konfigurationsschritte.
Auf der Seite Verbindungstyp auswählen
1. Wählen Sie den Verbindungstyp Host-zu-Host aus.
2. Wählen Sie die VPN-Richtlinie, die für den Datenverkehr dieser Verbindung angewendet werden soll. Es werden sowohl Standard- als auch benutzerdefinierte Richtlinien angezeigt, die auf die Verbindung angewendet werden können.
3. Wählen Sie die Aktion, die für die Verbindung in Kraft treten soll, wenn der VPN-Dienst oder die Appliance neu startet.
Verfügbare Optionen:
◦ Deaktivieren – Die Verbindung wird deaktiviert, bis der Benutzer sie aktiviert.
◦ Nur antworten – Die Verbindung befindet sich in Bereitschaft, um auf eingehende Anfragen zu antworten.
◦ Initiieren – Wählen Sie „Initiieren“, um die Verbindung jedes Mal zu errichten, wenn VPN-Dienste oder die Appliance neu starten.
4. Klicken Sie auf >, um fortzufahren.
Auf der Seite Authentifizierung - Einstellungen
1. Wählen Sie den Authentifizierungstyp aus.
Verfügbare Optionen:
Verteilter Schlüssel
Geben Sie den verteilten Schlüssel mit mindestens fünf Zeichen an. Dieser verteilte Schlüssel muss dem Peer am entfernten Ende mitgeteilt werden. Am entfernten Ende muss der Client diesen Schlüssel für die Authentifizierung angeben. Weitere Informationen finden Sie im VPN-Client-Guide, Phase 1 Konfiguration.
Bei einem inkorrekten Schlüssel kann der Benutzer die Verbindung nicht aufbauen.
Digitales Zertifikat
Wählen Sie das lokale Zertifikat aus, das von der Appliance für die Authentifizierung verwendet werden soll.
Wählen Sie das entfernte Zertifikat aus, das vom entfernten Peer für die Authentifizierung verwendet werden soll.
RSA
Der lokale RSA-Schlüssel wird angezeigt, der über die CLI-Konsole neu generiert werden kann. Nähere Informationen finden Sie im Konsolenhandbuch. Geben Sie den entfernten RSA-Schlüssel an.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite Lokales Netzwerk - Einstellungen
1. Wählen Sie unter Lokaler WAN-Port eine Option aus. Der ausgewählte Port fungiert als ein Endpunkt des Tunnels.
2. Wählen Sie die Lokale ID aus.
Bei Verteilter Schlüssel und RSA-Schlüssel wählen Sie einen ID-Typ und geben Sie seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Bei Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt
3. Klicken Sie auf >, um fortzufahren.
Auf der Seite Entferntes Netzwerk - Einstellungen
1. Geben Sie in das Feld Entfernter VPN-Server die IP-Adresse oder den Hostnamen des entfernten Endpoints an.
Um eine beliebige IP-Adresse auszuwählen, geben Sie * ein
2. Aktivieren Sie NAT-Traversal, wenn zwischen Ihren VPN-Endpoints bereits eine NAT-Appliance vorhanden ist, d. h. wenn der entfernte Peer eine private/nicht-routingfähige IP-Adresse hat.
3. Wählen Sie Entferntes Subnetz. Wählen Sie das/die entfernte(n) Netzwerk(e), auf die Sie über diese Verbindung zugreifen möchten. Diese Option ist nur verfügbar, wenn NAT-Traversal aktiviert ist.
4. Wählen Sie die Entfernte ID aus.
Bei Verteilter Schlüssel und RSA-Schlüssel wählen Sie einen ID-Typ und geben Sie seinen Wert ein. DER ASN1 DN (X.509) ist nicht anwendbar.
Im Fall von Lokales Zertifikat werden die ID und ihr im lokalen Zertifikat konfigurierter Wert automatisch angezeigt.
5. Klicken Sie auf >, um fortzufahren.
Auf der Seite Benutzerauthentifizierung
1. Wählen Sie Benutzerauthentifizierungsmodus.
Verfügbare Optionen:
◦ Deaktiviert – Wenn keine Authentifizierung erforderlich ist.
◦ Als Client aktivieren – Geben Sie Benutzername und Kennwort ein, um Authentifizierung vom entfernten Gateway zuzulassen.
◦ Als Server aktivieren – Wählen Sie alle Benutzer, die sich verbinden dürfen.
2. Klicken Sie auf >, um fortzufahren.
Auf der Seite IPsec-Verbindung - Zusammenfassung
Auf der Seite werden die Einstellungen für die Erstellung einer IPsec-Verbindung angezeigt.
Klicken Sie auf Beenden, um die IPsec-Verbindung zu erstellen, oder klicken Sie auf <, um zur vorherigen Seite zurückzukehren und die Einstellungen zu ändern.