Um einen SSL-VPN -Site-to-Site-Tunnel anzulegen, ist es entscheidend, zuerst die Serverkonfiguration anzulegen. Die Konfiguration des Clients muss immer erst der zweite Schritt sein.
Um eine Serverkonfiguration anzulegen, gehen Sie folgendermaßen vor:
-
Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfeld SSL-Verbindung hinzufügen wird geöffnet.
-
Nehmen Sie die folgenden Einstellungen vor:
Verbindungstyp: Wählen Sie Server aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.
Statische virtuelle IP-Adresse verwenden (optional): Wählen Sie diese Option nur, wenn der IP-Adressenpool nicht mit der Netzwerkumgebung des Clients kompatibel ist: Standardmäßig erhalten Clients eine IP-Adresse aus dem Virtuellen IP-Pool (konfigurierbar auf der Registerkarte Einstellungen). In Ausnahmefällen kann es passieren, dass eine solche IP-Adresse auf dem Host des Clients bereits in Benutzung ist. Geben Sie in diesem Fall eine passende IP-Adresse in das Feld Statische Peer-IP ein, welche daraufhin dem Client während des Tunnelaufbaus zugewiesen wird.
Lokale Netzwerke: Wählen Sie eines oder mehrere lokale Netzwerke aus, die für den Fernzugriff zugelassen sein sollen bzw. fügen Sie es/sie hinzu. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.
Entfernte Netzwerke: Wählen Sie eines oder mehrere Netzwerke der Gegenstelle aus, die sich mit dem/den lokalen Netzwerk(en) verbinden dürfen, bzw. fügen Sie es/sie hinzu.
Hinweis – Sie können die lokalen Netzwerke und die entfernten Netzwerke auch später noch konfigurieren, ohne dass Sie den Client neu konfigurieren müssten.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, gewährt die UTM automatisch Zugriff auf die gewählten lokalen Netzwerke für alle SSL-VPN-Clients.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
-
Klicken Sie auf Speichern.
Die neue SSL-Serververbindung wird in der Liste Verbindungen angezeigt.
-
Laden Sie die Konfigurationsdatei herunter.
Klicken Sie auf die Schaltfläche Download, die sich im Feld der neuen SSL-Serververbindung befindet, um die Client-Konfigurationsdatei für diese Verbindung herunterzuladen.
Konfigurationsdatei verschlüsseln (optional): Es wird empfohlen, die Konfigurationsdatei aus Sicherheitsgründen zu verschlüsseln. Geben Sie ein Kennwort zweimal ein.
Klicken Sie auf Peer-Konfig. herunterladen, um die Datei zu speichern.
Diese Datei wird vom Administrator der Client-Seite benötigt, um in der Lage zu sein, den Client-Endpunkt des Tunnels zu konfigurieren.
Der nächste Schritt ist die Client-Konfiguration, die Client-seitig und nicht Server-seitig erfolgen muss. Stellen Sie sicher, dass die Client-Konfigurationsdatei bereitliegt.
Um eine Client-Konfiguration anzulegen, gehen Sie folgendermaßen vor:
-
Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.
Das Dialogfeld SSL-Verbindung hinzufügen wird geöffnet.
-
Nehmen Sie die folgenden Einstellungen vor:
Verbindungstyp: Wählen Sie Client aus der Auswahlliste aus.
Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.
Konfigurationsdatei: Klicken Sie auf das Ordnersymbol, wechseln Sie zur Client-Konfigurationsdatei und klicken Sie auf Hochladen starten.
Kennwort (optional): Wenn die Datei verschlüsselt ist, geben Sie das Kennwort ein.
HTTP-Proxy-Server verwenden (optional): Wählen Sie diese Option, wenn sich der Client hinter einem Proxy befindet, und geben Sie die Einstellungen für den Proxy ein.
Proxy erfordert Authentifizierung (optional): Wählen Sie diese Option, wenn sich der Client am Proxy authentifizieren muss, und geben Sie Benutzername und Kennwort ein.
Peer-Hostnamen übergehen (optional): Wählen Sie diese Option und geben Sie einen Hostnamen ein, wenn der reguläre Hostname des Serversystems (oder sein DynDNS-Hostname) nicht vom Clienthost aufgelöst werden kann.
Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, lässt die UTMautomatisch Verkehr zwischen Hosts der zum Tunnel gehörenden lokalen und entfernten Netzwerke zu.
Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.
-
Klicken Sie auf Speichern.
Die neue SSL-VPN-Clientverbindung wird in der Liste Verbindungen angezeigt.
Um eine Client-Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.
Klicken Sie auf den Menüpunkt Site-to-Site-VPN, um den Status der SSL-VPN-Verbindung auf der Übersichtsseite zu sehen. Die Statusampel dort wird grün, wenn die Verbindung aufgebaut ist. Dann werden auch Informationen zu den miteinander verbundenen Subnetzen beider Seiten des Tunnels angezeigt.