Verbindungen

Auf der Registerkarte IPsec > Verbindungen können Sie IPsecClosed-Verbindungen anlegen und bearbeiten.

Um eine IPsec-Verbindung zu erstellen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Verbindungen auf Neue IPsec-Fernzugriffsregel.

    Das Dialogfeld IPsec-Fernzugriffsregel hinzufügen wird geöffnet.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für diese Verbindung ein.

    Schnittstelle: Wählen Sie den Namen der Schnittstelle aus, die als lokaler Endpunkt für den IPsec-Tunnel dienen soll.

    Lokale Netzwerke: Wählen Sie die lokalen Netzwerke aus, die über den VPN-Tunnel erreichbar sein sollen, oder fügen Sie sie hinzu. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Virtueller IP-Pool: Dies ist der IP-Adressenpool, aus dem die Clients eine IP-Adresse erhalten, falls sie keine statische IP-Adresse haben. Der Standardpool ist VPN Pool (IPsec), der den privaten IP-Bereich 10.242.4.0/24 umfasst. Sie können jedoch auch einen anderen IP-Adressenpool auswählen. Beachten Sie, dass die Netzwerkmaske auf ein Minimum von 16 beschränkt ist. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Richtlinie: Wählen Sie die IPsec-Richtlinie für diese IPsec-Verbindung aus. IPsec-Richtlinien können auf der Registerkarte Fernzugriff > IPsec > Richtlinien definiert werden.

    Authentifizierungsmethode: Wählen Sie die Authentifizierungsmethode für diese Definition des entfernten Gateways aus. Die folgenden Typen sind verfügbar:

    • Verteilter Schlüssel: Authentifizierung mit Verteilten Schlüsseln (PSK, engl. Preshared Keys) verwendet geheime Kennwörter als Schlüssel. Diese Kennwörter müssen an die Endpunkte verteilt werden, bevor eine Verbindung aufgebaut wird. Wenn ein neuer VPNClosed-Tunnel aufgebaut ist, überprüft jede Seite, ob die andere Seite das geheime Kennwort kennt. Die Sicherheit der PSKs hängt von der Qualität der verwendeten Kennwörter ab: Normale Wörter und Ausdrücke fallen schnell Wörterbuchangriffen zum Opfer. Permanente oder längerfristige IPsec-Verbindungen sollten stattdessen Zertifikate verwenden.

    • X.509-Zertifikat: Das X.509-Zertifikat basiert auf öffentlichen Schlüsseln und privaten Schlüsseln. Ein X.509-Zertifikat enthält den öffentlichen Schlüssel zusammen mit zusätzlichen Informationen über den Besitzer des Schlüssels. Solche Zertifikate sind von einer CA (Zertifizierungsstelle, engl. Certificate Authority) signiert und ausgestellt, der der Besitzer vertraut. Wenn Sie diese Authentifizierungsmethode wählen, geben Sie die Benutzer an, die diese IPsec-Verbindung benutzen dürfen. Wenn Sie die Option Automatische Firewallregeln nicht auswählen, müssen Sie entsprechende Firewallregeln manuell im Menü Network Protection anlegen.

      Hinweis – Auf das Benutzerportal kann nur von Benutzern zugegriffen werden, die im Feld Zugelassene Benutzer ausgewählt sind und für die eine Benutzerdefinition auf der UTM existiert. Autorisierte Benutzer, die sich erfolgreich am Benutzerportal angemeldet haben, finden den IPsec Client (SIC), dessen Konfigurationsdatei, die KCS#12-Datei sowie einen Link zur Installationsanleitung vor, die in der Knowledgebase zur Verfügung steht.SophosSophos

    • CA-DN-Vergleich: Bei dieser Authentifizierungsmethode (engl. CA DN Match) wird ein Vergleich des Distinguished Name (DN) der CA-Zertifikate gemacht, um die Schlüssel der VPN-Endpoints zu verifizieren. Wenn Sie diese Authentifizierungsmethode wählen, wählen Sie eine CA und eine DN-Maske, die zu den DNs der Fernzugriff-Clients passt. Wählen Sie danach einen Peer-Subnetzbereich aus oder fügen Sie einen hinzu. Clients ist es nur gestattet sich zu verbinden, wenn die DN-Maske zu derjenigen in ihrem Zertifikat passt.

    XAUTH aktivieren (optional): XAUTH, erweiterte Authentifizierung (engl. extended authentication), sollte aktiviert werden, um von Benutzern eine Authentifizierung gegen konfigurierte Backends zu verlangen.

    Automatische Firewallregeln (optional): Diese Funktion steht nur bei der Authentifizierungsmethode X.509-Zertifikat zur Verfügung. Wählen Sie diese Option, um automatisch Firewallregeln hinzuzufügen, die Datenverkehr für diese Verbindung zulassen. Die Regeln werden hinzugefügt, sobald die Verbindung aktiviert wird und sie werden entfernt, wenn die Verbindung deaktiviert wird.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Klicken Sie auf Speichern.

    Die neue Fernzugriffsregel wird in der Liste Verbindungen angezeigt.

Um eine Fernzugriffsregel zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.