Verbindungen

Um einen SSLSecure Sockets Layer-VPNVirtual Private Network -Site-to-Site-Tunnel anzulegen, ist es entscheidend, zuerst die Serverkonfiguration anzulegen. Die Konfiguration des Clients muss immer erst der zweite Schritt sein.

Um eine Serverkonfiguration anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.

   Das Dialogfeld SSL-Verbindung hinzufügen wird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:

   Verbindungstyp: Wählen Sie Server aus der Auswahlliste aus.

   Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.

   Statische virtuelle IP-Adresse verwenden (optional): Wählen Sie diese Option nur, wenn der IP-Adressenpool nicht mit der Netzwerkumgebung des Clients kompatibel ist: Standardmäßig erhalten Clients eine IP-Adresse aus dem Virtuellen IP-Pool (konfigurierbar auf der Registerkarte Einstellungen). In Ausnahmefällen kann es passieren, dass eine solche IP-Adresse auf dem Host des Clients bereits in Benutzung ist. Geben Sie in diesem Fall eine passende IP-Adresse in das Feld Statische Peer-IP ein, welche daraufhin dem Client während des Tunnelaufbaus zugewiesen wird.

   Lokale Netzwerke: Wählen Sie eines oder mehrere lokale Netzwerke aus, die für den Fernzugriff zugelassen sein sollen bzw. fügen Sie es/sie hinzu. Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

   Entfernte Netzwerke: Wählen Sie eines oder mehrere Netzwerke der Gegenstelle aus, die sich mit dem/den lokalen Netzwerk(en) verbinden dürfen, bzw. fügen Sie es/sie hinzu.

   Hinweis – Sie können die lokalen Netzwerke und die entfernten Netzwerke auch später noch konfigurieren, ohne dass Sie den Client neu konfigurieren müssten.

   Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, gewährt die UTM automatisch Zugriff auf die gewählten lokalen Netzwerke für alle SSL-VPN-Clients.

   Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

3. Klicken Sie auf Speichern.

   Die neue SSL-Serververbindung wird in der Liste Verbindungen angezeigt.

4. Laden Sie die Konfigurationsdatei herunter.

   Klicken Sie auf die Schaltfläche Download, die sich im Feld der neuen SSL-Serververbindung befindet, um die Client-Konfigurationsdatei für diese Verbindung herunterzuladen.

   Konfigurationsdatei verschlüsseln (optional): Es wird empfohlen, die Konfigurationsdatei aus Sicherheitsgründen zu verschlüsseln. Geben Sie ein Kennwort zweimal ein.

   Klicken Sie auf Peer-Konfig. herunterladen, um die Datei zu speichern.

   Diese Datei wird vom Administrator der Client-Seite benötigt, um in der Lage zu sein, den Client-Endpunkt des Tunnels zu konfigurieren.

Der nächste Schritt ist die Client-Konfiguration, die Client-seitig und nicht Server-seitig erfolgen muss. Stellen Sie sicher, dass die Client-Konfigurationsdatei bereitliegt.

Um eine Client-Konfiguration anzulegen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf der Registerkarte Verbindungen auf Neue SSL-Verbindung.

   Das Dialogfeld SSL-Verbindung hinzufügen wird geöffnet.

2. Nehmen Sie die folgenden Einstellungen vor:

   Verbindungstyp: Wählen Sie Client aus der Auswahlliste aus.

   Verbindungsname: Geben Sie einen aussagekräftigen Namen für die Verbindung ein.

   Konfigurationsdatei: Klicken Sie auf das Ordnersymbol, wechseln Sie zur Client-Konfigurationsdatei und klicken Sie auf Hochladen starten.

   Kennwort (optional): Wenn die Datei verschlüsselt ist, geben Sie das Kennwort ein.

   HTTP-Proxy-Server verwenden (optional): Wählen Sie diese Option, wenn sich der Client hinter einem Proxy befindet, und geben Sie die Einstellungen für den Proxy ein.

   Proxy erfordert Authentifizierung (optional): Wählen Sie diese Option, wenn sich der Client am Proxy authentifizieren muss, und geben Sie Benutzername und Kennwort ein.

   Peer-Hostnamen übergehen (optional): Wählen Sie diese Option und geben Sie einen Hostnamen ein, wenn der reguläre Hostname des Serversystems (oder sein DynDNS-Hostname) nicht vom Clienthost aufgelöst werden kann.

   Automatische Firewallregeln (optional): Wenn diese Option aktiviert ist, lässt die UTMautomatisch Verkehr zwischen Hosts der zum Tunnel gehörenden lokalen und entfernten Netzwerke zu.

   Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

3. Klicken Sie auf Speichern.

   Die neue SSL-VPN-Clientverbindung wird in der Liste Verbindungen angezeigt.

Um eine Client-Verbindung zu bearbeiten oder zu löschen, klicken Sie auf die entsprechenden Schaltflächen.

Klicken Sie auf den Menüpunkt Site-to-Site-VPN, um den Status der SSL-VPN-Verbindung auf der Übersichtsseite zu sehen. Die Statusampel dort wird grün, wenn die Verbindung aufgebaut ist. Dann werden auch Informationen zu den miteinander verbundenen Subnetzen beider Seiten des Tunnels angezeigt.