Moin,
Ich bin gerade das erste mal dabei eine Open-VPN-Verbindung unter Realbedingungen einzurichten.
ich habe die Roadwarrioreinrichtung lt.Guide vorgenommen, dieser sollte mal überarbeitet werden mit weiteren erleuterungen und Abbildungen.
Folgende Fragen beleiben für mich noch offen:
Ist es so, das ich für jeden Roadwarrior (Mitarbeiter) unter "VPN"->"SSL-VPN"-> "SSL-Verbindungen"->"+ Roadwarrior-Server" einen 'Server' anlegen muss?
Dann sollte ich für Jede 'Verbindung/Server' eine Regel erstellen: Internet -> external-interface -> Port 1195...n (soll da noch was genattet werden oder sonstiges) Lt. Log landen die Clients bei mir inner auf 1194... unter "Implizite Regeln" -> "VPN" ist der Haken "SSL VPN UDP" gesetzt.
Wenn ich mit dem Portable Client eine Verbindung herstelle, bekomme ich auf dem betreffenden Netzwerkinterface kein Gateway, sprich auch keine Verbindung in das Firmennetz, erst nach setzen einer Route - soll das so sein? kenne ich von anderen VPN-Lösungen anders. Habe ich da eine einstellung übersehen oder muss/kann ich das am Client sep. konfigurieren?
VPN-Roadwarrior Route/Gateway
Moderator: Securepoint
Hallo,
nein Sie brauchen nur einen SSL-VPN Roadwarrior Server für alle Benutzer. Der SSl-VPN Server vergibt von alleine eine IP aus seinem Netz an die Clients.
Die Regel mit den Zugriffen auf das externe Interface brauchen Sie nicht machen. Dies läuft seit der 11.4.1 über die impliziten Regeln ist auch im Changelog aufgeführt.
Den Portable Client müssen sie immer "als Administrator" ausführen. Da bei der Herstellung die TAP Treiber geladen werden. Dies schlägt ab Windows Vista und aufwärts fehl.
Gruß Björn
nein Sie brauchen nur einen SSL-VPN Roadwarrior Server für alle Benutzer. Der SSl-VPN Server vergibt von alleine eine IP aus seinem Netz an die Clients.
Die Regel mit den Zugriffen auf das externe Interface brauchen Sie nicht machen. Dies läuft seit der 11.4.1 über die impliziten Regeln ist auch im Changelog aufgeführt.
Den Portable Client müssen sie immer "als Administrator" ausführen. Da bei der Herstellung die TAP Treiber geladen werden. Dies schlägt ab Windows Vista und aufwärts fehl.
Gruß Björn
OK, vielen Dank schonmal.
Also gehe ich wie folgt vor:
Zertifikat f. CA erstellen
Daraus dann das ServerZertifikat
dann die Zertifikate für jeden Client
Dann unter SSL-VPN Verbindungen "+ Roadwarrior-Server"
Geb dem einen Namen "RoadwarriorServer1" geb dem ding einen IP-Pool und teile mit welche Subnetze übermittelt werden sollen.
Implizite Regel "SSL VPN UDP" ist aktiv
Netzwerkopjekt "SSL-Roadwarriors" erstellen
Regel erstellen "SSL-Roadwarriors -> Ressource -> Dienstgruppe"
Benutzergruppe "SSL" erstellen -> SSL-VPN,
SSL-VPN Verbindung: "RoadwarriorServer1"
Client-Zertifikat: "welches nehme ich da?" - OK, neheme ich einfach mal das erstbeste und frage mich was mit der Gruppe passiert wenn ich das mal
zurückziehe...
Remotegateway = die externe feste IP
Benutzer Anlegen
Gruppe=SSL
VPN -> "SSL-VPN IP-Adresse" vergebe ich jedem User eine Feste IP/32 aus dem IP-Pool vom Roadwarrior-Server.
Den Portable Client lade ich herunter und führe ihn als Administrator aus, Verbindung wird hergestellt aber unter IPconfig steht bei dem Gateway nichts.
entsprechend komme ich auch nicht ins Netz/auf die Ressource.
Muss ich da ne Route setzen oder wie ist das vorgehen?
Müsste / könnte ich für die einzelnen Benutzer Netzwerkobjekte anlegen und diese entsprechend in Regeln verbasteln damit die User auf Unterschiedliche Ressourcen zugreifen können? Oder wie ist da das genaue vorgehen?
Also gehe ich wie folgt vor:
Zertifikat f. CA erstellen
Daraus dann das ServerZertifikat
dann die Zertifikate für jeden Client
Dann unter SSL-VPN Verbindungen "+ Roadwarrior-Server"
Geb dem einen Namen "RoadwarriorServer1" geb dem ding einen IP-Pool und teile mit welche Subnetze übermittelt werden sollen.
Implizite Regel "SSL VPN UDP" ist aktiv
Netzwerkopjekt "SSL-Roadwarriors" erstellen
Regel erstellen "SSL-Roadwarriors -> Ressource -> Dienstgruppe"
Benutzergruppe "SSL" erstellen -> SSL-VPN,
SSL-VPN Verbindung: "RoadwarriorServer1"
Client-Zertifikat: "welches nehme ich da?" - OK, neheme ich einfach mal das erstbeste und frage mich was mit der Gruppe passiert wenn ich das mal
zurückziehe...
Remotegateway = die externe feste IP
Benutzer Anlegen
Gruppe=SSL
VPN -> "SSL-VPN IP-Adresse" vergebe ich jedem User eine Feste IP/32 aus dem IP-Pool vom Roadwarrior-Server.
Den Portable Client lade ich herunter und führe ihn als Administrator aus, Verbindung wird hergestellt aber unter IPconfig steht bei dem Gateway nichts.
entsprechend komme ich auch nicht ins Netz/auf die Ressource.
Muss ich da ne Route setzen oder wie ist das vorgehen?
Müsste / könnte ich für die einzelnen Benutzer Netzwerkobjekte anlegen und diese entsprechend in Regeln verbasteln damit die User auf Unterschiedliche Ressourcen zugreifen können? Oder wie ist da das genaue vorgehen?
das mit dem Gateway war natürlich Quatsch, ich hab mir mal die Routen angesehen die der OpenVPN-Client anlegt und gesehen das ich mich beim Benutzer unter SSL-VPN IP-Adresse vertippt habe.Olaf E hat geschrieben: Den Portable Client lade ich herunter und führe ihn als Administrator aus, Verbindung wird hergestellt aber unter IPconfig steht bei dem Gateway nichts.
entsprechend komme ich auch nicht ins Netz/auf die Ressource.
Muss ich da ne Route setzen oder wie ist das vorgehen?
Nun klappt das.
Für weitere User die auf andere Ressourcen zugreifen sollen muss ich vermutlich einen weiteren VPN-Server anlegen oder? Nutzt der dann auch Port 1194 oder muss ich für den eine Regel für Port 1195 anlegen?
Hallo,
für die Benutzergruppe brauchen Sie kein Zertifikat separat auswählen. Das kommt eigentlich nur zum tragen wenn man das ganze mit an das AD bindet
Man braucht für weitere Benutzer keine eigen SSL-VPN Server. Sie können den neuen Benutzern den vorhanden Server zuweisen mit einem eigenen Zertifikat. Jetzt gibt es mehrere Möglichkeiten wie man weiter macht.
1. alle sollen die gleichen Berechtigungen haben
=> Dann brauchen Sie dem Benutzer keine IP zuweisen und das Netzwerkobjekt für den VPN Zugriff greift nicht auf die einzelne IP sondern auf das Netz
2. Jeder soll unterschiedliche Berechtigungen bekommen
=> Weisen jedem Benutzer unter Benutzer -> VPN eine eigene IP zu. Legen dann Netzwerkobjekte mit vpn-host an und beziehen Sich auf die betroffene IP
3. alle sollen Zugriff auf das interne Netz haben aber einer soll zusätzlich auf die Firewall zugreifen oder mit mehreren Diensten arbeiten dürfen
=> dem betroffenen Benutzer eine feste IP zuweisen. Dann 2 Netzwerkobjekte einmal mit der Maske /24 für das ganze Netz und ein Netzwerkobjekt mit der bestimmten IP. Eine Regel für das ganze Netz und eine separate Regel für den einzelnen Client.
Gruß Björn
Achja wenn die Version 11.4.1 und höher ist reichen die impliziten Regeln um die Ports auf die öffentliche IP zu öffnen.
für die Benutzergruppe brauchen Sie kein Zertifikat separat auswählen. Das kommt eigentlich nur zum tragen wenn man das ganze mit an das AD bindet
Man braucht für weitere Benutzer keine eigen SSL-VPN Server. Sie können den neuen Benutzern den vorhanden Server zuweisen mit einem eigenen Zertifikat. Jetzt gibt es mehrere Möglichkeiten wie man weiter macht.
1. alle sollen die gleichen Berechtigungen haben
=> Dann brauchen Sie dem Benutzer keine IP zuweisen und das Netzwerkobjekt für den VPN Zugriff greift nicht auf die einzelne IP sondern auf das Netz
2. Jeder soll unterschiedliche Berechtigungen bekommen
=> Weisen jedem Benutzer unter Benutzer -> VPN eine eigene IP zu. Legen dann Netzwerkobjekte mit vpn-host an und beziehen Sich auf die betroffene IP
3. alle sollen Zugriff auf das interne Netz haben aber einer soll zusätzlich auf die Firewall zugreifen oder mit mehreren Diensten arbeiten dürfen
=> dem betroffenen Benutzer eine feste IP zuweisen. Dann 2 Netzwerkobjekte einmal mit der Maske /24 für das ganze Netz und ein Netzwerkobjekt mit der bestimmten IP. Eine Regel für das ganze Netz und eine separate Regel für den einzelnen Client.
Gruß Björn
Achja wenn die Version 11.4.1 und höher ist reichen die impliziten Regeln um die Ports auf die öffentliche IP zu öffnen.