Konfiguration eines IPSec-VPN-Tunnels zu einer anderen Gibraltar. Es werden zwei Standorte über das Internet mit einem VPN-Tunnel verbunden. Weiters wird es Aussendienstmitarbeitern ermöglicht, sich über PPTP gesichert ins interne Firmennetzwerk einzuwählen. Die Benutzerverwaltung erfolgt über den lokalen Gibraltar LDAP Server.

Systemvoraussetzungen
PC mit zwei kompatiblen Netzwerkkarten oder Gibraltar Security Gateway. Breitband-Internet mit fixer öffentlicher IP-Adresse (z.B. XDSL)
Installation von Gibraltar
Installieren sie Gibraltar wie im Kapitel Installation beschrieben.
Systemeinstellungen
Systemeinstellungen wie in Szenario 1
Netzwerkeinstellungen - Interfaces
Netzwerk- sowie Routingeinstellungen wie in Szenario 2
ACHTUNG: Durch das Verändern der IP-Adresse auf der Netzwerkkarte, über die Sie auf Gibraltar zugreifen, wird die Verbindung unterbrochen und Sie müssen für Ihren Arbeitsplatzrechner ebenfalls die IP-Adresse anpassen.
Standardroute festlegen
1. | Wählen Sie die Registerkarte Routing. |
2. | Standardroute: Geben Sie in dieses Feld die vom Provider vorgegebene Standardroute ein. An diese Adresse werden alle Pakete weitergeleitet, die nicht zur Weiterleitung an andere Netze bestimmt sind. |
3. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Firewallregeln
Firewallregeln wie in Szenario 2
NAT - Regeln
NAT-Regeln wie in Szenario 2
Verbindung eines Remote-Computers mit dem internen Netzwerk via PPTP
1. | Wählen Sie im Hauptmenü den Punkt VPN. |
2. | Wählen Sie den Untermenüpunkt PPTP. |
3. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
4. | Lokale IP (mit Netzwerkmaske): Geben Sie hier die IP-Adresse ein, mit der der Remote Computer mit dem internen Netzwerk Verbindung aufnimmt. Diese IP-Adresse muss also aus dem Bereich des internen Netzwerkes kommen (z.B. 192.168.1.100/24). Geben Sie unbedingt auch die Netzwerkmaske an. |
5. | Remote IP von: Geben Sie hier die erste IP-Adresse eines IP-Adressbereichs ein. Aus diesem Adressbereich bekommt ein Remote Computer eine IP-Adresse zugewiesen (z.B. 192.168.1.211). |
6. | Remote IP bis: Geben Sie hier die letzte IP-Adresse eines IP-Adressbereichs ein. Aus diesem Adressbereich bekommt ein Remote Computer eine IP-Adresse zugewiesen (z.B. 192.168.1.220). Durch die Einstellung des Bereiches von 192.168.1.211-192.168.1.220 können 10 IP-Adressen für Remote Computer vergeben werden. |
7. | Domäne: Geben Sie die Domäne ein, der der Remote Computer angehören soll. |
8. | DNS Server: Geben Sie die IP des DNS Server an, den die Remote Computer erhalten sollen. |
9. | WINS Server: Geben Sie die IP des WINS Server an, den die Remote Computer erhalten sollen. (optional) |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
PPTP-Remote Benutzer
1. | Wählen Sie den Menüpunkt Benutzer. |
2. | Sie werden automatisch zur Registerkarte LDAP Einstellungen weitergeleitet. |
3. | Wählen Sie den Wert "local OpenLDAP" und starten Sie gleich darauf den LDAP-Dienst in der selben Maske. |
4. | Wechseln Sie zur Registerkarte Benutzer. |
5. | Fügen Sie einen Benutzer mit gewünschtem Benutzernamen und Passwort hinzu und aktivieren Sie das Kontrollkästchen VPN. |
6. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Filterregeln für PPTP Zugang einrichten
1. | Wählen Sie im Hauptmenü den Punkt Firewall. |
2. | Wählen Sie die Registerkarte Firewallregeln. |
3. | Eingehend: Wählen Sie als eingehendes Interface "ext0". |
4. | Ausgehend: Wählen Sie als ausgehendes Interface "local". |
5. | Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete von "ext0" nach "local" anzuzeigen. |
6. | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. |
7. | Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben. |
8. | Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben. |
9. | Service: Wählen Sie den Eintrag "pptp". |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Um dem Remote Benutzer auch Zugriff auf das Netz hinter der Firewall zu geben, müssen Sie zusätzliche Filterregeln für den PPTP Zugang definieren. Diese Regeln müssen den Datenverkehr vom PPTP Zugang ins interne Netz weiterleiten (FORWARD-Regeln).
1. | Wählen Sie die Registerkarte Firewallregeln. |
2. | Eingehend: Wählen Sie als eingehendes Interface "ppp+". |
3. | Ausgehend: Wählen Sie als ausgehendes Interface "int0". |
4. | Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete von "ppp+" nach "int0" anzuzeigen. |
5. | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. |
6. | Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben. |
7. | Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben. |
8. | Service: Wählen Sie den Eintrag "ANY". |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Starten des PPTP-Server Dienstes
1. | Wählen Sie im Hauptmenü den Punkt Dienste. |
2. | Verfügbare Dienste: Markieren Sie in dieser Elementgruppe beim Eintrag PPTP die Option Ein. Dadurch wird bei einem Neustart der PPTP Server wieder automatisch gestartet. |
3. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
4. | Dienst starten : Betätigen Sie diese Schaltfläche beim Eintrag PPTP, wenn der PPTP Server nicht gestartet ist. Dadurch wird der Dienst gestartet. Der Status verändert sich auf (gestartet) und die Schaltfläche zu Dienst stoppen . |
Somit ist der Zugang via PPTP eingerichtet und der Remote Benutzer kann sich mit seinen Anmeldedaten am internen Netzwerk anmelden.
Für die Einrichtung des IPSec Tunnels verwenden wir zwei Gibraltar Firewalls: "gibraltar1" und "gibraltar2".
Starten des IPSec Dienstes
1. | Wählen Sie im Hauptmenü den Punkt Dienste. |
2. | Verfügbare Dienste: Markieren Sie in dieser Elementgruppe beim Eintrag IPSec die Option Ein. Dadurch wird bei einem Neustart der IPSec Dienst wieder automatisch gestartet. |
3. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
4. | Dienst starten : Betätigen Sie diese Schaltfläche beim Eintrag IPSec, wenn der IPSec Dienst nicht gestartet ist. Dadurch wird der Dienst gestartet. Der Status verändert sich auf (gestartet) und die Schaltfläche zu Dienst stoppen . |
IPSec
1. | Wählen Sie im Hauptmenü den Punkt IPSec. |
2. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
3. | Für IPSec aktivieren: Markieren Sie die Kontrollkästchen jener Netzwerkkarten, auf denen Sie IPSec aktivieren wollen (z.B. "ext0"). |
4. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Zertifikat downloaden
Um das Zertifikat bei der Gegenstelle bekannt zu geben, müssen Sie es downloaden und bei der Gegenstelle wieder hochladen. Wir verwenden hierfür wiederum die zwei Gibraltar Firewalls "gibraltar1" und "gibraltar2".
1. | Wählen Sie im Hauptmenü der Firewall "gibraltar1" den Punkt VPN. |
2. | Wählen Sie den Untermenüpunkt IPSec. |
3. | Wählen Sie die Registerkarte Zertifikate. |
4. | Host Zertifikate: In dieser Elementgruppe werden die selbst erstellten Zertifikate und die hochgeladenen Zertifikate der Gegenstellen angezeigt. |
5. | Zertifikat downloaden : Betätigen Sie diese Schaltfläche, um das Zertifikat ("gibraltar.pem") herunterzuladen. Sie müssen einen Speicherort angeben. Benennen Sie dieses Zertifikat um, damit Sie es als Zertifikat dieser Firewall später eindeutig identifizieren können (z.B. "gibraltar1Cert.pem"). Laden Sie dieses Zertifikat anschließend bei der Gegenstelle wieder hoch. |
6. | Wechseln Sie zur anderen Firewall "gibraltar2", melden Sie sich an und laden Sie das Zertifikat mit dem Namen "gibraltar1Cert" in die Elementgruppe Host Zertifikate hoch. |
7. | Laden Sie von der Firewall "gibraltar2" das Zertifikat "gibraltar.pem" herunter und laden es auf der Firewall "gibraltar1" in der Elementgruppe Host Zertifikate hoch, nachdem Sie es umbenannt haben (z.B. "gibraltar2Cert"). |
Damit besitzt nun jede Firewall das Zertifikat der Gegenstelle und es kann mit der Konfiguration der Tunnel begonnen werden.
IPSec Tunnel einrichten
1. | Wählen Sie im Hauptmenü der Firewall "gibraltar1" den Punkt VPN. |
2. | Wählen Sie den Untermenüpunkt IPSec. |
3. | Wählen Sie die Registerkarte Tunnel. |
4. | Tunnel hinzufügen: Betätigen Sie diese Schaltfläche, um einen Tunnel hinzuzufügen. |
5. | Bezeichnung: Geben Sie eine Bezeichnung für den Tunnel ein (z.B. "gib1Tunnel"). |
6. | Status nach Start: Wählen Sie hier, welchen Status der Tunnel nach einem Neustart des IPSec Dienstes annehmen soll (z.B. "(standby)"). |
7. | Lokale IP: Wählen Sie die IP-Adresse von "gibraltar1", über die der Tunnel erstellt wird. Beachten Sie, dass Sie hier nur IP-Adressen von Netzwerkkarten wählen können, die Sie in der Registerkarte Allgemeine Einstellungen für IPSec aktiviert haben. Sind Sie im Begriff zwei Standorte miteinander zu vernetzen, so werden Sie hier die offizielle IP-Adresse wählen. |
8. | Lokales Subnetz: Geben Sie hier das lokale Subnetz an, wenn Sie es durch den Tunnel erreichbar machen wollen. |
9. | Lokales Zertifikat: Wählen Sie hier das Zertifikat aus, das Sie zuerst erstellt haben ("gibraltar1Cert"). |
10. | IP Gegenstelle: Geben Sie hier die IP-Adresse der Gegenstelle ein (Die offizielle IP-Adresse von "gibraltar2"). |
11. | Subnetz Gegenstelle: Geben Sie hier das Subnetz der Gegenstelle ein, wenn Sie es über den Tunnel erreichbar machen wollen. |
12. | Autorisierung: Wählen Sie die Autorisierungsvariante aus (in diesem Fall X.509). Wählen Sie aus dem Auswahlfeld das Zertifikat der Gegenstelle aus ("gibraltar2Cert"). |
13. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. Sie werden in die Übersicht weitergeleitet. |
14. | Wechseln Sie zur Firewall "gibraltar2" und erstellen Sie einen Tunnel "gib2Tunnel", der als Endpunkt die IP Adresse der Firewall "gibraltar1" hat. |
IPSec Tunnel starten/stoppen
1. | IPSec Tunnel starten : Betätigen Sie diese Schaltfläche, um den Tunnel zu starten, wenn der aktuelle Status (deaktiviert) oder (standby) ist. |
2. | IPSec Tunnel aktivieren (Standby Modus) : Betätigen Sie diese Schaltfläche, um den Tunnel in den Standby Modus zu versetzen, wenn der aktuelle Status (deaktiviert) ist. |
3. | IPSec Tunnel stoppen (Standby Modus) : Betätigen Sie diese Schaltfläche, um den Tunnel in den Standby Modus zu versetzen, wenn der aktuelle Status (gestartet) ist. |
4. | IPSec Tunnel deaktivieren : Betätigen Sie diese Schaltfläche, um den Tunnel zu deaktivieren, wenn der aktuelle Status (standby) oder (gestartet) ist. |
Filterregeln für IPSec Tunnel einrichten
Um dem Remote Benutzer auch Zugriff auf das Netz hinter der Firewall zu geben, müssen Sie zusätzliche Filterregeln für den IPSec Tunnel definieren. Diese Regeln müssen den Datenverkehr vom IPSec Tunnel ins interne Netz weiterleiten (FORWARD-Regeln).
1. | Wählen Sie im Hauptmenü den Punkt Firewall. |
2. | Wählen Sie die Registerkarte Firewallregeln. |
3. | Eingehend: Wählen Sie als eingehendes Interface "ipsec0". |
4. | Ausgehend: Wählen Sie als ausgehendes Interface "int0". |
5. | Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete von "ipsec0" nach "int0" anzuzeigen. |
6. | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. |
7. | Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben. |
8. | Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben. |
9. | Service: Wählen Sie den Eintrag "ANY". |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
11. | Eingehend: Wählen Sie als eingehendes Interface "int0". |
12. | Ausgehend: Wählen Sie als ausgehendes Interface "ipsec0". |
13. | Go!: Betätigen Sie diese Schaltfläche, um die Filterregeln für Pakete von "int0" nach "ipsec0" anzuzeigen. |
14. | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine Filterregel hinzuzufügen. |
15. | Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben. |
16. | Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben. |
17. | Service: Wählen Sie den Eintrag "ANY". |
18. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Damit sind die Einstellungen vollkommen und Ihre VPN Tunnels eingerichtet. Durch das Speichern der Konfiguration können Sie jederzeit den jetzigen Stand wiederherstellen, indem Sie die den USB Stick in den Computer geben und Gibraltar neu booten.
|