Erstellen einer SSL-VPN Verbindung in einer Lancom Unified Firewall
Als Erstes werden alle benötigten Zertifikate erstellt.
Dazu wird im linken Auswahlmenü auf „Zertifikatsverwaltung“, dann auf „Zertifikate“ geklickt. Mit dem „+“ werden neue Zertifikate angelegt.
Daraufhin öffnet sich ein neues Fenster und es können die geforderten Daten eingetragen werden.
Als „Zertifikatstyp“ wird ein „CA für VPN“ gewählt (der Name sollte eindeutig sein, weil das Zertifikat für alle weiteren VPNs benötigt wird). Rechts bei „Gültigkeit“ das Ablaufdatum des Zertifikats eintragen.
Rechts ein „Privat-Key-Passwort“ vergeben (das Passwort wird später für die VPN-Zertifikate benötigt)
Unten einen eindeutigen „CN“ vergeben.
Nun die gleichen Schritte für das Zertifikat für die SSL-Verbindung durchführen.
Mit dem Unterschied, dass es „Zertifikatstyp“ ein „VPN-Zertifikat“ sein muss und als „Signierende-CA“ das im vorigen Schritt erstellte Zertifikat ausgewählt werden muss.
Ablaufdatum unter „Gültigkeit“ setzten.
Bei „CA-Passwort“ kommt das Passwort von dem CA-Zertifikat hinein.
Darunter bei „Privat-Key-Passwort“ das Passwort für dieses VPN-Zertifikat eintragen.
„CN“ ist wieder frei wählbar, sollte aber auch eindeutig sein zwecks der Zuordnung.
Nun nochmals die gleichen Schritte für das VPN-User-Zertifikat durchmachen.
Dieses Zertifikat muss für jeden VPN-User Einzel angelegt werden.
„Zertifikatstyp“ und „Signierende CA“ ist identisch wie beim SSL-Zertifikat davor.
„Gültigkeit“ bestimmen und „CA-Passwort“ eintragen.
Das „Private-Key-Passwort“ vergeben. Das Passwort für das Client Zertifikat, wird später für den Export benötigt.
Und bei „CN“ einen eindeutigen Zertifikatsnamen für den User eintragen.
Mit min. 3 erstellten Zertifikaten kann es nun weiter gehen. In der Übersicht auf „VPN“ dann auf „VPN-SSL“ und schließlich „VPN-SSL-Einstellungen“ klicken.
Im neuen Fenster die SSL Verbindung mit dem Schalten oben links aktivieren.
Bei „DNS“, wenn vorhanden, einen DC eintragen. Die restlichen Einstellungen müssen nicht verändert werden.
Und auf „Speichern“ klicken.
Jetzt auf „Verbindungen“ klicken und mit dem „+“ eine neue Verbindung anlegen.
Ein neues Fenster öffnet sich, mit den spezifizierten Einstellungen der VPN Verbindung.
Bei „Name“ wird die Bezeichnung für diese VPN Verbindung angegeben (am besten für die Übersicht auch den VPN-Benutzer dafür wählen)
Darunter beim „Zertifikat“ wird das vorhin erstellte User Zertifikat ausgewählt.
„Verbindungstyp“ ist in diesem Fall „Client-To-Site“.
Mit „Standard-Gateway setzten“ wird dem Client bei hergestellter VPN-Verbindung Interzugriff gewährt.
Bei „Client-IP“ kann dem Client eine fest IP zugewiesen werden.
Zum Abschluss auf „Erstellen“ klicken.
Jetzt erscheint die VPN-Verbindung auch in der Übersicht.
Mit dem Doppelpfeil oben mittig kann das Fenster erweitert werden.
Zum Exportieren des OPENVPN-Files klicken wir auf den kleinen schwarzen Pfeil rechts neben der VPN-Verbindung.
Es öffnet sich dieses Fenster. Bei „Type“ OVPN auswählen, beim „Host“ wird meistens schon die externe oder externen IPs vorgeschlagen, die benötigte IP anklicken und mit dem „+“ hinzufügen.
Das „Schlüssel-Passwort“ ist das Passwort vom VPN-Benutzer Zertifikat.
Das „Transport Password“ ist das Passwort zum Herstellen der VPN-Verbindung.
Zum Schluss auf „Exportieren“ klicken, damit ist das Template fertig gestellt.
Nun geht es noch um die Berechtigung im Netzwerk, bei hergestellter VPN Verbindung.
Dafür legen wir einen VPN-Host an. Dazu oben auf „VPN-Host“ klicken.
Im neuen Fenster können „Name“, „Farbe“ des VPN-Hosts sowie die jeweilige „VPN-SSL-Verbindung“ (Verbinding, Schreibfehler in der Oberfläche) gewählt werden. Zum Abschluss auf „Erstellen“ klicken.
Der Host ist nun erstellt und taucht in der Übersicht auf. Zum Übernehmen der neuen Einstellungen oben auf „Aktivieren“ klicken.
Jetzt wird auf den neu erstellten Host in der Übersicht geklickt und eine Verbindung zu einer Ethernet Schnittstelle geschaffen. Host anklicken, auf die Netzwerkverbindung klicken und Ziel wählen, in diesem Fall eth1.
Im nun geöffneten Fenster können die Ports bzw. Protokolle für den VPN-Verkehr freigeschalten werden.
Mit Klick auf „Erstellen“ abschließen. Diese Verbindung taucht, wie alle anderen auch, in der „Desktop-Verbindungen“ Übersicht auf.
Danach wieder oben auf „Aktivieren“ klicken, damit die Änderungen auch übernommen werden.
Jetzt kann das Template in den OPENVPN Client importiert und mit dem Passwort eine Verbindung hergestellt werden.
