Hilfethemen
Hilfethemen
VPN Konfiguration
Veröffentlicht von Johann Klassen am 16 October 2013 19:15

Im UserGate Proxy & Firewall 6 ist ein VPN-Server vorhanden, der die Verbindung Client-Server und Server-Server erlaubt zu erstellen. Dies ist eine leichte und komfortable Möglichkeit eine Zugriff auf lokale Ressourcen des Netzwerks zu erhalten und ebenso eine Verbindung zum Internet auf entfernten Client-PC's über den UserGate Proxy & Firewall zu ermöglichen, bei gleichzeitiger Trafficsteuerung. Die Verbindung vom Client zum Server wird mit Hilfe eines speziellen VPN-Clients ermöglicht, der zum Produkt gehört. Der Proxy erstellt einen speziellen virtuellen Adapter (Entensys VPN Device in den Netzwerkverbindungen) für den Server, über den die Verbindung hergestellt wird. Bei einer Server-Server Verbindung werden am Gateway des UserGate Proxy & Firewall die virtuellen Adapter anhand der Anzahl der verbundenen Hosts erstellt. Alle erstellten Adapter werden den Typ LAN in der Adminkonsole unter Interfaces haben. Es wird nicht empfohlen die virtuellen Adapter manuell zu deaktivieren, oder deren Einstellungen in den Netzwerkeinstellungen des Computers zu ändern, da es zu unvorhersehbaren Fehlern im Betrieb des Servers führen kann.

Achtung! Wichtig!

Für eine korrekte Funktionsweise des VPN-Servers und VPN-Clients müssen im Betriebssystem die folgenden Dienste vorhanden und aktiviert sein:

DNS Client, DHCP Client, Server, Workstation (für die, die eigenhändig die Dienste auf deren Maschinen abschalten, Standardmäßig sind diese aktiviert).

Der UserGate Proxy&Firewall VPN-Server ist nicht kompatibel mit MS VPN (PRAS) oder anderen VPN Lösungen. Beim einrichten auf dem gleichen Computer garantieren wir nicht für die richtige Funktion unseres Produktes.

Um den VPN-Server zu konfigurieren, müssen Sie auf die Seite VPN Einstellungen im Bereich Services in der Adminkonsole übergehen und ihn in den Status „aktiviert“ umstellen.

In diesem Bereich befinden Sich die folgenden Einstellungen:

  • An diese Schnittstelle binden - Auswahl der Schnittstelle, die eingehende Verbindungen annehmen wird. Im Normalfall ist es die WAN-Schnittstelle, jedoch hängt es von der Konfiguration Ihres Netzwerkes ab. Am einfachsten ist es, diese Einstellung Standardmäßig zu lassen – 0.0.0.0 – hört alle Schnittstellen ab.

  • VPN IP-Adresse – dies ist die Adresse des Servers, die Ihrem VPN-Server vergeben wird (und dem jeweiligen Adapter, der erstellt wird). Dieser Parameter legt meistens einen IP-Adressbereich fest, die durch den Server vergeben werden.

    Achtung! Um einen IP-Adressenkonflikt und eine unkorrekte Arbeitsweise zu umgehen, wird nicht empfohlen die gleiche IP-Adresse des Servers mit einer anderen beliebigen Schnittstelle auf dem UserGate oder anderen Server, mit dem eine Server-Server-Verbindung hergestellt werden kann, zuzuweisen.

    Am besten ist es, die Standardadresse 172.16.10.1 stehen zu lassen, oder Veränderungen an den letzten beiden Zahlenblöcken vorzunehmen (z.B. 172.16.100.1).

  • Port – Dies ist die Konfiguration des Ports, durch den die Verbindung vorgenommen wird. Standardmäßig ist es Port 5455. Wenn dieser auf Ihrem Server nicht verwendet wird, dann sollte er nicht verändert werden.

  • VPN Subnetz – Dieser Parameter wird auf die Netzmaske der Verbindung Einflussnehmen. Standardmäßig ist 255.255.255.0 (/24) hinterlegt. Dies ist der zweite Parameter, der auf den Adressbereich Einfluss nimmt, der an die Clients vergeben wird.

    Achtung! Es wird nicht empfohlen eine nicht existierende Maske einzustellen, da dies zu unerwarteten Fehlern und fehlerhafter Funktion führen kann.

  • IP-Bereich für Clients – Dieser Parameter wird sich selbst einstellen, aufgrund der Parameter Serveradresse und Subnetmask. Sie können Ihn auf manuell selbst konfigurieren, indem Sie die Subnetmask ändern.

  • Standard-Gateway verwenden – Diese Einstellung wird nur an die VPN-Clients weitergegeben. Dieser Parameter legt fest, ob der UserGate als Standard-Internet-Gateway für die VPN-Clients verwendet wird oder nicht. Standardmäßig ist „verwenden“ aktiviert. Diese Option hat keinen Sinn, wenn in den Firewall-Einstellungen keine NAT-Regel (Quelle – LAN VPN, Ziel – WAN, Services – ANY:FULL (oder die, zu denen Sie den Zugriff gewähren möchten)) eingerichtet ist. Wählen Sie eine Gruppe oder User aus, auf die die Regel angewendet werden soll. Es wird empfohlen für VPN-User eine eigene Gruppe zu erstellen, auf die NAT und Firewall Regeln leicht angewendet werden können. Die Konfiguration der Firewall wird sich etwas erschweren, durch hinzufügen von noch zwei weiteren Firewall-Regeln, wenn Sie die Regel NON_USER in den Status verweigern gestellt haben. Dann ist es notwendig, zwei Regeln hinzuzufügen: Quelle – LAN VPN, Ziel – Alle, Services – ANY:FULL (oder die, zu denen Sie den Zugriff gewähren möchten), Aktion – Erlauben und Quelle – Alle, Ziel – LAN VPN, Services, Erlauben. Anschließend ist die Konfiguration des UserGate als Standard-Gateway abgeschlossen.

  • Beide Verbindungen erlauben – Diese Einstellung erlaubt es Usern mit gleichem Login und Passwort sich zu Authentifizieren und zum Server zu verbinden. Der Traffic, der durch den UserGate läuft, wird in diesem Fall nur für den zur Authentifizierung benutzen User gezählt.

  • Server-zu-Server Verbindungen. Über die Erstellung einer solchen Verbindung können Sie unten nachlesen.

  • Netzwerkrouten – Dieser Punkt wird für die Eingabe von Routen in Ihr lokales Netzwerk verwendet. Der Client erhält bei der Verbindung zum Server alle Routen, die in diesem Menü hinterlegt sind und damit den Zugriff zu Ihrem lokalen Netzwerk. Es werden zwei Routingarten unterstützt: direkt und entfernt

    Direktes Routing – ist das Routing bis zum lokalen Netzwerk, bei dem das Gateway unmittelbar der UserGate ist. Um dafür eine Route einzurichten, muss das Routing aktiviert, nur die IP-Adresse des lokalen Netzwerks angegeben werden(wenn das Schema unten betrachtet wird, dann muss die Adresse 192.168.2.0) und dessen Maske (255.255.255.0) hinzugefügt werden, das was Sie für die Schnittstelle und das Gateway sehen, hat keine Bedeutung. Wenn Sie mehrere solcher Netze haben (im unteren Schema ist es noch das Netz 192.168.3.0/24), dann erstellen Sie für jedes lokale Netzwerk eine Route.

 

Entferntes Routing – ist das Routing zum entfernten lokalen Netzwerk, also wenn innerhalb des lokalen Netzwerks ein weiteres Gateway steht und zu ihm ein eigenes lokales Netzwerk geht, dann kann zu diesem Netzwerk ebenfalls der Zugriff erfolgen (nehmen wir an, dass im Schema unten im Netzwerk 192.168.2.0/24 das Gateway 192.168.2.254 steht, hinter dem ein lokales Netzwerk mit der Adresse 192.168.4.0/24 liegt). Dafür muss die Adresse (192.168.4.0) des entfernten lokalen Netzwerks eingegeben werden, dessen Maske (/24), als Gateway die externe Schnittstelle (192.168.2.254) an das das lokale Netzwerk angebunden ist und als Schnittstelle – die lokale Schnittstelle am UserGate, an die das Gateway mit dem das entfernte lokale Netzwerk (192.168.2.1) angeschlossen ist.

 

  • DNS Setup – Dieser Punkt wird für die Eingabe von primären oder alternativen DNS-Server für die Verbindung verwendet und erfordert es zusammen mit der Konfiguration als Standard-Gateway zu verwenden. Richtiger weise ist es am einfachsten, das DNS-Forwarding zu verwenden, dann kann nur die Adresse als DNS eingegeben werden. Wenn Sie das Forwarding nicht verwenden, dann geben Sie funktionierende, interne DNS-Server an.

    Achtung! Es wird empfohlen nicht mehr als drei DNS-Server anzugeben. Nach allen eingegebenen Parametern ist ein Neustart des VPN-Moduls notwendig, der nach dem speichern aller Änderung angeboten wird. Der Neustart wird automatisch durchgeführt, ohne die Konsole vom Server zu trennen. Ebenfalls ist nach jeder Änderung von Parametern, die bereits nach der Konfiguration geändert werden, ein Neustart des VPN-Moduls erforderlich.

 

VPN-ClientSpezielle Anwendung für die Verbindung mit dem UserGate VPN-Server. Diese erstellt ebenfalls einen virtuellen Adapter für die Verbindung mit dem Adapter auf dem Server. Installieren Sie die Anwendung in der notwendigen Version (32/64-Bit) und starten Sie diese. Für die Verbindung mit dem VPN-Server ist notwendig:

  • VPN-Server Adresse – Bei einer externen Verbindung ist dies die externe Adresse. Dies kann entweder die IP-Adresse, im Fall einer statischen IP-Adresse, der WAN-Schnittstelle am UserGate sein oder der Name des Servers auf dem UserGate läuft. Falls die Verbindung aus dem lokalen Netzwerk geschieht, dann wird als Adresse, die Adresse der LAN-Schnittstelle (oftmals ist dies auch das Gateway) angegeben. Über einen Doppelpunkt wird in der Adresse der Verbindungs-Port angegeben (wenn der Standardport verwendet wird, dann muss dieser nicht angegeben werden). D.h. wenn der Adressname Ihres Servers testcomp.test.de ist und der Port auf 6000 eingestellt wurde, dann muss als Serveradresse testcomp.test.de:6000 eingegeben werden.

  • Login und Passwort des Users (mit Authentifizierung Login und Passwort) die vorher in der Konsole unter User erstellt wurden.

  • Verbindungstyp – Wenn bei Ihnen die Verwendung des UserGate als Standard-Gateway aktiviert ist, dann hat der User die Wahl sich mit dem Server über einen primären Kanal zu verbinden oder seinen bestehenden Kanal weiterhin zu verwenden und nur die vorher bereits eingegebenen Routen auf dem UserGate für den Zugriff auf das lokale Netzwerk zu bekommen. Bei Auswahl der Verbindung als primären Kanal, wird im Routing des User-Computers eine spezielle Route hinterlegt. Wenn die Verwendung des Standard-Gateway deaktiviert ist, dann hat der User keine Auswahl und sein bestehender Kanal bleibt als Standard bestehen. In diesem Fall ist es am besten den Verbindungstyp „Servereinstellungen verwenden“ zu verwenden.

  • Sie können ebenfalls den Haken bei „Passwort speichern“ und „Reconnect“ setzen. Reconnects werden nach Abbruch der Sessionverbindung durchgeführt (Kabel entfernt, Verbindungs-Kanal beim Provider abgeschaltet usw.). Standardmäßig sind 50 Versuche im Intervall von 60 Sekunden eingestellt. Diese Einstellungen können über eine Liste geändert werden. Sie können eine bat-Datei mit folgenden Inhalt erstellen:

 

REG ADD "HKCU\Software\Entensys\UGVPN\client\settings\Default" /f
REG ADD "HKCU\Software\Entensys\UGVPN\client\settings\Default" /v Gateway /f
REG ADD "HKCU\Software\Entensys\UGVPN\client\settings\Default" /v RecennectAttempts /d 28800 /f
REG ADD "HKCU\Software\Entensys\UGVPN\client\settings\Default" /v Reconnect /d 1 /f
REG ADD "HKCU\Software\Entensys\UGVPN\client\settings\Default" /v ReconnectPeriod /d 3000 /f

Nach erfolgreicher Verbindung kann man im Reiter VPN einen User sehen, der mit seinen Daten Autorisiert ist, als User verbunden ist, die Zeit und IP-Adresse der Verbindung.
Erstellung einer Server-Server Verbindung – Die Server-Server Verbindung wird einseitig erstellt, d.h. für seine Erstellung werden zwei UserGate Server benötigt, jedoch wird für die Konfiguration nur einer von beiden benötigt. Nennen wir den annehmenden Server (AS – zu dem die Verbindung hergestellt wird) und verbindenden Server (VS – der die Verbindung herstellen wird). Empfohlenes Schema der Verbindung ist ein Stern, also ein annehmender Server und alle anderen sind verbindende. Für die erstellung einer neuen Verbindung wird folgendes benötigt:
  1. Am AS muss ein User mit der Authentifizierung per Login und Passwort erstellt werden (z.B. Login: server Passwort: 123). Wenn es mehrere VS geben wird, dann erstellen Sie für jeden einen neuen User.
  2. Am VS gehen Sie auf den Reiter Verbindung erstellen und geben die IP-Adresse oder Serveradresse des AS, User (server) und Passwort (123) ein und aktivieren die Verbindung. Auf allen Systemen (außer XP und 2003) muss innerhalb einer Minute auf beiden Server ein Symbol mit der Erstellung einer neuen Schnittstelle auftauchen (Schnittstellen – die Erstellung eines neuen Adapters, dass bereits oben erwähnt wurde). Wenn die Einrichtung abgeschlossen ist, überprüfen Sie am AS im Reiter VPN, dass sich der VS als Server mit dem angegebenen Login (server) verbunden hat. Die Serveradressen in den neuen virtuellen Adaptern werden automatisch und standardmäßig auf 192.168.10.1 und 10.2 mit der Maske /24 gesetzt.
Achtung! Versuchen Sie nicht diese Adressen manuell zu ändern, da ihre Änderung zu unvorhersehbaren Fehlern führen kann. Wenn am Server bereits ein angegebenes Subnetz verwendet wird, dann wird ein nächstes Adresspaar verwendet: 192.168.11.1 und 192.168.12.1 usw. Diese Adressen werden nur für die Verbindung und Übergabe notwendiger Routen der Server untereinander verwendet. Der komplette Vorteil der Server-Server Verbindung besteht darin, dass bei Vorhandensein von Routen in die lokalen Netzwerke, die Server diese austauschen und jeder beliebige Client, der zu einem der beiden Server verbunden ist, den Zugriff zu allen lokalen Netzwerken haben wird, sowohl von dem einen als auch von dem anderen Server. Ebenfalls ist die Verbindung mit einer automatischen Verbindungsherstellung ausgestattet, falls ein Kanalabbruch entsteht. Sobald der Server verfügbar ist, wird die Verbindung automatisch wiederhergestellt.
Nach erfolgreicher Verbindung wird in der Konsole im Reiter VPN der User zu sehen sein, mit den Authentifizierungsdaten, als Serververbindung, Zeit und einige IP-Adresse, die für die Verbindung bereitgestellt wurden.
An dieser Stelle ist die VPN-Konfiguration abgeschlossen.
Wenn bei Ihnen irgendwelche Fehler bei der Verbindung auftauchen, dann schauen Sie in diesem Artikel, für die mögliche Lösung, nach.
(1 Bewerten)
Dieser Artikel war hilfreich
Dieser Artikel war nicht hilfreich

Kommentare (0)

Copyright © 2001-2021 UserGate, Inc

Terms of use   Privacy policy