Remote-Zugriff SSL-VPN erstellen

Wir wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf ein lokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriff auf Firmenressourcen über TCP-Port 443 anzubieten.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Einen Adressbereich für SSL-VPN-Clients angeben.
  • Eine Benutzergruppe für SSL-VPN-Clients erstellen und einen Benutzer hinzufügen.
  • Ein lokales Subnetz und einen entfernten SSL-VPN-Bereich festlegen.
  • Eine SSL-VPN-Fernzugriffs-Richtlinie hinzufügen.
  • Firewallregel hinzufügen.
  • SSL-VPN-Client-Software vom Client herunterladen und mit dem internen Netzwerk verbinden.
  • Verbindung prüfen.

VPN-Einstellungen angeben

Wir geben einen IP-Adressbereich für SSL-Clients an. Dies ist ein privater Adressbereich. Wenn sich SSL-Clients anmelden, wird Ihnen eine Adresse aus dem Adressbereich zugewiesen.

  1. Gehen Sie zu VPN und klicken Sie auf VPN-Einstellungen anzeigen.
  2. Geben Sie einen Lease-Bereich an.
  3. Klicken Sie auf Übernehmen.

Benutzergruppe und Benutzer hinzufügen

Wir legen eine Benutzergruppe für das Remote-SSL-VPN an und fügen einen Benutzer hinzu. Die Gruppe legt ein Surfkontingent und die Zugriffszeit fest. Benutzer der Gruppe haben unbegrenzten Zugriff.

  1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
  2. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Name Remote-SSL-VPN-Gruppe
    Surfkontingent Unbegrenzter Internetzugriff
    Zugriffszeit Immer erlaubt
  3. Klicken Sie auf Speichern.
  4. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
  5. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Benutzername john.smith
    Name John Smith
    Gruppe Remote-SSL-VPN-Gruppe
  6. Klicken Sie auf Speichern.

Lokales Subnetz und entfernten SSL-VPN-Bereich festlegen

Wir erstellen Hosts für das lokale Subnetz und den entfernten SSL-VPN-Bereich. Die lokalen Subnetze legen die Netzwerkressourcen fest, auf welche Remote-Clients zugreifen können werden.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen für das lokale Subnetz ein.
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie einen Namen für das entfernte Subnetz ein.
  6. Klicken Sie auf Speichern.

SSL-VPN-Fernzugriffs-Richtlinie hinzufügen

Wir erstellen eine Richtlinie, die es Clients in der „Remote-SSL-VPN-Gruppe“ ermöglicht, sich zu verbinden. Diese Benutzern ist es erlaubt, auf die Ressourcen im lokalen Subnetz zuzugreifen.

  1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein und geben Sie Mitglieder der Richtlinie und zugelassene Netzwerkressourcen an.
  3. Klicken Sie auf Übernehmen.

Authentifizierungsdienste überprüfen

Wir verwenden lokale Authentifizierung für die Firewall-Authentifizierungsmethoden und SSL-VPN-Authentifizierungsmethoden.

  1. Gehen Sie zu Authentifizierung > Dienste.
  2. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.
  3. Blättern Sie zu SSL-VPN-Authentifizierungsmethoden.
  4. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.

Appliance-Zugriffseinstellungen überprüfen

Um die Verbindung einsetzen zu können und sicherzustellen, dass Benutzer Zugang zur Verbindung haben, müssen der Appliance-Zugriff für SSL-VPN und das Benutzerportal aktiviert sein.

  1. Gehen Sie zu Verwaltung > Appliance-Zugriff.
  2. Überprüfen Sie den Zugriff auf SSL-VPN und das Benutzerportal.
  3. Klicken Sie auf Übernehmen.

Firewallregel hinzufügen

  1. Gehen Sie zu Firewall und klicken Sie auf Firewallregel hinzufügen > Benutzer-/Netzwerkregel.
  2. Legen Sie Einstellungen fest.
  3. Klicken Sie auf Speichern.

Verbindung einrichten

Remote-Benutzer installieren einen Authentifizierungsclient und verbinden sich mithilfe der VPN-Verbindung mit dem internen Netzwerk.

Die folgenden Schritte werden auf der Client-Computer ausgeführt.

  1. Melden Sie sich am Benutzerportal an, indem Sie die öffentliche IP-Adresse der Firewall und den HTTPS-Port des Benutzerportals verwenden.
    Tipp: Sie können den HTTPS-Port des Benutzerportals herausfinden, indem Sie zu Verwaltung > Admin-Einstellungen gehen.
    In diesem Beispiel ist das Benutzerportal über https://192.0.2.15:4443 erreichbar.
  2. Laden Sie den SSL-VPN-Client herunter.
  3. Doppelklicken Sie auf die Client-Installationsdatei und folgen Sie den Anweisungen, um die Installation abzuschließen.
  4. Starten Sie den Client und melden Sie sich mit Benutzernamen und Kennwort an.

Konnektivität prüfen

Wir überprüfen die Konnektivität vom Client aus und auf der Firewall.

  • Überprüfen Sie auf dem Client, dass Sie eine IP-Adresse aus dem SSL-VPN-Bereich erhalten haben, der zuvor auf der Firewall konfiguriert wurde.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ipconfig ein. Sie sollten eine Adresse im Bereich 10.81.234.5 – 10.81.234.55 sehen.
  • Klicken Sie auf der Firewall auf Firewall und sehen Sie sich den Verkehr an.