Site-to-Site-SSL-VPN erstellen

Wir wollen sichere Site-to-Site-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPN erlaubt einer Zweigstelle sich mit der Hauptgeschäftsstelle zu verbinden. Benutzer in der Zweigstelle werden sich mit dem LAN der Hauptgeschäftsstelle verbinden können.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • LANs festlegen.
  • Eine SSL-VPN-(Site-to-Site)-Server-Verbindung hinzufügen.
  • Die Client-Konfigurationsdatei herunterladen.
  • Eine SSL-VPN-(Site-to-Site)-Client-Verbindung hinzufügen.
  • Fehler in den SSL-VPN-Einstellungen beheben.

Voraussetzungen

Bevor Sie beginnen, wählen Sie eine Firewall als Server aus. Wenn es einen Unterschied bei den Modellen gibt, ist es sinnvoll, die leistungsfähigere auszuwählen. Wenn ein System eine dynamische IP-Adresse besitzt und das andere eine statische, verwenden Sie das System mit der statischen Adresse.

LANs festlegen.

Wir erstellen Hosts für die Zweigstelle und die Netzwerke der Zweigstelle.

Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Erstellen Sie einen Host für das LAN der Hauptgeschäftsstelle.
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Erstellen Sie einen Host für das LAN der Zweigstelle.
  6. Klicken Sie auf Speichern.

SSL-VPN-Site-to-Site-Server-Verbindung hinzufügen

Wir erstellen eine Verbindung und laden die Datei herunter, die verwendet wird, um das Clientsystem zu konfigurieren.

Die folgenden Schritte werden auf der Hauptgeschäftsstellen-Firewall ausgeführt.

  1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
  2. Klicken Sie im Bereich Server auf Hinzufügen.
  3. Geben Sie den logischen Namen für den Tunnel und die Netzwerk an, die über den Tunnel erreicht werden können.
  4. Klicken Sie auf Speichern.
    Die Verbindung wird erstellt und erscheint in der Serverliste.
  5. Klicken Sie auf und speichern Sie die Datei, die verwendet wird, um das Clientsystem zu konfigurieren.
    Sie können ein Kennwort eingeben, um die Datei bei Bedarf zu verschlüsseln. Das Dateiformat ist .apc.

SSL-VPN-Site-to-Site-Client-Verbindung hinzufügen

Wir verwenden die Datei, die auf dem Server erstellt wurde, um eine Clientverbindung zu erstellen und zu konfigurieren.

Die folgenden Schritte werden auf der Client-Firewall ausgeführt.

  1. Gehen Sie zu VPN > SSL-VPN (Site-to-Site).
  2. Klicken Sie im Bereich Client auf Hinzufügen.
  3. Legen Sie Einstellungen fest.
    OptionBeschreibung
    Verbindungsname HQ_to_branch_client
  4. Klicken Sie auf Datei auswählen und wählen Sie die Datei aus, die Sie vom SSL-VPN-Server heruntergeladen haben.
  5. Klicken Sie auf Speichern.

Die neue Verbindung wird in der Clientliste angezeigt. Der Tunnel ist funktionsfähig, wenn die Statusanzeige grün zeigt.

Fehler in den VPN-Einstellungen beheben

Bei den SSL-VPN-Einstellungen sollten üblicherweise die Standardeinstellungen beibehalten werden. Hier sind einige der häufigsten Änderungen, die Sie vielleicht vornehmen müssen:
  • Protokoll: Hier wird eigentlich immer TCP verwendet, aber das VPN wird auch funktionieren, wenn beide Seiten UDP verwenden.
  • Hostnamen überschreiben: Wenn Ihr System einen Hostnamen besitzt, der nicht öffentlich erreichbar ist, fügen Sie hier Ihre öffentliche IP-Adresse ein.
  • Kryptografische Einstellungen: Sie können die kryptografischen Einstellungen ändern, wenn Sie wollen. So lange beide Seiten des Tunnels übereinstimmen, wird die Funktionalität des Tunnels nicht beeinträchtigt.
  • SSL-VPN-Verkehr komprimieren: Wenn Sie Pakete im Tunnel komprimieren wollen, um Bandbreite zu sparen, aktivieren Sie diese Option.
  • Fehlersuchmodus aktivieren: Wenn Sie Schwierigkeiten mit der Verbindung haben, können Sie den Fehlersuchmodus aktivieren, damit zusätzliche Informationen ins Protokoll geschrieben werden.