Remote-Zugriff SSL-VPN erstellen

Sie wollen eine Verbindung konfigurieren und einrichten, die es Remote-Benutzern erlaubt, auf ein lokales Netzwerk zuzugreifen. Das VPN stellt einen verschlüsselten Tunnel her, um sicheren Zugriff auf Firmenressourcen über TCP-Port 443 anzubieten.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Legen Sie einen Adressbereich für SSL-VPN-Clients fest.
  • Erstellen Sie eine Benutzergruppe für SSL-VPN-Clients und einen Benutzer hinzufügen.
  • Legen Sie ein lokales Subnetz und einen entfernten SSL-VPN-Bereich fest.
  • Fügen Sie eine SSL-VPN-Fernzugriffs-Richtlinie hinzu.
  • Fügen Sie eine Firewallregel hinzu.
  • Richten Sie Windows-Berechtigungen für Benutzer ein, die den SSL VPN-Client verwenden sollen.
  • Laden Sie die SSL-VPN-Client-Software vom Client herunter und verbinden Sie sich mit dem internen Netzwerk.
  • Verbindung prüfen.

IP-Adressbereich für SSL-VPN-Clients festlegen

Wenn sich SSL-Clients anmelden, wird Ihnen eine Adresse aus dem hier festgelegten Adressbereich zugewiesen. Sie müssen einen privaten Adressbereich verwenden.

  1. Gehen Sie zu VPN und klicken Sie auf VPN-Einstellungen anzeigen.
    VPN-Einstellungen anzeigen
  2. Geben Sie einen Lease-Bereich an. Bei Bedarf können Sie auch die Subnetzmaske aktualisieren.
    Lease-Bereich angeben
  3. Klicken Sie auf Übernehmen.

Benutzergruppe erstellen und Benutzer hinzufügen

Sie erstellen eine Benutzergruppe für das entfernte SSL-VPN und fügen einen Benutzer hinzu. Die Gruppe legt ein Surfkontingent und die Zugriffszeit fest. Benutzer der Gruppe haben unbegrenzten Zugriff.

  1. Gehen Sie zu Authentifizierung > Gruppen und klicken Sie auf Hinzufügen.
  2. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Name Remote-SSL-VPN-Gruppe
    Surfkontingent Unbegrenzter Internetzugriff
    Zugriffszeit Immer erlaubt
  3. Klicken Sie auf Speichern.
  4. Gehen Sie zu Authentifizierung > Benutzer und klicken Sie auf Hinzufügen.
  5. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Benutzername john.smith
    Name John Smith
    Gruppe Remote-SSL-VPN-Gruppe
  6. Klicken Sie auf Speichern.

Lokales Subnetz und entfernten SSL-VPN-Bereich festlegen

Sie erstellen Hosts für das lokale Subnetz und den entfernten SSL-VPN-Bereich. Die lokalen Subnetze legen die Netzwerkressourcen fest, auf welche Remote-Clients zugreifen können werden.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen für das lokale Subnetz ein.
    Lokales Subnetz
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie einen Namen für das entfernte Subnetz ein.
    Entferntes Subnetz
  6. Klicken Sie auf Speichern.

SSL-VPN-Fernzugriffs-Richtlinie hinzufügen

Sie erstellen eine Richtlinie, die es Clients in der Remote-SSL-VPN-Gruppe ermöglicht, sich zu verbinden. Diese Benutzern ist es erlaubt, auf die Ressourcen im lokalen Subnetz zuzugreifen.

  1. Gehen Sie zu VPN > SSL-VPN (Fernzugriff) und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein und geben Sie Mitglieder der Richtlinie und zugelassene Netzwerkressourcen an.
    SSL-VPN Fernzugriff-Richtlinie
  3. Klicken Sie auf Übernehmen.

Authentifizierungsdienste überprüfen

Sie verwenden lokale Authentifizierung für die Firewall- und SSL-VPN-Authentifizierungsmethoden.

  1. Gehen Sie zu Authentifizierung > Dienste.
  2. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.
    Firewall-Authentifizierungsmethoden
  3. Blättern Sie zu SSL-VPN-Authentifizierungsmethoden.
  4. Überprüfen Sie, dass der Authentifizierungsserver auf Lokal gestellt ist.
    SSL-VPN-Authentifizierungsmethoden

Appliance-Zugriffseinstellungen überprüfen

Um die Verbindung einsetzen zu können und sicherzustellen, dass Benutzer Zugang zur Verbindung haben, müssen der Appliance-Zugriff für SSL-VPN und das Benutzerportal aktiviert sein.

  1. Gehen Sie zu Verwaltung > Appliance-Zugriff.
  2. Überprüfen Sie den Zugriff auf SSL-VPN und das Benutzerportal.
    Appliance-Zugriff überprüfen
  3. Klicken Sie auf Übernehmen.

Firewallregel hinzufügen

  1. Gehen Sie zu Regeln und Richtlinien > Firewallregeln. Wählen Sie IPv4 oder IPv6 und dann Firewallregel hinzufügen aus.
  2. Legen Sie die Einstellungen fest.
    Regel für Remote-SSL-VPN-Zugriff
  3. Klicken Sie auf Speichern.

Erforderliche Windows-Benutzerberechtigungen für SSL-VPN-Client

Erforderliche Berechtigungen für Windows-Benutzer.

Ein angemeldeter Benutzer, der versucht, eine SSL-VPN-Verbindung herzustellen, benötigt Netzwerkkonfigurationsrechte. Dadurch kann der SSL-VPN-Client das Netzwerk vollständig einrichten, z.B. die erforderlichen Routen hinzufügen.

In Windows 7 und 8 benötigen Netzwerkvorgänge eine Administratorberechtigung. Sie können Benutzern entweder die Rolle eines lokalen Administrators zuweisen oder die bevorzugte Methode verwenden und Benutzer zur Windows-Gruppe „Netzwerkkonfigurations-Operatoren“ hinzufügen. Alternativ können Benutzer den SSL-VPN-Client als Administrator ausführen.

So fügen Sie der Windows-Gruppe „Netzwerkkonfigurations-Operatoren“ Benutzer hinzu:

  1. Öffnen Sie in Windows Systemsteuerung > Verwaltung.
  2. Öffnen Sie Computerverwaltung.
  3. Erweitern Sie Systemprogramme > Lokale Benutzer und Gruppen.
  4. Klicken Sie Auf Gruppen.
  5. Doppelklicken Sie auf Netzwerkkonfigurations-Operatoren und klicken Sie dann auf Hinzufügen.
  6. Geben Sie den Benutzernamen des Benutzers ein, den Sie hochstufen wollen, klicken Sie auf Namen überprüfen, um Genauigkeit zu gewährleisten, und klicken Sie auf OK.
  7. Klicken Sie auf Übernehmen, um die Änderungen zu speichern.

Verbindung einrichten

Installieren Sie einen Authentifizierungsclient und verbinden Sie sich mithilfe der VPN-Verbindung mit dem internen Netzwerk.

Die folgenden Schritte werden auf der Client-Computer ausgeführt.

  1. Melden Sie sich am Benutzerportal an.
    Warnung Wir raten davon ab, die Web-Admin-Oberfläche auf externen Schnittstellen (WAN) zu aktivieren. Dies könnte es Angreifern ermöglichen, den Hersteller und Typ der Firewall leicht zu identifizieren und einen gezielten Angriff zu starten. Wird das Benutzerportal nicht genutzt, empfehlen wir auch, diesen Dienst an WAN-Schnittstellen zu deaktivieren.

    Um das XG Firewall Benutzerportal und die Web-Admin-Oberfläche auf lokale Schnittstellen zu beschränken, gehen Sie zu Verwaltung > Gerätezugriff , und deaktivieren Sie dann Benutzerportal und HTTPS für die WAN-Zone.

    Wenn Sie das Benutzerportal auf WAN-Schnittstellen aktivieren, empfehlen wir die Einrichtung einer Zweifaktor-Authentifizierung. Siehe Configuring two-factor authentication (Englisch).

  2. Laden Sie den SSL-VPN-Client herunter.
  3. Doppelklicken Sie auf die Client-Installationsdatei und folgen Sie den Anweisungen, um die Installation abzuschließen.
  4. Starten Sie den Client und melden Sie sich mit Benutzernamen und Kennwort an.
Wenn die Authentifizierung fehlschlägt, gehen Sie zu Authentifizierung > Benutzer, und überprüfen Sie, ob für das Benutzerkonto MAC-Bindung aktiviert ist. Wenn MAC-Bindung aktiviert ist, deaktivieren Sie sie.

Konnektivität prüfen

Sie überprüfen die Konnektivität vom Client aus und auf der Firewall.

  • Überprüfen Sie auf dem Client, dass Sie eine IP-Adresse aus dem SSL-VPN-Bereich erhalten haben, der zuvor auf der Firewall konfiguriert wurde.
    Öffnen Sie unter Windows die Kommandozeile und tippen Sie ipconfig ein. Sie sollten eine Adresse im Bereich 10.81.234.5 – 10.81.234.55 sehen.
  • Klicken Sie auf der Firewall auf Firewall und sehen Sie sich den Verkehr an.
    SSL-VPN-Datenverkehr anzeigen