Standort-zu-Standort-SSL-VPN erstellen

Sie wollen sichere Standort-zu-Standort-VPN-Tunnel mithilfe einer SSL-Verbindung aufbauen. Dieses VPN erlaubt einer Zweigstelle sich mit der Zentrale zu verbinden. Benutzer in der Zweigstelle werden sich mit dem LAN der Zentrale verbinden können.

Zielsetzungen

Wenn Sie diese Einheit abschließen, wissen Sie, wie Sie folgendes tun:
  • Legen Sie LANs fest.
  • Fügen Sie eine SSL-VPN-(Standort-zu-Standort)-Server-Verbindung hinzu.
  • Laden Sie die Client-Konfigurationsdatei herunter.
  • Fügen Sie eine SSL-VPN-(Standort-zu-Standort)-Client-Verbindung hinzu.
  • Beheben Sie Fehler in den SSL-VPN-Einstellungen.

Voraussetzungen

Bevor Sie beginnen, wählen Sie eine Firewall als Server aus. Wenn es einen Unterschied bei den Modellen gibt, ist es sinnvoll, die leistungsfähigere auszuwählen. Wenn ein System eine dynamische IP-Adresse besitzt und das andere eine statische, verwenden Sie das System mit der statischen Adresse.

LANs festlegen.

Sie erstellen Hosts für die Zweigstelle und die Netzwerke der Zweigstelle.

Die folgenden Schritte werden auf der Firewall in der Zentrale ausgeführt.

  1. Gehen Sie zu Hosts und Dienste > IP-Host und klicken Sie auf Hinzufügen.
  2. Erstellen Sie einen Host für das LAN der Zentrale.
    LAN der Firmenzentrale
  3. Klicken Sie auf Speichern.
  4. Klicken Sie auf Hinzufügen.
  5. Erstellen Sie einen Host für das LAN der Zweigstelle.
    Zweigstellen-LAN
  6. Klicken Sie auf Speichern.

SSL-VPN-Standort-zu-Standort-Server-Verbindung hinzufügen

Sie erstellen eine Verbindung und laden die Datei herunter, die verwendet wird, um das Clientsystem zu konfigurieren.

Die folgenden Schritte werden auf der Firewall in der Zentrale ausgeführt.

  1. Gehen Sie zu VPN > SSL-VPN (Standort-zu-Standort).
  2. Klicken Sie im Bereich Server auf Hinzufügen.
  3. Geben Sie den logischen Namen für den Tunnel und die Netzwerk an, die über den Tunnel erreicht werden können.
    Serververbindung zwischen Firmenzentrale und Zweigstelle
  4. Klicken Sie auf Speichern.
    Die Verbindung wird erstellt und erscheint in der Serverliste.
  5. Klicken Sie auf Herunterladen Schaltfläche „Verbindung herunterladen“ und speichern Sie die Datei, die verwendet wird, um das Clientsystem zu konfigurieren.
    SSL-VPN-Standort-zu-Standort-Server-Verbindung
    Sie können ein Kennwort eingeben, um die Datei bei Bedarf zu verschlüsseln. Das Dateiformat ist .apc.

SSL-VPN-Standort-zu-Standort-Client-Verbindung hinzufügen

Sie verwenden die Datei, die auf dem Server erstellt wurde, um eine Clientverbindung zu erstellen und zu konfigurieren.

Die folgenden Schritte werden auf der Client-Firewall ausgeführt.

  1. Gehen Sie zu VPN > SSL-VPN (Standort-zu-Standort).
  2. Klicken Sie im Bereich Client auf Hinzufügen.
  3. Legen Sie die Einstellungen fest.
    OptionBezeichnung
    Verbindungsname HQ_to_branch_client
  4. Klicken Sie auf Datei auswählen und wählen Sie die Datei aus, die Sie vom SSL-VPN-Server heruntergeladen haben.
    SSL-VPN-Standort-zu-Standort-Client-Verbindung hinzufügen
  5. Klicken Sie auf Speichern.

Die neue Verbindung wird in der Clientliste angezeigt. Der Tunnel ist funktionsfähig, wenn die Statusanzeige grün zeigt.

SSL-VPN-Clientliste

Fehler in den VPN-Einstellungen beheben

Bei den SSL-VPN-Einstellungen sollten üblicherweise die Standardeinstellungen beibehalten werden. Hier sind einige der häufigsten Änderungen, die Sie vielleicht vornehmen müssen:
  • Protokoll: Hier wird eigentlich immer TCP verwendet, aber das VPN wird auch funktionieren, wenn beide Seiten UDP verwenden.
  • Hostnamen überschreiben: Wenn Ihr System einen Hostnamen besitzt, der nicht öffentlich erreichbar ist, fügen Sie hier Ihre öffentliche IP-Adresse ein.
  • Kryptografische Einstellungen: Sie können die kryptografischen Einstellungen ändern. Dies wird den Betrieb des Tunnels nicht beeinflussen, wenn beide Seiten des Tunnels übereinstimmen.
  • SSL-VPN-Verkehr komprimieren: Wenn Sie Pakete im Tunnel komprimieren wollen, um Bandbreite zu sparen, aktivieren Sie diese Option.
  • Fehlersuchmodus aktivieren: Wenn Sie Schwierigkeiten mit der Verbindung haben, können Sie den Fehlersuchmodus aktivieren, damit zusätzliche Informationen ins Protokoll geschrieben werden.