How to: VPN mit L2TP und dem Windows VPN-Client

How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
Inhalt
1
Konfiguration der Appliance ........................................................................................... 4
1.1
Erstellen von Netzwerkobjekten im Securepoint Security Manager ......................... 4
1.2
Erstellen von Firewall-Regeln .................................................................................. 5
1.3
L2TP Grundeinstellungen ........................................................................................ 6
1.4
L2TP Konfiguration.................................................................................................. 7
1.4.1
Konfiguration mit dem Assistenten ................................................................... 7
1.4.2
Konfiguration über die Layer-Ansicht ...............................................................10
1.5
2
Benutzer einrichten ................................................................................................15
Konfiguration des Windows-L2TP-VPN Roadwarriors ...................................................16
2.1
Erstellen der VPN-Verbindung ...............................................................................16
2.2
Eigenschaften der VPN-Verbindung einstellen .......................................................18
2
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
VPN mit L2TP und dem Windows VPN-Client
Ein VPN verbindet einen oder mehrere Rechner oder Netzwerke miteinander, indem es ein
anderes Netzwerk, z. B. das Internet, als Transportweg nutzt. Das kann z. B. der Rechner
eines Mitarbeiters zu Hause oder einer Filiale sein, der mit dem Netzwerk der Zentrale über
das Internet verbunden ist.
Für den Benutzer sieht das VPN wie eine normale Netzwerkverbindung zum Zielrechner aus.
Den tatsächlichen Übertragungsweg sieht er nicht. Das VPN stellt dem Benutzer eine virtuelle IP-Verbindung zur Verfügung, die durch eine tatsächliche getunnelt wird. Die über diese
Verbindung übertragenen Datenpakete werden am Clienten verschlüsselt und vom Securepoint Server wieder entschlüsselt und umgekehrt.
Zielsetzung: Aufbau einer VPN-L2TP zwischen der Securepoint Appliance und einem Windows L2TP-Client.
Abb. 1 VPN-Verbindungen in der Layer-Darstellung
3
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1 Konfiguration der Appliance
1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager
Gehen Sie folgendermaßen vor:
 Wählen Sie über Firewall den Folder Netzwerkobjekte.
 Legen Sie die Netzwerkobjekte wie in der folgenden Abbildung an.
Abb. 2 benötigte Netzwerkobjekte
4
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1.2 Erstellen von Firewall-Regeln
Gehen Sie folgendermaßen vor:
 Wählen Sie über Firewall den Folder Portfilter.
 Legen Sie die Firewall-Regeln wie in der nachfolgenden Abbildung an.
Abb. 3 Firewall-Regeln
5
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1.3 L2TP Grundeinstellungen
Gehen Sie folgendermaßen vor:
 Wählen Sie im Hauptmenü VPN über die Auswahlliste VPN L2TP.
 Das lokale L2TP-Interface sollte eine freie IP-Adresse aus dem internen Netz sein.
Die L2TP-IP-Adressen (L2TP Adressenpool) werden im Anschluss an das L2TPInterface vergeben.
 Sie können als Authentifizierungsmechanismen zwischen Radius Server und Active
Directory wählen.
 Bei dieser Konfiguration kann der L2TP-Client über Proxy-Arp Funktionalität mit dem
internen Netz kommunizieren, da ihm eine IP-Adresse aus diesem Netz bei der Einwahl zugewiesen wird.
Abb. 4 allgemein VPN-L2TP Einstellungen
Abb. 5 NS/WINS VPN-L2TP Einstellungen
6
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1.4 L2TP Konfiguration
Die Konfiguration kann auf zwei Weisen vorgenommen werden. Entweder über einen Assistenten geführte Konfiguration oder zeichnungsbasierte manuelle Konfiguration.
1.4.1 Konfiguration mit dem Assistenten
Gehen Sie folgendermaßen vor:
 Wählen Sie über VPN den Folder VPN Verbindungen.
 Klicken Sie auf den Button Neu, der den Assistenten startet.
 Wählen Sie im Assistenten Roadwarrior und klicken auf Weiter.
Abb. 6 Konfiguration mit dem Assistenten Schritt 1
7
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
 Wählen Sie im folgenden Dialog L2TP aus und klicken Sie auf Weiter.
Abb. 7 Konfiguration mit dem Assistenten Schritt 2
 Geben Sie einen Namen für die Verbindung und den Preshared Key ein.
 Klicken Sie auf Weiter.
Abb. 8 Konfiguration mit dem Assistenten Schritt 3
8
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
 Der Assistent weist Sie daraufhin, welche Schritte noch ausgeführt werden müssen.
 Klicken Sie auf Fertigstellen, um den Assistenten zu beenden.
Abb. 9 Konfiguration mit dem Assistenten Schritt 4
 Das Ergebnis der Konfiguration sehen Sie in der Abbildung 10.
Abb. 10 Ergebnis der Konfiguration
 Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung
werden SERVICE_IPSEC und SERVICE_L2TP benötigt.
9
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1.4.2 Konfiguration über die Layer-Ansicht
Gehen Sie folgendermaßen vor:
 Wählen Sie über VPN den Folder VPN Verbindungen.
 Wechsel Sie in die Layer-Ansicht durch Klicken auf den Button Ansicht.
 Ziehen Sie mit der Maus das bestehende Firewall-Objekt aus dem linken Fenster auf
die VPN Arbeitsfläche.
Abb. 11 Firewall-Objekt auf den VPN-Layer ziehen
10
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
Jetzt erstellen Sie ein neues Roadwarrior-Objekt im linken Fenster.
 Klicken Sie auf das Notebook-Symbol in der Bildleiste des oberen Fensters. Im Dialog-Fenster Roadwarrior – hinzufügen wird der Roadwarrior ohne IP (0.0.0.0) angelegt, da diese sich ständig ändern kann!
 Klicken Sie auf L2TP im Roadwarrior-Dialog an, um L2TP zu aktivieren.
Abb. 12 L2TP Roadwarrior hinzufügen
 Ziehen Sie nun das neu erstellte Roadwarrior-Objekt aus dem linken Fenster auch
auf die VPN Arbeitsfläche.
Abb. 13 Roadwarrior-Objekt auf den VPN-Layer ziehen
11
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
 Klicken Sie nun auf das Icon Verbinden und auf das Roadwarrior-Objekt.
Es erscheint eine Fahne am Roadwarrior-Objekt mit der Information Bitte Zielobjekt anklicken.
 Klicken Sie nun das Firewall-Objekt an.
Abb. 14 Objekte auf dem Layer verbinden
12
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
Es erscheint jetzt automatisch ein neues Dialog-Fenster IP-Sec-Verbindungen Übernehmen.
 Wählen Sie das Authentisierungsverfahren SECRET.
 Weitere Einstellungen sind im Standardfall einfach zu übernehmen.
Abb. 15 Verbindung konfigurieren
 Wechseln Sie auf die Registerkarte mit dem Firewall-Namen.
 Klicken Sie unter „Lokaler Schlüssel“ das Symbol (...) und geben den Lokalen
Schlüssel (Secret) ein.
Abb. 17 Preshared Key eingeben
Abb. 16 Verbindung konfigurieren
13
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
 Nach einem Klick auf das Icon Aktualisieren ist die Konfiguration auf der Appliance
abgeschlossen.
Abb. 18 Verbindung aktualisieren
 Überprüfen Sie anschließend den Status der Dienste. Für eine L2TP-Verbindung
werden SERVICE_IPSEC und SERVICE_L2TP benötigt.
Abb. 19 Dienste Status überprüfen
14
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
1.5 Benutzer einrichten
Gehen Sie folgendermaßen vor:
 Das Icon Authentifizierung in der Icon-Leiste öffnet die Benutzerverwaltung.
 Klicken Sie in dem Dialog Benutzer auf das Icon Neu.
 Erstellen Sie einen L2TP-Benutzer mit Name, Login, Passwort etc.
Abb. 20 neuen Benutzer anlegen
 Wechseln Sie auf die Registerkarte Gruppenmitgliedschaft und aktivieren Sie VPNL2TP-Benutzer.
 Wechseln Sie dann auf die Registerkarte VPN-Optionen und tragen Sie eine Adresse
aus dem lokalen Adress-Pool ein, die dem neuen Benutzer beim Einwählen
zugewiesen werden soll.
Abb. 21 Gruppenmitglieschaft zuweisen
Abb. 22 IP-Adresse zuweisen
15
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
2 Konfiguration des Windows-L2TP-VPN Roadwarriors
2.1 Erstellen der VPN-Verbindung
Gehen Sie folgendermaßen vor:
 Erstellen Sie mit dem Netzwerkverbindungsassistenten zuerst eine Standard-VPNVerbindung.
(Unter Windows XP Start  Systemsteuerung  Netzwerk- und Internetverbindungen  Neue Verbindung erstellen)
Abb. 23 Verbindungsassistent starten
Abb. 24 Verbindungstyp auswählen
Abb. 25 Art der Verbindungherstellung
16
How to: VPN mit L2TP und dem Windows VPN-Client
Abb. 26 Namen vergeben
Version 2007nx Release 3
Abb. 27 Servernamen oder IP angeben
Abb. 28 Einrichtung abschließen
17
How to: VPN mit L2TP und dem Windows VPN-Client
Version 2007nx Release 3
2.2 Eigenschaften der VPN-Verbindung einstellen
Gehen Sie folgendermaßen vor:
 Nach dem Fertigstellen erscheint der Dialog Verbindung herstellen. Öffnen Sie die
Eigenschaften der VPN-Verbindung, um weitere Einstellungen anzupassen.
 Wählen Sie anschließend in den Eigenschaften -> Sicherheit -> IPSec-Einstellungen.
 Tragen Sie den Lokalen Schlüssel (SECRET) ein.
Abb. 29 Eigenschaften bearbeiten
Abb. 30 Registerkarte Sicherheit
Abb. 31 Schlüssel eingeben
 Unter Folder Netzwerk stellen Sie den VPN-Typ auf L2TP-IPSec-VPN ein.
 In den Eigenschaften -> Erweitert kann noch die Option „Standardgateway für das
Remotenetzwerk verwenden“ eingestellt werden.
 Jetzt können Sie die IPSec-Verbindung starten.
18
How to: VPN mit L2TP und dem Windows VPN-Client
Abb. 32 Netzwerkeingenschaften bearbeiten
Version 2007nx Release 3
Abb. 33 Adressen Einstellungen
Abb. 34 Verwendung des Standardgateway
19