LAN1 = WAN LAN2= LAN Default Oberfläche der Securepoint Appliance: https://192.168.175.1:11115

Login bei Werkseinstellung:

User:admin Pw: insecure

Installationsassistent:

Schritt 1: Namen der Firewall festlegen

Schritt 2: Ip der firewall im internen Netz festlegen.

      zB. 192.168.1.1 / 24   für 192.168.1.1 mit 255.255.255.0 als Netzmaske

Schritt 3 : Internet Verbindung einrichten Unitymedia: Einstellung auf Ethernet mit statischer IP Externe IP Adresse: feste IP des Unity Anschlusses eintragen wieder mit /24 Default Gateway: Gateway IP des Unity Anschlusses eintragen. Ist immer die letzte Zahl der Ip -1

(z.B. 80.80.80.95 wäre die feste Ip dann ist das Gateway 80.80.80.94)

Schritt 3 bei anderen Providern Art der Verbindung auf „Kabelmodem mit dhcp“ stellen Bei Default Gateway die Ip des Routers bzw. der Fritzbox eintragen Schritt 5 DMZ Alles leer lassen und weiter Schritt 6 WLAN Einstellungen Alles leer lassen und weiter Schritt 7 Das PW für die Firewall neu setzen Jetzt muss die Firewall einmal neu starten

Schritt 1 Unter Netzwerk / Netzwerkkonfiguration auf dhcp Pools den dhcp Bereich einstellen.

Schritt 2 Als DNS Server die IP der Firewall selbst eintragen.

Schritt 3 Als Standardgateway ebenfalls die IP der Firewall selbst eintragen.

Schritt 4 Hier kann alles auf default bleiben

Auf speichern gehen

fertig

Webfilter abstellen: Unter Anwendungen / Webfilter

Portfreigaben einrichten:

Netzwerkobjekt anlegen

Für eine einfache Portweiterleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.

2. Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.

3. Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.

4. Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.

5. Wählen Sie als Typ den Eintrag Host.

6. Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.

7. Stellen Sie im Feld Zone die Zone internal ein.

8. Das Feld Gruppe kann leer bleiben.

9. Klicken Sie auf Speichern.

Firewall-Regeln anlegen

Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.

1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.

2. Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.

3. Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.

4. Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.

5. Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.

6. Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.

7. Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.

8. Im Bereich NAT wählen Sie als Typ DESTNAT.

9. Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).

10. Wählen Sie als Dienst den Port aus den sie an den Server weiterleiten wollen.

11. Klicken Sie auf Speichern.

12. Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.

Wenn ein Port der freigegeben werden soll noch nicht in der Liste der Dienste erscheint muss ein neuer Dienst angelegt werden.

Dazu unter Firewall/Portfilter/Dienste unten rechts auf Objekt hinzufügen.

Anschließend wird der Dienst im Portfreigabenmenu unter Dienste aufgeführt.

Oben auf den Reiter VPN und auf SSL-VPN gehen.

Unten rechts auf neue SSL-VPN Verbindung hinzufügen gehen.

Der Assistent zur einrichtung startet:

Schritt 1 : Auf Roadwarrior VPN Server stellen.

Schritt 2 : So lassen und weiter

Schritt 3: In diesem Schritt wird der Name der Verbindung, das Protokoll (UDP), der Port, das Zertifikat und das interne Netzwerk festgelegt das über die VPN Verbindung erreicht werden soll.

Das Zertifikat kann mit dem Button rechts neben „Serverzertifikat“ erstellt werden.

Dazu müssen wir in dem dann erscheinenden Fenster ersteinmal eine CA (Certificate Authority) erstellen.

Dazu unten rechts auf CA hinzufügen. Namen festlegen (zB Roadwarrior CA) um es später als CA Cert zu erkennen.

Anschließend oben auf Zertifikate und dann unten auf Zertifikat hinzufügen. Name und Schlüssellänge festlegen und den Haken bei Serverzertifikat setzen.

Dann das gerade erstellte Zertifikat in Schritt 3 des VPN Assistenten eintragen. Hier eine Beispielkonfiguration:

Schritt 4 Tunnelernetz (virtuelles Netz) festlegen

Jetzt wird der IP Bereich des Tunnelnetzes festgelegt. z.B 10.0.0.0/24

Schritt 5 Authentifizierung festlegen

Auf lokal lassen und auf fertig.

Schritt 6 Die Netze aufeinander zugreifen lassen

Unter Firewall / Implizite Regeln oben auf VPN und SSL VPN TCP und UDP setzen.

Dann müssen wir für das Tunnelnetzwerk ein Netzwerkobjekt anlegen.

Dazu unter neues Netzwerkobjekt einen Namen festlegen als Zone das VPN auswählen als Adresse das ganze Netzwerk nehmen z.B. 10.0.0.0/24 und als Interface eth0 eingeben.

Unten auf Regeln aktualisieren.

Jetzt auf Portfilter bei Aktion „ACCEPT“ als Quelle das virtuelle VPN Netz wählen als Ziel „internal-network“ als Dienst „any“. Unten bei NAT auf Typ HIDENAT und Netzwerkobjekt internal-interface.

Bevor die Verbindung funktioniert muss die Firewall neu gestartet werden.

Fallback:

1.1 Szenario

Der Aufbau in unserem Fall sieht wie folgt aus: Wir haben also zwei, direkt über ein Modem verbundene Internetleitung.

Das Netzwerk sollte so konfiguriert sein, dass die externen Zonen (external, firewall-external und die VPN-Zonen) auf dem primären Interface liegen. Das ganze würde dann z.B. so aussehen:

Auf dem Fallback-Interface (in unserem Fall ppp1) dürfen keine Zonen vorhanden sein.

Die Adresse des Netzwerkobjektes, mit dem die Verbindung Richtung Internet genattet wird, muss von z.B. eth0 zu 0.0.0.0/0 geändert werden.

2.1 Routing

Sie benötigen auf der Firewall eine Defaultroute über Ihre “Standardleitung”. In unserem Fall ist das die ppp0.

Hier die Einstellung von Gateway IP auf Gateway Schnittstelle ändern.

Wichtig: Als Router muss in einer Fallback-Konfiguration immer ein Device angegeben werden. Sollten Sie einen Ethernet-Router als Default Gateway verwenden, tragen Sie bitte die IP-Adresse des Routers in das Feld “Route Hint” des jeweiligen Interfaces ein.

2.2 Fallback Optionen

Stellen Sie in der ppp0 die Fallback-Einstellungen nach Ihren Wünschen ein.

Fallback-Shnittstelle: Die Schnittstelle, auf die im Falle eines Ausfalls gewechselt werden soll. Ping Check Host: Der zu pingende Host. Ping-Check Intervall: Die “Pause” zwischen den Pings. Ping-Check Threshold: Anzahl der Pings die abgesetzt werden.

In Unserem Fall wird also der Google-DNS (8.8.8.8) als Ping-Check Host verwendet. Sollte dieser nicht antworten, wird mit einem Zeitabstand von jeweils fünf Sekunden vier mal versucht, einen erfolgreichen Ping abzusetzen. Sollte keiner dieser Pings erfolgreich sein, greift das Fallback und es wird auf die ppp1 gewechselt.

Andere Szenarios

Es ist ebenso möglich, als Fallback Schnittstelle eine genattete Verbindung (also über einen Router) als Fallback zu nutzen. Geben Sie hierzu einfach die entsprechende Schnittstelle in den Fallback-Einstellungen an. Wichtig: In diesem Fall muss in der Fallback-Schnittstelle unbedingt das Feld “Route Hint” ausgefüllt sein! Hier wird der Nexthop (also das Gateway) eingetragen.