msm net meissner
Contents
1. System Update Hauptmen Es wird dringend empfohlen vor und nach dem Einspielen eines Updates die aktuellen Konfigurationsdaten zu sichern Seite 75 msm net meissner GmbH kompetent kreativ innovativ 7 Service und Wartung Die msm net meissner GmbH bietet allen Kunden umfassende Beratungs Wartungs und Serviceleistungen f r die Projektierung die Realisierung und den Betrieb einer VPN L sung an Orientiert an der eigenen Leistungsf higkeit und den spezifischen Anforderungen des Kunden k nnen individuelle SLAs definiert und in Wartungs und Servicevertr gen umgesetzt werden Je nach Gr e der zu betreibenden VPN Installation und den betriebsbedingten Anforderungen eines Kunden k nnen optional zentrale Managementstrukturen mittels eines Managementservers sowie eines zentralen Log Servers realisiert werden Begleitend zu den eher technischen Ma nahmen bietet msm net verschiedenste Servicezeiten z B 10x5 24x7 an Somit k nnen wir den vielf ltigsten kundenspezifischen Anforderungen gerecht werden Seite 76 8 Technische Daten 8 1 Bauformen msm net meissner GmbH kompetent kreativ innovativ Die VPN Appliances der msm net meissner GmbH k nnen mit allen am Markt zur Verf gung stehenden Standardgeh usen realisiert werden Dies bedeutet hinsichtlich der Bauformen das die Lieferung in folgenden Geh usen m glich ist Geh use2. HINWEIS Experten Einstellungen f r die globale IPSEC Konfiguration gt Die Konfigurationsdatei kann ber das Men direkt bearbeitet werden gt Optionen f r die es in der GUI keine Entsprechung gibt k nnen hier ebenfalls konfiguriert werden gt Unter Hilfe ist eine detaillierte Hilfe zu den Optionen verf gbar Bitte beachten Sie falsche oder inkorrekte Optionen k nnen zu Funktionsst rungen des IPSEC f hren Seite 47 msm net meissner GmbH kompetent kreativ innovativ Anlegen einer neuen Verbindung Klicken Sie auf die Schaltfl che Anlegen einer neuen Verbindung um das Konfigurationsmen zu ffnen Seite 48 msm net meissner GmbH kompetent kreativ innovativ Das Meni Neue Verbindung anlegen Erstellen einer IPSEC VPN Verbindung Bezeichnung Wert Beschreibung d bind IT Geben Sie einen eindeutigen Namen fir diese EE VPN Verbindung ein w hlen Sie IPv4 oder IPv6 als IPv4 Netzwerkprotokolltyp aus Alle nachfolgenden IPv4 oder IPv6 IPv6 IP Adressen m ssen dem hier ausgew hlten Typ entsprechen Verbindungstyp bidirektional on demand D Legen Sie den Verbindungstyp fest 3DES 19 MDS 128 768 DH1 Legen Sie die IKE Parameter fest IKE Parameter verschl sselungs Authentifizierungs SERGE Algorithmen und DH Group 3DES 197 MDS 12E kein PFS x Wegen Sie die ESP Parameter fest ESP Parameter verschl
3. Hier legen Sie fest welche Berechtigungen der Berechtigungen Benutzer erh lt Seite 23 msm net meissner GmbH A kompetent kreativ innovativ Das L schen eines Benutzers Wollen Sie einen Benutzer l schen markieren Sie ihn zuerst im Men Benutzer Administration Mit einem Klick auf Benutzer l schen wird nachstehende Warnung angezeigt Durch eine weiteren Klick auf L schen wird die Aktion ausgef hrt Die Warnmeldung Benutzer l schen L schen des Benutzers User2 I Warnung Mit dem L schen des Benutzers werden alle Einstellungen f r diesen gel scht Die L schung erfolgt permanent L schen Abbrechen Weitere Optionen des Benutzer Administration Men s In dieser Abbildungen ist der Benutzer ADMINISTRATOR via L2TP mit der VPN Appliance verbunden Benutzer Administration Vorhandene Benutzer Benutzer bearbeiten ADMINISTRATOR ADMIN gt 10 111 99 10 L2TP 192 168 30 2 01 19 12 19 59 welcome Einen neuen Benutzer anlegen User2 Admin Benutzer l schen localadmin Admin test2 Admin Userl User testuser User Status aktualisieren Benutzer trennen Rechte lokaler Admins Hauptmen Die Status aktualisieren Schaltfl che Sind Benutzer mit dem L2TP oder PPTP Server der VPN Appliance verbunden werden zus tzliche Informationen angezeigt Diese beinhalten die IP Adresse des Remote Hosts die lokal zugewie
4. Bitte f hren Sie dieses Produkt nach seiner Verwendung entsprechend den aktuellen EU Entsorgungsvorschriften als Elektronikschrott einer geordneten Entsorgung zu Sollte dies in Ihrem Umfeld nicht m glich sein bernehmen wir f r Sie die Entsorgung Seite 81
5. msm net meissner GmbH kompetent kreativ innovativ Das Men CRL Verwalten Davon abh ngig ob Sie eine extern oder eine lokal verwaltete CA w hlen wird das CRL Verwalten Men einer der beiden Abbildungen entsprechen Export einer CRL f r die CA example_ca Bezeichnung Wert CRL G ltigkeit in Tagen Passwort f r den privaten Schl ssel der CA CRL updaten Zum Herunterladen der CRL Daten folgenden Link als Datei speichern example_ca OpenSSL gt Certificate Revocation List CRL Version 2 0x1 f Signature Algorithm mdSwithRSAEncryption Issuer C DE ST Th L Niederpoellnitz O msm net OU develop CN example_ca emai lAddress s Last Update Oct 7 13 23 23 2011 GMT Next Update Oct 8 13 23 23 2011 GMT CRL extensions _ We x509v3 Authority Key Identifier keyid Al EF 17 89 6B AA 58 D7 72 DO 22 FE 2D 19 19 0C 42 2B 5D 65 BE a ah ge emer all Steeg eler Mu serial Ol Geben Sie die neue G ltigkeitsdauer der CRL in Tagen und das Passwort f r den privaten Schl ssel der CA ein No Revoked Certificates r Signature Algorithm mdSwithRSAEncryption 69 e9 f8 b9 37 d6 ca 72 7e b4 b8 ce b4 b9 50 74 66 95 19 34 7b 84 aa be 23 8b 7a f4 29 07 25 a2 e3 b6 9e 91 62 08 97 05 93 8d 86 a4 74 61 6b 07 03 b2 b3 2d f8 6f 2b 31 b7 5b 89 26 fa cf 76 d5 5e c0 f7 30 bb ce 89 e6 ao gt Abbrechen lt Import einer CRL f r die CA
6. Anforderung anzeigen exportieren Zertifikatsanforderung importieren Zertifikatsanforderung signieren Zertifikatsanforderung l schen Zertifikat Verwaltung Hauptmen Abbrechen Seite 32 WA msm net meissner GmbH d 17 kompetent kreativ innovativ r Erstellen einer neuen Zertifikatsanforderung Das Erstellen einer neuen Anforderung erfolgt ber das Men Neue Zertifikatsanforderung erstellen Dabei ist das Erzeugen des privaten Schl ssels sowohl auf der lokalen Maschine als auch auf einer im Card Reader befindlichen Smartcard m glich Wird eine Smartcard zur Schl sselgenerierung verwendet muss die Benutzer PIN und die Administrator PIN der Smartcard eingegeben werden Das Men Neue Zertifikatsanforderung erstellen Erstellen einer neuen Zertifikatsanforderung Achtung Verwenden Sie keine Sonderzeichen auch keine Umlaute im Formular Zertifikatsanforderung Bezeichnung Wert Beschreibung Erzeugen des privaten Schl ssels auf der lokalen Maschine L nge des privaten 2048 Ausw hlen der L nge des privaten Schl ssels Schl ssels f r diese Zertifikatsanforderung Passwort des privaten De Schl ssels Passwort des privaten ee 1 Schl ssels best tigen Erzeugen des privaten Schl ssels auf der Smartcard L nge des privaten 2048 j Ausw hlen der L nge des privaten Schl ssels Schl ssels f r diese Zertifikatsanforderung IR Bitte geben Sie die Benutzer PIN f r die STASI Smartcard ein
7. SE Bitte geben Sie die Administrator PIN der Administrator PIN Earl Subject der Zertifikatsanforderung Country C L nderk rzel z B DE f r Deutschland Region ST Region oder Bundesland z B TH f r Th ringen Location L Name des Ortes z B Berlin Organizations Name 0 Organisations oder Firmenname Organization Unit Name OU Abteilung Bereich RS Allgemeiner Name oder Begriff in der Eoman Name n AT Email Address Email E Mail Adresse Das Passwort zum Speichern des privaten Schl ssels eingeben N Speichern Abbrechen Seite 33 msm net meissner GmbH A A kompetent kreativ innovativ r Ansehen und exportieren einer Zertifikatsanforderung Wurde ein Request erstellt kann er mit Hilfe dieser Maske berpr ft werden Nach dem Senden des Passwortes wird in dieser Maske ebenfalls der private Schl ssel angezeigt Wurde die Zertifikatsanforderung mit einem privaten Schl ssel auf einer Smartcard erzeugt kann der private Schl ssel nicht angezeigt oder exportiert werden Soll eine hier erzeugte Zertifikatsanforderung zum Signieren an eine Zertifizierungsstelle bertragen werden erfolgt das ebenfalls mit dieser Maske Mit einem Klick der rechten Maustaste und der Option Ziel speichern unter k nnen sie die Zertifikatsanforderung auf einem lokalen Speichervolumen ablegen Das Men Anforderung anzeigen exportieren Ansicht E
8. 1536 2048 3072 4096 6144 8192 VPN Verbindungsmethoden IPSEC PPTP L2TP IP Adressschema IPv4 und IPv6 intern statisch und dynamisch Automatische Verbindungstrennung konfigurierbar Seite 78 Kategorie msm net meissner GmbH kompetent kreativ innovativ Details Automatische Schl sselaktualisierung konfigurierbar Zertifikat Verwaltung Root CA oder Sub CA Zertifikate Authentifizierungs Zertifikate CRL und OCSP Cryptosmartcard Applikation Authentifizierung X 509 Zertifikate konfigurierbar mit ohne CRL und oder OSCP Pre Shared Key Logdatenmanagement Konfigurierbar Versand per E Mail Versand per Syslog Systemredundanz Redundanz Steuerung fiir die Nutzung des Ubertragungsmediums und Verf gbarkeit der VPN Appliances Seite 79 msm net meissner GmbH kompetent kreativ innovativ 8 3 Basis RFC der VPN Software Allgemeine RFCs Overview RECs 2401 Security Architecture for the Internet Protocol 2411 IP Security Document Roadmap Basis Protokolle Basic Protocols 2402 IP Authentication Header 2406 IP Encapsulation Security Payload ESP Schl ssel Verwaltung Key Management 2367 PF_KEY Key Management API Version 2 2407 The Internet IP Security Domain of Interpretation fo
9. 192 168 32 254 ICMP echo request ic 5 packets captured 6 packets received by filter packets dropped by kernel eee eee gt HINWEIS Das Ergebnis des Netzwerk Dumps wird erst nach dem vollst ndigen Durchlaufen des Befehls angezeigt Eine kleinere Anzahl von Pakete f hrt daher rascher zum Ergebnis Wenn keine Pakete mit den angegebenen Parametern gesendeten oder empfangenen werden wird auch kein Ergebnis angezeigt Ergebnisfenster oder Tabs k nnen einfach geschlossen werden Seite 71 msm net meissner GmbH d kompetent kreativ innovativ Traceroute Traceroute Wahlen Sie die Optionen f r Traceroute und bet tigen Sie START TRACEROUTE Nach Ausf hrung des Befehls wird das Ergebnis in einem neuen Browserfenster oder TAB angezeigt Bezeichnung wert Beschreibung IP Adresse Ziel IP Adresse f r den traceroute Befehl Maximale Anzahl der zu ber cksichtigenten Max Anzahl HOPS 1 HOPS 7 Hier k nnen Sie eine Netzwerkschnittstelle Netzwerkschnittstelle Any f r den traceroute Befehl festlegen START TRACEROUTE Hauptmen Abbrechen 6 msm net VPN Appliance Tr amp file tmp trac outerconfig txt traceroute to 82 165 116 35 82 165 116 35 10 hops max 40 byte packets 1 192 168 18 254 0 118 ms 0 101 ms 0 079 ms 2 172 16 0 253 0 158 ms 0 156 ms 0 000 ms 3 XX XX XX XX 44 597 ms 47 452 ms 50
10. 1dtile var run server Bas 192 168 1 Bee 82 LemoleLR 192 168 101 2 254 ipxnets O ipparam pptp server au require mscha require mschap v2 require mppe 1px Anpi tanuri pptp server nomulti tink Speichern Abbrechen Seite 57 E msm net meissner GmbH e A kompetent kreativ innovativ E 6 6 Firewall Einstellungen Die unter dem Men Firewall Einstellungen verf gbaren Werkzeuge erm glichen mittels grafischer Oberfl chen eine komfortable Verwaltung des auf die VPN Appliance angepassten IPTABLES Firewallpaketes Der vorkonfigurierte Filter welcome erm glicht den Zugriff auf das interne Interface der VPN Appliance Wird er einem bestimmten Benutzer zugewiesen ist es dem Benutzer w hrend er ber eine VPN Verbindung mit der Appliance verbunden ist gestattet auf die Konfigurationsoberfl che der VPN Appliance zuzugreifen und erlaubte Einstellungen z B sein Passwort zu ndern Alle verf gbaren Firewall Filter k nnen sowohl einzelnen Benutzern als auch IPSEC Verbindungen zugeordnet werden Eine Mehrfachzuordnung der Firewall Filter ist m glich Das Men Firewall Einstellungen Firewall Einstellungen Vorhandene Filter STANDARD Ihre Auswahl Neuen Filter erstellen Filter kopieren Filter bearbeiten Filter l schen Hauptmen Seite 58 msm net meissner GmbH kompetent kreativ innovativ Das Ment Neuen Filter erstellen Erstellen eines neuen Fil
11. Stellen Sie vor dem L schen sicher dass der Firewall Filter nicht mehr verwendet wird Das L schen ist endg ltig Fahren Sie fort wenn Sie sicher sind L schen Abbrechen Seite 62 7 msm net meissner GmbH kompetent kreativ innovativ 6 7 Das Service Menu Meni Service Service Partner Sitema Allgemeine Einstellungen Datum und Uhrzeit Benutzer Administration Netzwerkschnittstellen VPN Einstellungen Firewall Einstellungen Service Webinterface Zertifikat Radius Client Routing Protokolle IPv6 Router Ver ffentlichungsdienst Systeminformationen Netzwerk Werkzeuge Standortdaten Aktuelle Logfdatei einsehen Upload Download Abmeldung Seite 63 msm net meissner GmbH d kompetent kreativ innovativ MH 6 7 1 Zuweisen eines Zertifikates f r das Webinterface Mit diesem Men kann f r die Authentifizierung des integrierten Webservers ein Zertifikat zugewiesen werden Das Men Webinterface Zertifikat Zertifikat f r das Webinterface Wahlen Sie ein Zertifikat f r das Webinterface aus Nutzbare Zertifikate ExternCA 01 Passwort f r den privaten Schl ssel example_ca 01 des neu gew hlten Zertifikats example_client 03 example_host 02 example_sub ca 04 example_sub_ident 02 Zertifikat zuweisen Hauptmen Abbrechen Seite 64 msm net meissner GmbH kompetent kreativ innovativ 6 7 2 RADIUS Client Rad
12. innovativ i 6 3 Benutzer Administration Fur die Benutzerverwaltung unserer VPN Appliances greifen mehrere Komponenten ineinander Zum Einen werden in der Benutzer und in der Gruppenverwaltung die Berechtigungen f r den Zugriff auf die Men s der VPN Appliance festgelegt und zum Anderen kann ber individuelle Firewall Regeln der Zugriff auf die Appliance selbst gesteuert werden Jedem Benutzer k nnen in der Benutzerverwaltung individuelle Firewall Filter zugeordnet werden Die Verwaltung der Firewall Filter erfolgt unter dem Men punkt Firewall des Hauptmen s Jedem Benutzer k nnen au erdem spezifische Rechte zugewiesen werden beispielsweise Gruppenzugeh rigkeit erlaubter Verbindungstyp oder die Erlaubnis zur Passwort nderung durch den Benutzer selbst Der Systemadministrator ADMINISTRATOR kann der Gruppe Lokaler Administrator spezielle anpassbare Berechtigungen zum Verwalten der Appliance zuordnen Diese Berechtigungen gelten dann f r alle Mitglieder dieser Gruppe Im Men Benutzer Administration wird die Gruppenzugeh rigkeit durch Admin f r Lokaler Administrator oder User f r Standardbenutzer angezeigt Das Men Benutzer Administration Benutzer Administration Vorhandene Benutzer Benutzer bearbeiten ADMINISTRATOR ADMIN Einen neuen Benutzer anlegen User2 Admin localadmin Admin test2 Admin Benutzer l schen Userl User testuser User Status aktualisieren
13. 6 max_len 8 stored_len 8 Pad char 0x06 Reference 1 Type ascii numeric Path 3f005015 PIN User Com Flags 0x3 ID 0 Saar H H 1a H e PA T PETE Hauptmen Abbrechen r lt Das Erstellen von Schl sseln auf einer Smartcard ist im Abschnitt Erstellen einer neuen Zertifikatsanforderung auf der Seite 33 beschrieben Zum Speichern von X 509 Zertifikaten auf einer Smartcard wird das Men Zertifikate anzeigen exportieren verwendet Seite 45 msm net meissner GmbH d kompetent kreativ innovativ 6 5 2 IPSEC Administration Unter dem Men punkt IPSEC Administration sind alle Werkzeuge zur Verwaltung von IPSEC Verbindungen zusammengefasst Das Men stellt auf der linken Seite alle vorhandenen IPSEC Verbindungen dar Wenn Sie eine Verbindung kopieren bearbeiten oder l schen wollen so m ssen sie diese vorher markieren Auf der rechten Seite sind im Men alle Werkzeuge zum Bearbeiten der Verbindungen angeordnet Ist eine Aktion nicht m glich wird eine Fehlermeldung angezeigt Das Men IPSEC VPN Verbindungen IPSEC Administration Vorhandene IPSEC Verbindungen Ihre Auswahl MusterA I2A N MusterA I2A t Globale IPSEC Einstellungen MusterA I2At MusterA I2B MusterA P2A Anlegen einer neuen Verbindung MusterA P2B msm net wartung mobil Verbindung kopieren msm vpn wartung Verbindung bearbeiten Verbindung l schen IPSEC
14. Benutzer trennen Rechte lokaler Admins Hauptmen Seite 22 msm net meissner GmbH kompetent kreativ innovativ Das Men Einen neuen Benutzer anlegen Einen neuen Benutzer anlegen Bezeichnung Wert Beschreibung Benutzername Den Benutzername eingeben Passwort Das Passwort f r den Benutzer eingeben Passwortbest tigung PokslawAdiministrator E Se di Aie die Gruppenzugeh rigkeit des Erlaube L2TP IPSEC Verbindung Erlaube PPTP Verbindung Erlaube Passwort nderung 2 gt e Hier k nnen sie dem Benutzer einen Firewall Filter keinen Filter verwenden E spezifischen Firewall Filter zuordnen Speichern Abbrechen Das Men Benutzer bearbeiten Mitglied der Gruppe Hier legen Sie fest welche Berechtigungen der Berechtigungen Benutzer erh lt Den Benutzer User2 bearbeiten Bezeichnung Wert Beschreibung Benutzername eer Benutzername allel Hier das Passwort eingeben Eine Eingabe ist Passwortbest tigung Do j nur zum ndern des Passwortes n tig Mitglied der Gruppe Lokaler Administrator Erlaube L2TP IPSEC Verbindung Erlaube PPTP Verbindung vi Erlaube Passwort nderung keinen Filter verwenden z Hier k nnen Sie dem Benutzer einen Firewall Filter keinen Filter verwenden E SER Firewall Filter zuordnen Speichern Abbrechen Hier legen Sie die Gruppenzugeh rigkeit des Benutzers fest
15. ExternCA Bezeichnung Zum Herunterladen der CRL Daten folgenden Link als Datei speichern ExternCA Datei mit den CRL Daten Durchsuchen S _ Zum Importieren der Oder CRL Daten eine Datei oder d i eine g ltige URL z B URL der CRL http www msm net de cert crl angeben CRL importieren OpenSSL gt Certificate Revocation List CRL Version 2 0x1 Signature Algorithm mdSwithRSAEncryption Issuer C DE ST Th L Zeulenroda O msm net OU docu CN ExternCA emai LAddress service msm Last Update Dec 29 13 43 01 2011 GMT Next Update Jan 23 13 43 01 2012 GMT CRL extensions Gig X509v3 Authority Key Identifier keyid FE 48 81 9D 03 D4 C8 72 E8 6C 8B 7F B1 C8 EC B1 E4 FB 0A 08 a i alec net OU docu CN ExternCA emai LAddress ser serial 0l CRL Importieren No Revoked Certificates x Signature Algorithm mdSwithRSAEncryption c6 9d 01 74 e0 bf 9b cd 8c 34 e6 28 0d d0 74 15 89 a3 61 38 71 89 91 70 ad 4e da 54 46 ac 26 de 56 50 dd b3 67 02 6d bf ab d3 90 84 1la eb 92 2c b1l 4d 9d 53 c8 58 61 da fc 0a 7f c5 ed 44 cf 01 ab fd c8 2d b2 3c 5a e7 SS ee gt Abbrechen Seite 43 msm net meissner GmbH kompetent kreativ innovativ HINWEIS Verwalten von Certificate Revocation Lists gt Ist der private Schl ssel einer CA vorhanden kann eine Certificate Revocation List erstellt verwaltet und exportiert werden gt Ist kein privater Schl ssel vorhanden kann ein
16. Lokales Netz Lokale Tunnel IP Adresse Netzmaske nur f r IPv4 st Remote Netz Remote Tunnel IP Adresse Netzmaske Erlaube IPX ja nein Wenn Sie das IPX Protokoll ber den GRE Tunnel erlauben m ssen Sie die remote IPX IPX Adresse Netzadresse eingeben L 3 EEE Geben Sie einen Schl ssel zur GRE Schl ssel Verschl sselung des GRE Tunnels ein f S p Hier k nnen Sie die Checksummenpr fung Checksumme nutzen ie nein des GRE Tunnels erlauben Lokales Protokoll Port Kompression Hier k nnen Sie die Priorit t dieser Verbindung festlegen Nummer 10 ist die kleinste und 65000 die h chste Priorit t Sie k nnen f r ausgehendes DNAT Ziele Remote Ziele angeben die anstelle der Remote Netz Definition unter IPSEC native erreichbar sind Sie k nnen f r eingehendes DNAT Ziele angeben die anstelle der Lokales Netz Definition unter IPSEC native erreichbar sind w hlen Sie einen Firewall Filter f r diese Verbindung aus Speichern Abbrechen Priorit t Lokale Ziele Firewall Filter Seite 49 msm net meissner GmbH kompetent kreativ Das Men Verbindung bearbeiten Bearbeiten der IPSEC Verbindung MusterA I2A innovativ Bezeichnung wert IPv4 IPv6 IPv4 oder IPv6 Beschreibung w hlen Sie IPv4 oder IPv6 als Netzwerkprotokolltyp aus Alle nachfolgenden IP Adressen m ssen dem hier ausgew
17. Sie ein Ident Zertifikat erstellen Wahlen Sie eine CA zum Ident Zertifikat Signieren aus und geben Sie fiir den privaten erstellen Passwort PIN f r den privaten Schl ssel der CA SERIES HR Pas wart E dic Hari PIN der Smartcard ein 1 Root CA Zertifikat erstellen zum Erzeugen Root CA Zertifikat erstellen einer selbssignierten Root CA wahlen und das Passwort des privaten Schl ssels der Sub CA Zertifikat erstellen Zertifikatsanforderung eingeben e Zum Erzeugen einer Sub CA wahlen Sie bitte Passwort PIN des privaten Schl ssels eine CA aus und geben das Passwort f r den CA Zertifikat nn privaten Schl ssel dieser CA ein erstellen wenn der private Schl ssel auf einer Prim re URL der CRL optional Smartcard gespeichert wurde bitte den Benutzer PIN der Smartcard eingeben Sekund re URL der CRL optional Optional kann die URL f r die CRL Verteilungspunkte in das CA Zertifikat integriert werden Signieren Abbrechen Seite 36 jf msm net meissner GmbH U kompetent kreativ innovativ MH L schen einer Zertifikatsanforderung Wird eine Anforderung nicht mehr ben tigt kann diese im Men Zertifikatsanforderungen gel scht werden W hlen Sie die entsprechende Anforderung und klicken Sie danach auf die Schaltfl che Zertifikatsanforderung l schen Anschlie end wird die nachfolgende Warnmeldung angezeigt Die Aktion wird mit dem Bet tigen der Schaltfl che Anfoderung l schen
18. Zoll Ger te in einem Rack installieren sollten Sie die Ger te mit dem Schwersten von unten beginnend nach oben einsetzen gt Halten Sie einen der mitgelieferten Montagehalter an eine Seite der VPN Appliance Dabei m ssen die Montagebohrungen an der VPN Appliance mit den entsprechenden Bohrungen am Halter bereinstimmen gt F hren Sie die mitgelieferten Schrauben in die Montagebohrungen am Halter ein und ziehen Sie diese mit einem Schraubendreher fest gt Wiederholen Sie den Vorgang f r den anderen Rackmontagehalter auf der gegen berliegenden Seite der VPN Appliance gt Setzen Sie die VPN Appliance im 19 Zoll Rack 48 3cm ein wobei die Montagebohrungen am Ger t mit den entsprechenden ffnungen am Rack zur Deckung kommen m ssen gt Befestigen Sie die VPN Appliance im Rack mit Rack Schrauben oder mit K figmuttern und den entsprechenden Schrauben mit Unterlegscheibe je nach Bauart des Racks Ziehen Sie zuerst die unteren Schrauben und danach die oberen fest Anschlie en der Verkabelung Lesen Sie bitte aufmerksam die Sicherheitshinweise Schlie en Sie zuerst die informationstechnischen Kabel an bevor Sie die Stromversorgung herstellen Ein Nichtbeachten kann zu Defekten am Ger t und anderen Netzwerkkomponenten f hren Sobald die VPN Appliance mit Strom versorgt wird beginnt der Bootvorgang Zum Minimieren von EMV St rungen sollten f r die informationstechnische Verkabelung m glich
19. Zustand der VPN Appliance informieren Bitte beachten Sie der Listeninhalt entspricht dem aktuellen Systemzustand zum Zeitpunkt des Aufrufes ope link src 192 168 32 240 Seite 68 J msm net meissner GmbH yf kompetent kreativ innovativ r 6 7 6 Netzwerk Werkzeuge Die Werkzeuge ICMP Echo Request Network Dump und Traceroute k nnen ber die Konfigurationsoberfl che direkt aus dem Ment Netzwerk Werkzeuge gestartet werden In Abh ngigkeit vom verwendeten Browser werden die Ergebnisse in einem neuen Fenster oder einem neuen Tab angezeigt Das Men Netzwerk Werkzeuge Men Netzwerk Werkzeuge EES Service Partner Sitema Ger te Informationen Allgemeine Einstellungen Datum und Uhrzeit Benutzer Administration Netzwerkschnittstellen VPN Einstellungen Firewall Einstellungen Service Webinterface Zertifikat Radius Client Routing Protokolle IPv6 Router Ver ffentlichungsdienst Systeminformationen Netzwerk Werkzeuge ICMP Echo Request Netzwerk Dump Traceroute Standortdaten Aktuelle Logdatei einsehen Upload Download Abmeldung Seite 69 msm net meissner GmbH d kompetent kreativ innovativ ICMP Echo Request ICMP Echo Request Wahlen Sie Ihre Optionen f r den ICMP Echo Request und bet tigen Sie START PING Nach Ausf hrung des Befehls wird das Ergebnis in einem neuen Browserfenster oder TAB angezeigt Bez
20. es m glich eine beliebige Anzahl von lokalen Netzwerken und Au endienstmitarbeitern in einem VPN ber das Internet zu vernetzen F r weiterf hrende Informationen stehen wir Ihnen jederzeit gern zur Verf gung Dipl Ing Manfred Mei ner Seite 5 msm net meissner GmbH kompetent kreativ innovativ EG Konformitatserklarung Hersteller msm net meissner GmbH Anschrift Greizer Strasse 87 D 07937 Zeulenroda Triebes Bundesrepublik Deutschland Produktbezeichnung Mini VPN Appliance und Midi VPN Appliance Die bezeichneten Produkte stimmen in der von uns in Verkehr gebrachten Ausf hrung mit den Vorschriften folgender Europ ischer Richtlinien berein 2004 108 EG Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedsstaaten ber die elektromagnetische Vertr glichkeit 2006 95 EG Richtlinie des Rates zur Angleichung der Rechtsvorschriften der Mitgliedstaaten betreffend elektrische Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen msm net meissner GmbH Zeulenroda den 15 09 2010 Manfred Mei ner Steffen Mei ner Diese Erkl rung bescheinigt die bereinstimmung mit den genannten Richtlinien ist jedoch keine Zusicherung von Eigenschaften Die Sicherheitshinweise der mitgelieferten Produktdokumentation sind zu beachten This declaration certifies the conformity to the specified directives but contains no assurance of proporties The safety documentation accompanying the product
21. f4ff feab Nur einen Eintrag pro Zeile Speichern Hauptmen Abbrechen Interne IPv6 Routen Seite 28 msm net meissner GmbH kompetent kreativ innovativ 6 4 2 Externes Interface WAN Konfiguration des externen Interface Bezeichnung Wert Beschreibung Feste IP Adresse 192 168 18 50 IP Adresse Subnetzmaske 255 255 255 0 Externe Routen 0 0 0 0 0 0 0 0 192 168 18 254 IPv6 Adressen IPv4 Adresse des externen Interface Subnetzmaske des externe Interface Eine Auflistung der Routen ber das externe Interface Bitte folgendes Format verwenden Netzwerkadresse Subnetzmaske Gatewayadresse Nur ein Eintrag pro Zeile IPv6 Adressen des externen Interface Bitte folgendes Format verwenden Adresse Netzmaske z B fe80 240 f4ff fe80 ef97 64 Nur ein Eintrag pro Zeile Externen IPv6 Routen Eine Auflistung der Routen ber das externe Interface Bitte folgendes Format verwenden Zielnetzwerk Gateway z B 2001 240 32 fe80 240 f4ff feab Nur ein Eintrag pro Zeile PPPOE anna Ce Hier den Loginname zur Anmeldung bei g Ihrem Provider eintragen Passwort Hier das Login Passwort eingeben Eine Eingabe ist nur zur Passwort nderung Passwortbest tigung notwendig Einw hlen bei Bedarf nach einer Leerlaufzeit von nie trennen Trennen um oo oo Uhr erlaubter Verbindungszeitraum oo E
22. ipsec d private d0860e68 vpnrouter pluto 6305 loading secrets from etc ipsec d secrets MusterA I2At vpnrouter pluto 6305 loaded private key file etc ipsec d private dos60e68 v x m deeg So ine aan te re es ER tes lennel adina nan nom 1 iate innn atan Hauptmen Seite 74 WA msm net meissner GmbH y fo kompetent kreativ innovativ 6 10 Upload und Download ber das Men Upload Download wird eine Funktion f r Backup und Wiederherstellung der Systemeinstellungen auf bzw von einem lokalen Administrationshost zur Verf gung gestellt Au erdem wird in diesem Men die Update Funktion zur Verf gung gestellt Der Update Prozess setzt jedoch ein g ltiges Update voraus Das Men Upload Download Uploads und Downloads Beschreibung Zum Wiederherstellen einer vorherigen Konfiguration die Backup Datei ausw hlen und anschlie end hochladen Hier k nnen Sie die aktuelle Konfiguration der VPN Appliance als Datei sichern w hlen Sie eine installierbare Updatedatei aus und bet tigen Sie Start Update Es wird dringend empfohlen die Konfiguration vor und nach einem Update zu sichern Bezeichnung Wert Durchsuchen ___Konfiguration Wiederherstellen ___Konfiguration Wiederherstellen Backup der Konfiguration Konfiguration Sichem Konfiguration Sichem Erstellen Durchsuchen Start Update Laden eines Backups der Konfigurationsdaten
23. r alle Einstellungen die direkt in den Konfigurationsdateien vorgenommen werden k nnen sind unter dem Men punkt Hilfe die entsprechenden originalen Manpages aufrufbar Diese Manpages bieten einen detaillierten berblick ber die einzelnen Optionen der Konfigurationsdateien ber die Sitemap k nnen Sie sich jederzeit die Men struktur betrachten und direkt zu den einzelnen Untermen s navigieren Unter dem Men punkt Netzwerk k nnen Sie die f r Ihr Netzwerk notwendigen Einstellungen vornehmen Bitte beachten Sie dass gegebenenfalls die ge nderte Zugriffsadresse des internen Interfaces in Ihrem Browser neu eingegeben werden muss HINWEIS Experten Einstellungen gt Die in diesen Men s vorgenommen Konfigurationseinstellungen haben direkte Auswirkung auf das Verhalten der jeweiligen Dienste gt Die hier vorgenommenen nderungen werden nicht auf m gliche Fehler berpr ft gt Bitte beachten Sie falsche oder inkorrekte Optionen k nnen Fehlfunktionen oder den Verlust von Daten hervorrufen Die Netzwerk Interfaces gt Unter dem Men Netzwerkinterfaces k nnen Sie die f r Ihr Netzwerk notwendigen Einstellungen vornehmen gt Bitte beachten Sie dass gegebenenfalls die ge nderte Zugriffsadresse in Ihrem Browser eingegeben werden muss Seite 19 msm net meissner GmbH kompetent kreativ innovativ 6 1 Allgemeine Einstellungen Das Meni Allg
24. rigen Daten gel scht Die L schung erfolgt permanent Wenn Sie sicher sind dann klicken Sie auf L schen L schen Abbrechen gt Bevor eine Verbindung gel scht werden kann muss sie erst deaktiviert werden Das Men IPSEC Status msm vpn wartung 10 0 0 1 32 172 16 0 251 C DE ST TH L Niederpoellnitz O msm net ing msm vpn wartung newest ISAKMP SA 0 newest IPsec SA 0 TESTmsmnet R1B 10 180 181 0 29 172 16 0 251 4500 C DE ST Th paN ederpaellnitz O msm TESTmsmnet R1B newest ISAKMP SA 35422 newest IPsec SA 354 TESTmsmnet R1B STATE_QUICK_I2 sent QI2 IPsec SA established EVENT_SA_REPLACE TESTmsmnet R1B esp 6ca3443e 62 50 33 130 0 bytes esp d6ab4378 172 16 0 251 Ob TESTmsmnet R1B STATE_QUICK_I2 sent QI2 IPsec SA established EVENT_SA_EXPIRE 1 TESTmsmnet R1B esp 78235b93 62 50 33 130 pyres esp e04bd940 172 16 0 251 O b TESTmsmnet R1B STATE_MAIN_I4 ISAKMP SA established EVENT_SA_REPLACE in 1660s Abbrechen Seite 53 ya J 7 A A msm net meissner GmbH kompetent kreativ innovativ 6 5 3 L2TP Administration Zum Herstellen von VPN Verbindungen ber das Layer 2 Transport Protocol ist in unsere VPN Appliances ein L2TP Server integriert Alle auf die VPN Appliance bezogenen Einstellungen k nnen in dem nachfolgenden Men vorgenommen werden Die Benutzerverwaltung kann lokal unter der Benutzerverwaltung im Hauptm
25. show last 200 li vpnrouter vpnrouterconfig 16657 User ADMINISTRATOR Action show last 200 li vpnrouter vpnrouterconfig 30414 User ADMINISTRATOR Action show last 200 li vpnrouter bird OSPF Refreshing my LSA Type 1 Id 192 168 18 50 Rt 192 16 vpnrouter vpnrouterconfig 6237 User ADMINISTRATOR Action show last 5000 li vpnrouter logger save Logs hourly start at Mon Mar 5 13 00 00 CET 2012 vpnrouter syslogd 1 4 1 restart Hg vpnrouter tagger see save Logs hourly finished at Mon Mar 5 13 00 01 CET 2 vpnrouter bird OSPF Refreshing my LSA Type 1 Id 192 168 18 50 Rt 192 16 vpnrouter ntpd 3024 offset 0 000000 sec freq 0 000 ppm error 0 000008 poll 4 vpnrouter vpnrouterconfig 15668 User ADMINISTRATOR Action list IPSEC conne vpnrouter vpnrouterconfig 15671 User ADMINISTRATOR Action read IPSEC conne vpnrouter ENEE User ADMINISTRATOR Action save activate IP vpnrouter pluto 6305 Torget ting secrets vpnrouter pluto 6305 loading secrets from etc ipsec secrets vpnrouter pluto 6305 loading secrets from etc ipsec d secrets ADACeV P2A 2 vpnrouter pluto 6305 _ loaded private key file etc ipsec d pr vate d0860e68 vpnrouter pluto 6305 loading secrets from etc ipsec d secrets MusterA I2A t vpnrouter pluto 6305 loaded private key file etc ipsec d private d0860e68 vpnrouter pluto 6305 loading secrets from etc ipsec d secrets MusterA I2A s vpnrouter pluto 6305 _ loaded private key file etc
26. to be sent every 3 10 seconds This range 1s good for 6to4 with a dynamic IPv4 address but can be greatly increased when not using 6t04 prefixes MinRtrAdvInterval 3 MaxRtrAdvinterval 10 You can use AdvDefaultPreference setting to advertise the preference of the router for the purposes of default router determination NOTE This feature is still being specified and is not widely supported Speichern Abbrechen Hilfe Seite 67 msm net meissner GmbH kompetent kreativ innovativ 6 7 5 Systeminformationen Das Men Systeminformationen Aktuelle Systeminformationen 0 from all looku 4294967286 4294967287 4294967288 4294967289 4294967290 4294967291 4294967292 4294967293 4294967294 4294967295 rom from from from from from from from from from a all all all all all all all all IPv4 routing table main local iif etho lookup vpn_out iif ethO looku all f wmark fwmark fwmark fwmark fwmark lookup lookup lookup 0x3 lookup 0x3 lookup 0x7 lookup 0x7 lookup 0x7 lookup vpn_in main default main unreachable vpn_in main unreachable vpn_out vpn_in main unreachable 192 168 18 0 24 dev ethl proto kernel scope link src 192 168 18 50 192 168 32 0 24 dev ethO proto kernel sc default via 192 168 18 254 dev ethl v e E RN gt Abbrechen In den Systeminformationen kann sich ein versierter Techniker ber den aktuellen
27. 0 36628 9571 0 Fax 49 0 36628 9571 130 Seite 12 msm net meissner GmbH kompetent kreativ innovativ Z 5 Einbauanleitung 5 1 Vorbereitung am Aufstellort Die VPN Appliances sind f r den Einbau in einem Standard Netzwerkschrank mit den Ma en 48 26cm 19 Zoll Breite vorgesehen Bevor Sie das Ger t verwenden pr fen Sie bitte ob folgende Voraussetzungen erf llt sind Stromversorgung gt Die VPN Appliance sollte in der N he einer leicht zug nglichen Steckdose mit einer Wechselspannung von 110 240V bei 50 60Hz installiert werden Zugang gt Der Bediener sollte an der Vorder und R ckseite ausreichend Bewegungsfreiheit haben Auch Verkabelung Stromanschl sse und Bel ftungs ffnungen sollten problemlos zug nglich sein Verkabelung gt Die Kabel sollten so sorgf ltig verlegt und fixiert werden dass elektromagnetische Einstreuungen durch Funksender Funkverst rker Stromleitungen sowie Leuchtmittel vermieden werden Umgebung gt Die Umgebungstemperatur darf nicht niedriger als 10 C oder h her als 45 C sein gt Maximal 95 relative nicht kondensierende Luftfeuchtigkeit Ist die VPN Appliance f r den Einsatz von Smartcards vorgesehen muss beim Einbau in einem 19 Zoll Rack auf gen gend Abstand zur Frontt r geachtet werden Seite 13 msm net meissner GmbH kompetent kreativ innovativ 5 2 Auspacken Inhalt der Versandverpackung Kontrolliere
28. 117 ms A XX XX XX XX 54 054 ms 57 453 ms 61 361 ms 5 XX XX XX XX 75 382 ms 77 808 ms 80 240 ms 6 XX XX XX XX 88 859 ms 89 303 ms 89 510 ms 7 XX XX XX XX 89 204 ms 91 880 ms 95 039 ms 8 XX XX XX xXx 98 967 ms 101 886 ms 104 567 ms 9 10 NOTE Das Ergebnis des Traceroute wird erst nach dem vollst ndigen Durchlaufen des Befehls angezeigt Eine kleinere Anzahl von abzufragenden HOPS f hrt daher rascher zum Ergebnis Ergebnisfenster oder Tabs k nnen einfach geschlossen werden Seite 72 msm net meissner GmbH d kompetent kreativ innovativ VA 6 8 Standortdaten In den Standortdaten k nnen Kontaktdaten eines Vor Ort Ansprechpartners eingetragen werden Dies hat sich insbesonders bei gr eren Installationen bew hrt Das Men Standortdaten der VPN Appliance Standortdaten Beschreibung msm msmnetmeissnerGmbH 0 2 O meissner msmnetmeissnerGmbH 0 2 O Firmenname Bezeichnung Firmenname Greizerstrasse87 87 Strasse und Hausnummer 07937 eeneg IL und Ort Strasse Nummer PLZ Ort lokaler Kontakt Manfred Mei ner Telefonnummer 36628 95710 Telefonnummer des lokalen Kontakts Fax Nummer F xNummer 49 366289571130 U 36628 9571 130 Fax Fax Nummer des lokalen Kontakts des lokalen Fax Nummer des lokalen Kontakts Eal Eal Jinfo msm netde SSCs net Jinfo msm netde SSCs E Mail des lokalen Kontakts
29. E Mail des lokalen Kontakts des lokalen Kontakts Kommentar Speichern Abbrechen Anrede Vorname und Name Kommentarfeld zur freien Verf gung Seite 73 jf msm net meissner GmbH kompetent kreativ innovativ 6 9 Logdatei Mithilfe des Men punktes Aktuelle Logdatei einsehen ist es m glich die aktuelle Logdatei der VPN Appliance direkt einzusehen In der Standardkonfiguration werden beispielsweise allgemeine Informationen ber den Systemzustand die VPN Verbindungen die Authentifizierung der Administration und Firewall Ereignisse protokolliert Alle 24 Stunden wird ein Spool Vorgang zum Archivieren der Logdatei gestartet Der Versand der Logdatei per E Mail kann in dem Men Allgemeine Einstellungen konfiguriert werden Dar ber hinaus bietet die msm net meissner GmbH einen zentralen Log Server f r das Management der Log Dateien an Das Men Aktuelle Logdatei einsehen Aktuelle Logdatei Die letzten 5000 Zeilen der Logdatei anzeigen Anzeige aktualisieren odder ave vpnrouter syslogd 1 4 1 restart o vpnrouter Logger aac save Logs hourly finished at Mon Mar 5 12 00 00 CET 2 vpnrouter bird OSPF Refreshing my LSA ES 1 Id 192 168 18 50 Rt 192 16 vpnrouter ntpd 3024 offset 0 000000 sec freq 0 000 ppm error 0 000008 poll 4 vpnrouter vpnrouterconfig 7943 User ADMINISTRATOR Action read location set vpnrouter vpnroutercontig 16169 User ADMINISTRATOR Action
30. Funktionen realisiert Systemzustand Funktion Beschreibung Ausgeschaltet Systemstart Durch einen kurzen Druck auf den Netzschalter wird das System gestartet Die Betriebsbereitschaft wird dem Benutzer durch ein akustisches Signal gemeldet Eingeschaltet Shutdown System Durch einen kurzes Bet tigen des Netzschalters lt 1s wird herunterfahren das System geordnet heruntergefahren und ausgeschaltet Bei diesem Vorgang werden alle relevanten Daten gespeichert Systemstopp Durch ein l ngeres Bet tigen des Netzschalters gt 2s wird das System sofort ausgeschaltet Bei diesem Vorgang k nnen wichtige Daten verloren gehen Durch ein l ngeres Bet tigen des Netzschalters gt 2s wird das System sofort ausgeschaltet Ein sofortiges Ausschalten des Systems kann zum Verlust von wichtigen Daten f hren Seite 9 msm net meissner GmbH kompetent kreativ innovativ 4 2 Anschl sse auf der R ckseite der VPN Appliance Die f r den Betrieb notwendigen Anschl sse der VPN Appliance sind grunds tzlich von der Konfiguration der f r den konkreten Einsatzzweck geforderten Schnittstellen abh ngig Allen Ger ten gemein ist jedoch folgende Grundausstattung gt Stromversorgungsanschluss ggf sind die Einstellungen des Netzteils zu beachten gt Internes Interface LAN in der Regel 1000Base T Ethernet gt Externes Interface WAN in der Regel 1000Base T Ethernet Andere m gliche Var
31. ONE protocol by number or name tcp invert match when only SYN flag eg tcp set a equivalent to syn RsT ack SYN in invert source f field above Address Netmask invert a match source port s destination 73 3 3 f port port invert Address Netmask invert match destination port s 25 S port port invert extended match tcp match if TCP option set 1 255 invert target for rule REJECT v Options for Target REJECT ICMP type to reject with _tcp reset v save cancel v Das Bearbeitungsmen f r eine ausgehende Source NAT Regel Options for extendend Match tcp Direction OUTGOING y TCP mask space comp match when TCP flags amp mask comp i t standart matches Flags SYN ACK FIN RST URG PSH ALL SE NONE protocol by number or name tcp invert match when only SYN flag eg tcp set equivalent to SYN RST ACK SYN in invert source 79216832 field above Address Netmask invert dice match source port s destination 10 2 1 0724 port port invert Address Netmask invert match destination port s ES port port invert extended match tcp match if TCP option set 1 255 invert target for rule SNAT v Options for Target SNAT Address to map source to You can use this more than once ipaddr ipaddr port port save cancel Fe Seite 61 A msm net meissner GmbH kompetent kreativ innovativ Die Warnmeldung Filter l schen L schen des Filters test I Warnung
32. PPPOE gew hlt und konfiguriert werden Seite 27 6 4 1 msm net meissner GmbH kompetent kreativ innovativ Internes Interface LAN Konfiguration des internen Interface Bezeichnung Wert Beschreibung IP Adresse J192 168 32 240 IP Adresse des internen Interface Subnetzmaske 255 255 255 0 Subnetzmaske des internen Interface Eine Auflistung der Routen ber das interne Interne Routen Interface Bitte folgendes Format verwenden Netzwerkadresse Subnetzmaske Gatewayadresse Nur einen Eintrag pro Zeile IT Virtuelle IPv4 Adresse f r den redundanten Betrieb S i i 4A WEE Die MAC Adresse der virtuellen IPv4 Adresse ist f r den redundanten Betrieb notwendig W hlen Sie zwischen manueller Eingabe oder IPX kein IPX verwenden automatischer Generierung automatisch beziehen Unterst tzung des IPX Protokolls einstellen virtuelle IPv4 Adresse MAC Adresse fir die virtuelle IPv4 Adresse Die IPX Netzwerknummer manuell setzen IPX Netzwerknummer oder lassen Sie diese automatisch ermitteln IPv6 Adressen des internen Interface Bitte folgendes Format verwenden Adresse Netzmaske z B fe80 240 f4ff fe80 ef97 64 Nur einen Eintrag pro Zeile IPv6 Adressen Eine Auflistung der Routen ber das interne Interface Bitte folgendes Format verwenden Zielnetzwerk Gatewayadresse z B 2001 240 32 fe80 240
33. Sie fest nach welcher Leerlaufzeit die Verbindung getrennt werden soll w hlen Sie zwischen lokaler oder remote Authentifizierung via RADIUS Server siehe Men Service gt RADIUS Client nie z Authentifizierung Lokale Benutzerauthentifizierung autom Trennung nach Remote via RADIUS CHAP v CHAP MS V1 v CHAP MS V2 PAP Speichern Experten Einstellungen Abbrechen Hier k nnen Sie die erlaubten Authentifizierungsmethoden ausw hlen Authentifizierungmethode Seite 54 msm net meissner GmbH kompetent kreativ innovativ VA Experten Einstellungen f r den L2TP Server Bestehen dar ber hinaus weitergehende Konfigurationsanforderungen k nnen diese ber das Men Experten Einstellungen direkt in den Konfigurationsdateien des L2TP Servers erfolgen Dort ist auch eine ausf hrliche Online Hilfe ber alle Konfigurationsparameter vorhanden Das Experten Men f r den L2TP Server Experten Einstellungen f r den L2TP Server Sie k nnen in die Eingabefenster des L2TP und des PPP Managers Ihre eigenen Konfigurationen schreiben und speichern Achtung diese Konfigurationen werden nicht berpr ft L2TP Manager This is a minimal sample l2tpd configuration file for use with L2TP over IPSEC The idea is to provide an L2TP daemon to which Microsoft L2TP IPSEC remote clients connect In this example the internal protected network Hilf
34. Status Hauptmen Abbrechen Das Men Globale IPSEC Einstellungen Gemeinsame Parameter die f r alle IPSEC Verbindungen gelten werden in dem Men Globale IPSEC Einstellungen konfiguriert Globale IPSEC Konfiguration Bezeichnung Wert Beschreibung IPSEC Aktivieren v IPSEC starten Aktivieren der IPSEC Dienste En F Aktivieren der NAT T Unterst tzung NAT Traversal Aktivieren ja mam hoe Adress Translation Traversal Strikte CRL Policy a ja nein Konsequentes anwenden der CRL Richtlinie TOS Feld L schen ig O e Si der getunnelten Packete auf 0 Speichern Experten Einstellungen Abbrechen Seite 46 E msm net meissner GmbH S kompetent kreativ innovativ VA Das Expert Einstellungen Men f r die globale IPSEC Konfiguration Experten Einstellungen f r die globale IPSEC Konfiguration Sie k nnen in diesem Eingabefenster Ihre eigene Konfiguration schreiben und speichern Achtung diese Konfiguration wird nicht berpr ft etc 1 psec cont EreeS WAN IPsec configuration version 2 0 basic configuration config setup pkes1inedule usr Local Lib pkcs11 2 ensc piesti so virtual _private v4 10 0 0 8 v4 a 168 Berle v4 62 225 101 0 8 virtua _private v4 10 0 ae 0 8 v4 192 ies 0 0 16 pkcsllkeepstate no interfaces sdefaultroute klipsdebug none Klipsdebug all Lutodebug none p t todeb plutodebug all Speichern Abbrechen Hilfe
35. age und Anschlie en der VPN Applance nee 15 5 3 Efslinbelriebnahme N Leise ee fire 16 B BedI HUNG re ee ee nt Pree ee en Cer ener te re ea ee ee 19 6 1 Allgemeine Einstellungen EE 20 6 2 Datum und Uhrzeit er ee einieihe 21 6 3 Benutzer e uni Edel EEN 22 EE ellen GE 26 6 4 1 lnternes Interface LAN susanne ole ciel anak teats 27 6 4 2 Externes Interface WAN e 28 6 5 VPN EINSTEIN GCI eu tt eisen 29 6 5 1 PKIAdministratior eee ee ee a et 30 8 52 IPSEC ene alt e EE 45 6 53 121P OMNIS Ee 52 6 54 PP IP Administration e ri 54 6 6 Firewall Einstellungen ee ee gen 56 6 7 Das Service Menden ae ee 61 6 7 1 Zuweisen eines Zertifikates f r das Webimtertace nennen nennen 62 672 Re E EE 63 6 7 3 Routing Protokoll Konfiguration arena 64 6 7 4 1pv6 Router Ver ffentlich ngsdienst u me ns ee 65 E Eu D Mee EE 66 6 7 6 NElzwerk Werkzelge EE 67 6 8 Standolldaten ensure eines 71 GE See EE 72 B10 pload ind Download ston et neh aan etna ea inte incl tetany leas 73 7 Service und ei De EE 74 8 Technische Da loses ee nee ee elise et Dah ete te act aca Sele 75 EN AUG den EE 75 8 2 Leistungsparameter der VPN Apphance Abu 76 Seeerei eege 78 G ege te Ee ae eek tage ihre begehen ae er 79 Seite 3 msm net meissner GmbH kompetent kreativ innovativ Seite 4 msm net meissner GmbH kompetent kreativ innovativ 1 Vorwort Herzlichen Gl ckwunsch zu Ihrer Entscheidung VPN Appliances von msm net f r die Re
36. alisierung Ihrer VPN L sungen einzusetzen Unsere Produkte basieren in allen Austattungsformen auf Standard IPC Komponenten und erf llen alle unter dem Punkt 8 3 aufgelisteten internationalen Standards Von diesen Fakten ausgehend ergibt sich f r Sie eine sehr hohe Investitionssicherheit F r die Planung und Realisierung eines VPN m ssen alle technischen belange von bestehenden Netzwerken sowie deren technische Anbindung an das Internet und die mobile Kommunikation des Au endienstes ber cksichtigt werden Aus diesem Grund ist es von besonderer Bedeutung dass zuerst eine IST Analyse ber alle zu integrierenden Bestandteile vorgenommen wird Von dieser IST Analyse ausgehend kann eine klare Zieldefinition mit allen umzusetzenden Ma nahmen und Anforderungen erfolgen F r die Realisierung ihrer VPN L sung bieten wir Ihnen folgende Leistungen an gt Beratungs Planungs und Projektierungsleistungen zur Schaffung von VPN L sungen im internationalen und nationalen Umfeld Erstellung eines Betriebskonzeptes f r VPN Netzwerke Erstellung eines Mengenger stes f r die Bestimmung der Hardwareanforderungen Installation Konfiguration und Inbetriebnahme der Hard und Software Ihrer Komponenten des VPN berwachung und Auswertung von Protokolldateien regelm ige Sicherheits berpr fungen VW VV V WV Remote und Vorort Service und Wartung gt Einweisung und Schulung lokaler Administratoren Durch die Nutzung unserer Produkte ist
37. auswahl Custom Geh use 19 Zoll 1HE Geh use 19 Zoll 2HE Geh use Server Geh use Die Geh useauswahl ist nur insofern frei wie es die technischen Gegebenheiten und Anforderungen an das System zulassen Sie wird insbesondere von der Ausstattung mit Schnittstellen und der Leistungsklasse bestimmt Eine gr ere Leistungsklasse stellt auch h here Anforderungen hinsichtlich Energieverbrauch und K hlbedarf Leistungsstufen Daten Durchsatz Mini lt 1 Mbyte sec Midi lt 10 Mbyte sec Maxi gt 80 Mbyte sec Seite 77 Kategorie msm net meissner GmbH kompetent kreativ innovativ 8 2 Leistungsparameter der VPN Appliance Details Betriebssystem Linux Hardware Systemplattform Industrie PC Komponenten Server Komponenten Skalierbar nach projektbezogenen Anforderungen Anzahl der m glichen VPN Verbindungen Nur durch die eingesetzte Hardware begrenzt Datendurchsatz Begrenzt durch die verwendete Methode Begrenzt durch die Leistungsstufe Authentifizierungsverfahren MD5 SHA1 SHA2 256 SHA2 384 SHA2 512 Verschl sselungsalgorithmen 3DES 192 AES 128 192 256 Blowfish 128 192 256 CAST6 128 192 256 Twofish 128 192 256 Serpent 128 192 256 Bitl ngen der DH MODP Group 786 1024
38. ch welcher Leerlaufzeit die autom Trennung nach ne E Verbindung getrennt werden soll E w hlen Sie zwischen lokaler oder remote g Authentifizierung via RADIUS Server siehe Remote via RADIUS Men Service gt RADIUS Client Authentifizierung CHAP CHAP MS V1 v CHAP MS V2 PAP v Hier k nnen Sie die erlaubten Authentifizierungsmethoden ausw hlen Authentifizierungsmethode keine MPPE 40 MPPE 128 MPPE 40 oder MPPE 128 Speichern Experten Einstellungen Abbrechen Wird CHAP MS V1 oder CHAP MS V2 zur Authentifizierung verwendet kann ein Point to Point Verschl sselungsverfahren genutzt werden Erforderliche Verschl sselung Seite 56 f msm net meissner GmbH kompetent kreativ innovativ r Experten Einstellungen f r den PPTP Server Bestehen dar ber hinaus weitergehende Konfigurationsanforderungen k nnen diese ber das Men Experten Einstellungen direkt in den Konfigurationsdateien des PPTP Servers erfolgen Dort ist auch eine ausf hrliche Online Hilfe ber alle Konfigurationsparameter vorhanden Das Men Experten Einstellungen f r den PPTP Server Experten Einstellungen f r den PPTP Server Sie k nnen in die Eingabefenster des PPTP und des PPP Managers Ihre eigenen Konfigurationen schreiben und speichern Achtung diese Konfigurationen werden nicht berpr ft PPTP Manager option GRENG pptp BASS
39. chl ssel eingeben oder die Benutzer PIN falls dieser auf einer Smartcard gespeichert ist 4 w hlen Sie das Partner Zertifikat oder geben Sie alternativ die Partner CA und das Subject des Partnerzertifikates an mit Pre Shared Key Left ID Right ID Pre Shared Key Lokales Netz boaousg Remote Netz 217 92 218 7632 Lokales Netz Ir Remote Netz Erlaube IPX ja nein IPX Adresse IPSEC native GRE Uber IPSEC nur f r IPv4 F r die Verwendung eines Pre Shared Key tragen Sie die entsprechenden Daten in die Eingabefelder ein Lokale Tunnel IP Adresse Netzmaske Remote Tunnel IP Adresse Netzmaske Lokale Tunnel IP Adresse Netzmaske Remote Tunnel IP Adresse Netzmaske Wenn Sie das IPX Protokoll ber den GRE Tunnel erlauben m ssen Sie die remote IPX Netzadresse eingeben GRE Schl ssel Checksumme nutzen ja nein Geben Sie einen Schl ssel zur Verschl sselung des GRE Tunnels ein Hier k nnen Sie die Checksummenpr fung des GRE Tunnels erlauben Liste der Backup Verbindungen Prioritat Hier k nnen Sie die Priorit t dieser Verbindung festlegen Nummer 10 ist die kleinste und 65000 die h chste Priorit t Remote Ziele Lokale Ziele Firewall Filter Sie k nnen f r ausgehendes DNAT Ziele angeben die anstelle der Remote Netz Definition unter IPSEC native erreichbar sind Sie k nnen f r eingehendes DNAT Ziele angeben die anste
40. d Uhrzeit Benutzer Administration Netzwerkschnittstellen VPN Einstellungen PKI Verwaltung IPSEC Administration L2TP Server Einstellungen PPTP Server Einstellungen Firewall Einstellungen Service Standortdaten Aktuelle Logdatei einsehen Upload Download Abmeldung Seite 30 msm net meissner GmbH if kompetent kreativ innovativ VA 6 5 1 PKI Administration Unter dem Men punkt PKI Verwaltung sind alle Werkzeuge zur Verwaltung von Zertifikaten zusammengefasst Das Men PKI Verwaltung Men PKI Verwaltung Service Partner Sitema Ger te Informationen Allgemeine Einstellungen Datum und Uhrzeit Benutzer Administration Netzwerkschnittstellen VPN Einstellungen PKI Verwaltung Zertifikatsanforderungen Zertifikate Smartcard Werkzeug IPSEC Administration L2TP Server Einstellungen PPTP Server Einstellungen Firewall Einstellungen Service Standortdaten Aktuelle Logdatei einsehen Upload Download Abmeldung Seite 31 msm net meissner GmbH kompetent kreativ innovativ 6 5 1 1 Die Verwaltung von Zertifikatsanforderungen Das Meni Zertifikatsanforderungen Zertifikatsanforderungen Verwalten Legende k Schliissel vorhanden Vorhandene Zertifikatsanforderungen Ihre Auswahl example_ca k Neue Zertifikatsanforderung erstellen example_client k example_host k example_sub ca k example_sub_ident k
41. e 1s 192 168 1 0 24 A special IP range 192 168 128 25 within this network is reserved for the remote clients global auth file etc l2to l2to secrets PPP Manager roxyar ipparam L2tp server au BUEL require mschap require mschap v2 plusi radius so authtilesutfix L2tp server homulti lin Speichern Abbrechen Seite 55 msm net meissner GmbH A kompetent kreativ innovativ 5 6 5 4 PPTP Administration Zum Herstellen von VPN Verbindungen ber das Point to Point Tunneling Protocol ist in unsere VPN Appliance ein PPTP Server integriert Alle f r die Verbindung relevanten Einstellungen k nnen in diesem Men vorgenommen werden Die Benutzerverwaltung kann ber einen RADIUS Server oder lokal unter der Benutzerverwaltung im Hauptmen erfolgen Dort erfolgt auch die Einstellung ob ein Benutzer Verbindungen zum PPTP Server aufbauen darf Das Men PPTP VPN Verbindungen PPTP Server Einstellungen Bezeichnung Wert Beschreibung PPTP Server Aktivieren PPTP Server starten Aktivieren des PPTP Servers Geben Sie f r den PPTP Server eine IP Adresse Server IP Adresse 192 168 101 1 ein Diese darf nicht identisch mit der IP Adresse des internen Interface sein z Ein Pool von IP Adressen der vom PPTP Server Client IP Adressbereich 192 168 101 2 254 anclientsverteilt nne 5 IPX Adressen Adress Bereich die der vom PPTP IPX Netzwerkbereich po Samer Venen Hier legen Sie fest na
42. e CRL lediglich importiert werden Zur Men Zertifikatsanfoderungen wechseln Durch das Anklicken der Schaltfl che Zertifikatsanforderungen Verwalten der Zertifikatsverwaltung k nnen Sie direkt zum Men Zertifikatsanforderungen Verwalten wechseln Seite 44 y msm net meissner GmbH E EY kompetent kreativ innovativ 6 5 1 3 Die Verwaltung von Smartcards Mithilfe des Smartcard Werkzeugs k nnen die Verwaltungsaufgaben initialisieren und reinitialisieren einer Smartcard durchgef hrt werden Bei diesen Vorg ngen werden sowohl die Administrator PIN als auch die User PIN auf der Karte gespeichert Diese PINs werden bei der weiteren Nutzung der initialisierten Smartcard ben tigt Das Men Smartcard Werkzeug Smartcard Administrationswerkzeug Bezeichnung Wert Beschreibung Administrator PIN ee Geben Sie die aktuelle Administrator PIN ein Benutzer Pin SIN Geben Sie die aktuelle Benutzer PIN ein Geben Sie die aktuelle Benutzer PIN ein die aktuelle Benutzer PIN ein hse Administrator PIN eingeben und in der Neue Administrator na zweiten Zeile best tigen r Benutzer PIN eingeben und in der zweiten Neus Ranuzer n Zeile best tigen Smartcard l schen und initialisieren Auf der Smartcard gespeicherte Informationen PIN Security Otticer PIN Com Flags pra Flags OxBA local unblock disabled initialized needs padding soPin Length min_len
43. eichnung Wert Beschreibung IP Adresse Ziel IP Adresse w hlen Sie hier die Anzahl der Echo Request Paketanzahl l gI Er i bn DEE START PING Hauptmen Abbrechen Ow Mozilla Firefox vw Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe 6 msm net VPN Firewall Rout e https 192 1 service_ping amp v PING 192 168 32 254 192 168 32 254 from 192 168 32 240 56 84 bytes of data 64 bytes from 192 168 32 254 icmp_seq l ttl 64 time 1 07 ms 64 bytes from 192 168 32 254 icmp_seq 2 ttl 64 time 0 207 ms 64 bytes from 192 168 32 254 icmp_seq 3 ttl 64 time 0 189 ms 64 bytes from 192 168 32 254 icmp_seq 4 tt1 64 time 0 169 ms 64 bytes from 192 168 32 254 icmp_seq 5 ttl 64 time 0 218 ms 192 168 32 254 ping statistics 5 packets transmitted 5 received 0 loss time 3999ms rtt min avg max mdev 0 169 0 370 1 070 0 350 ms HINWEIS Das Ergebnis des ICMP Echo Requests wird erst nach dem vollst ndigen Durchlaufen des Befehls angezeigt Eine kleinere Anzahl von Pakete f hrt daher rascher zum Ergebnis Die Ergebnisfenster oder Tabs k nnen einfach geschlossen werden Seite 70 msm net meissner GmbH kompetent kreativ innovativ VA Netzwerk Dump Netzwerk Dump Wahlen Sie die Optionen f r das Erstellen des Netzwerk Dumps und bet tigen Sie START DUMP Nach Ausf hrung des Befehls wird das Ergebnis in einem n
44. emeine Einstellungen Allgemeine Einstellungen Bezeichnung Wert Beschreibung Hostname vpnrouter Hostname des Routers Domainname localdomain DNS Dom nen Name Liste der IP Adressen von DNS Servern nur einen Eintrag pro Zeile Liste von DNS Servern 83 169 19 197 A Liste von NTP Servern o2 199 19 197 0 Liste von FQDN oder IP Adressen der NTP v Server nur einen Eintrag pro Zeile Wenn Sie einen externen Syslogserver verwenden wollen bitte hier den FQDN oder die IP Adresse eingeben Syslog Server Hier k nnen Sie die Weiterleitung von Daten zwischen VPN Verbindungen erlauben oder verbieten Sie m ssen den VPN Verbindungen dazu einen gemeinesamen Firewall Filter f r die Weiterleitung zuweisen IP Adresse oder FQDN eines optionalen Mail Relay Hostes der f r das Versenden der Mail Relay Host Logdateien benutzt werden soll E NallBanutzarneme TI Geben Sie den Benutzername zur Authentifizierung am Mail Relay Host ein E Mail Passwort Passwort des E Mail Benutzers zur Authentifizierung auf dem Mail Relay Host Die Eingabe ist nur zur Passwort nderung notwendig Weiterleitung von ja Datenverkehr zwischen VPN Verbindungen nein Passwort best tigen E Mail Adressen der Logdatei Empf nger durch Komma getrennt eintragen Ist keine E Mail Adresse eingetragen werden alte Logdateien gel scht wenn Sie einen Logdatei Empf ng
45. en oder ber einen RADIUS Server erfolgen Da L2TP nur in Verbindung mit IPSEC unterst tzt wird erfolgt die Konfiguration einer eingehenden IPSEC Verbindung zur Verwendung von L2TP im Men IPSEC VPN Verbindungen Die Konfiguration erfolgt in den Eigenschaften einer Verbindung unter den folgenden Abschnitten gt WV VV VV WV Lokales Protokoll Port z B 17 1701 Remote Protokoll Port z B 17 1701 Partner IP oder FQDN z B any f r Zugriff von jeder IP Adresse Authentifizierung z B mit Zertifikaten IPSEC native Lokales Netz Kein Eintrag IP SEC native Remote Netz z B vhost all Firewall Filter Eine Regel f r den IPSEC Teil der Verbindung benutzerspezifische Firewall Filter werden aktiviert sobald die L2TP Verbindung nach erfolgter Benutzerauthentifizierung etabliert wird Das Men L2TP Server Einstellungen L2TP Server Einstellungen L2TP Verbindungen arbeiten nur ber IPSEC Tunnel Bezeichnung wert Beschreibung L2TP Server Aktivieren L2TP Server starten Aktivieren des L2TP Servers Geben Sie f r den L2TP Server eine IP Adresse L2TP Server IP Adresse 192 168 100 1 ein Diese darf nicht identisch mit der IP Adresse des internen Interface sein 3 2 Ein Pool von IP Adressen der vom L2TP Server Client IP Adressbereich 192 168 100 2 192 168 100 254 En Clients verteiltwrd Hier legen
46. er eingetragen haben kann Wochentag und Uhrzeit zum Versenden der Logdatei festgelegt werden Ist nichts angegeben wird die Logdatei bei Erreichen der maximalen Gr e gesendet m Logdatei Empf nger Sendezeitpunkt der Logdatei Montag Dienstag um oo oo z uhr Mittwoch um 00 oo zl Uhr Donnerstag Freitag Samstag Sonntag E Mail Betreff Passwort Passwort best tigen Die Eingabe ist nur zur Passwort nderung notwendig Speichern Abbrechen Hier kann ein Betreff f r die E Mails angeben werden z B Logdatei von Hostname Die Logdateien werden als Passwort gesch tztes ZIP Archiv versendet Das Passwort f r das ZIP Archiv hier angeben Seite 20 msm net meissner GmbH if kompetent kreativ innovativ VA 6 2 Datum und Uhrzeit Das Men Datum und Uhrzeit Systemdatum und Uhrzeit einstellen Bezeichnung Wert Beschreibung Systemdatum 02 03 z 2012 gt Format Format des Systemdatums Jahr Monat Tag Format des Systemdatums Jahr Monat Tag Jahr Monat Tag Systemzeit im Format Stunde Minute und die Systemzeit und Zeitzone 11 gt i 28 Berlin z SE Datum und Zeit setzen Abbrechen Wird im laufenden Betrieb die Zeiteinstellung ge ndert kann es zu einer kurzen Unterbrechung der VPN Verbindungen kommen Seite 21 i msm net meissner GmbH WA kompetent kreativ
47. euen Browserfenster oder TAB angezeigt Bezeichnung wert Beschreibung w hlen Sie die Netzwerkschnittstelle aus Netzwerkschnittstelle IF EXTERN EI Nur die gwahlte Schnittstelle wird f r den Dump genutzt IPAdresse RR Geben Sie fiir den Ausgabefilter eine IP Adresse ein optional Av Tg Ein IP Protokoll f r den Ausgabefilter w hlen Protokoll ANY EN Der Term ANY bedeutet keine Filterung III Sd w hlen Sie die Anzahl der zu verarbeitenden Paketanzahl 2 S Datenpakete aus START DUMP Hauptmen Abbrechen Datei Bearbeiten Ansicht Chronik Lesezeichen Extras Hilfe 6 msm net VPN Firewall Rout 6 https 192 1 vice tcpdump v tcpdump listening on ethO link type ENIOMB Ethernet capture size 96 bytes 11 26 17 546332 IP tos 0x0 ttl 64 id 0 offset o flags DF proto ICMP 1 length 84 192 168 32 240 gt 192 168 32 254 ICMP echo request ic 11 26 17 546442 IP tos 0x0 ttl 64 id 26075 offset 0 flags none proto ICMP 1 length 84 192 168 32 254 gt 192 168 32 240 ICMP echo reply 11 26 18 546179 IP tos 0x0 ttl 64 id O offset O flags DF proto ICMP 1 length 84 192 168 32 240 gt 192 168 32 254 ICMP echo request ic 11 26 18 546315 IP tos 0x0 ttl 64 id 26076 offset 0 flags none proto ICMP 1 length 84 192 168 32 254 gt 192 168 32 240 ICMP echo reply 11 26 19 546024 IP tos 0x0 ttl 64 id 0 offset 0 flags DF proto ICMP 1 length 84 192 168 32 240 gt
48. h Rules werden die eigentlichen Regeln angezeigt Es ist zu beachten dass die Regeln sequentiell von oben nach unten abgearbeitet werden Die Eintr ge k nnen mit den Schaltfl chen ganz rechts manipuliert werden Die nderungen werden sofort nach dem Speichern des Filters wirksam HINWEIS Schaltfl che Anh ngen gt Eine neue Regel wird an letzter Stelle eingef gt Schaltfl che Einf gen gt Eine neue Regel wird oberhalb der markierten Regel eingef gt Schaltfl che Bearbeiten gt Die markierte Regel wird zum Bearbeiten ge ffnet Schaltfl che L schen gt Die markierte Regel wird gel scht Schaltfl chen up down gt Die markierte Regel wird in die gew hlte Richtung verschoben Seite 60 msm net meissner GmbH kompetent kreativ innovativ Wird eine Regel eingef gt oder bearbeitet ffnet sich in einem neuen Browser Fenster ein Bearbeitungsmen Die Struktur des Bearbeitungsmen s wird dynamisch an die ausgew hlten Optionen angepasst Daher sind die auf dieser Seite dargestellten Abbildungen lediglich als Beispiele zu sehen Das Bearbeitungsmen einer Regel zum gezielten Abweisen von Traffic mit einer tcp reset Meldung Options for extendend Match tcp Direction BOTH TCP mask space comp match when TCP flags amp mask comp t standart matches Flags SYN ACK FIN RST URG PSH ALL mver N
49. hlten Typ entsprechen Verbindungstyp inaktiv AES 256 x sHa2 25 gt 2048 gt IKE Parameter exclusiv Legen Sie den Verbindungstyp fest Legen Sie die IKE Parameter fest verschl amp sselungs Authentifizierungs Algorithmen und DH Group aes 256 SHA2 25 2048 gt ESP Parameter exklusiv Legen Sie die ESP Parameter fest verschl sselungs Authentifizierungs Algorithmen und PFS Group Lokales Protokoll Port e Lokal erlaubte Protokolle Ports 0 nicht eingeschr nkt z B f r MS L2TP 17 0 bedeutet UDP alle Ports erlaubt Remote Protokoll Port Remote erlaubte Protokolle Ports 0 nicht eingeschr nkt z B f r MS L2TP 17 1701 bedeutet UDP Port 1701 erlaubt Kompression ja nein IPCOMP aktivieren IP Payload Compression Protocol Lokale IP defaultroute z Partner IP oder FQDN prr Ausw hlen einer lokalen IP Adresse Diese Option ist nur f r externe IPv6 Adresssen Geben Sie die IP Adresse oder den FQDN des Tunnelpartners an mit Zertifikat Lokales ident Zertifikat example_client 03 SC User PIN PW des privaten Schlissels Partner Zertifikat example_client 03 Partner CA Authentifizierung same gt Subject des Partnerzertifikates C DE ST TH L Zeulenroda O 1 mit Zertifikat ausw hlen 2 Das lokale ident Zertifikat ausw hlen 3 Das Passwort f r den privaten S
50. ianten sind 1000BASE Fiber ATM ISDN DSL GSM UMTS oder Analog Modem EES Stromversorgung internes Netz LAN externes Netz WAN NIC Anzeigecodes Jede NIC auf der R ckseite hat eine integrierte Anzeige die ber den Zustand und den Verbindungsstatus der Netzwerkverbindung informiert 1 Verbindungsanzeige 2 Aktivit tsanzeige Anzeige Anzeigecodes Verbindungsanzeige und Aktivit tsanzeige Die NIC ist nicht mit dem Netzwerk verbunden leuchten nicht Verbindungsanzeige leuchtet in der Farbe Die NIC ist mit dem Netzwerk verbunden die Datenrate ist rot gr n gelb 10 100 1000Mbit s Die Aktivitatsanzeige blinkt gelb Die Netzwerkverbindung ist aktiv es werden Daten gesendet oder empfangen Alle weiteren Anschl sse werden f r den normalen Betrieb einer VPN Appliance nicht ben tigt Die Konfiguration erfolgt Remote ber die integrierte Webschnittstelle Seite 10 msm net meissner GmbH kompetent kreativ innovativ 4 3 Funktionsbeschreibung Die msm net verf gt seit mehr als 10 Jahren ber Erfahrungen im Einsatz und der Konzeption von VPN L sungen Unsere Produkte sind in den Bereichen Industrie Handwerk und Beh rden erfolgreich im Einsatz Besonderer Ausdruck der Leistungsf higkeit unserer VPN L sungen ist eine Einsatzzulassung der deutschen Bundeswehr Mit dieser Zulassung d rfen unsere VPN Appliances ohne weitere berpr fung in der Sicherheitsstufe VS NfD eingeset
51. ichern des privaten Schl ssel ee der Smartcard muss ebenfalls das Passwort fiir den privaten Schliissel eingegeben werden Zum Speichern auf der Smartcard m ssen das Administrator und das Benutzerpasswort der Smartcard eingegeben werden d EEE Benutzer PIN Export auf Smartcar ji Zertifikat auf SmartCard speichern F r den Download des Zertifikates folgenden Link als Datei speichern example_client Version 3 0x2 Serial Number 3 0x3 Signature Algorithm mdswithRSAEneryption Tenuen C DE ST Th L Niederpoellnitz O msm net OU develop CN example_ca emailAddre Validity Not Before Apr 21 19 54 20 2008 GMT Not After Apr 18 19 54 20 2018 GMT Subject C DE ST Th L Niederpoellnitz O msm net OU develop CN example_client email Subject Public Key Info Public Key Algorithm rea nenyptzon RSA Public Key 2048 bit Modulus 2048 bit 00 c6 dc 51 6c 06 65 13 17 90 e8 d8 3e d6 84 82 c3 5d f6 8d f3 4c 91 f7 c2 2c 36 8b 70 0e 4a cf ba 04 3b db 32 a4 c3 e1 38 84 c5 a6 4f fa 46 0d 9e df 2a 42 78 af 10 45 94 1b 96 d3 eee gt Abbrechen Validity G ltigkeit eines Zertifikates gt Ist ein Zertifikat abgelaufen oder noch nicht g ltig kann mit diesem Zertifikat keine Verbindung authentifiziert oder etabliert werden Seite 39 msm net meissner GmbH kompetent kreativ innovativ Importieren eines Zertifikates Ist in Ihrem Unterneh
52. ius Client Konfiguration Bezeichnung Beschreibung IP Adresse oder fais T IP Adresse oder FODN des Radiusservers eingeben Accessport des Radiusservers eingeben Accesspor LBS Standard ist 1812 Accountport des Radiusservers eingeben Accountport 1813 BE ist 1813 NAS ID u ee al Authentifizierung am RADIUS Geben Sie den gemeinsamen geheimen Geheimer Schl ssel ISS Schl ssel an und best tigen Sie diesen in Speichern Abbrechen der zweiten Zeile Seite 65 msm net meissner GmbH d kompetent kreativ innovativ 6 7 3 Routing Protokoll Konfiguration Werden zwei oder mehrere VPN Appliances als HA Cluster betrieben sind diese ber eine gemeinsame virtuelle IP Adresse anzusprechen Der Routing Daemon steuert ber welche VPN Appliance des HA Clusters Daten bertragen werden Die Kommunikation der VPN Appliances wird durch gegenseitige Authentifizierung abgesichert Das Men Routing Protokolle Routing Protokolle Einstellung zur Verteilung der Routen aktiver VPN Verbindungen Bezeichnung Wert Beschreibung OSPF aktivieren Authentifizierung Jon wes d Passwort i Passwortbestatigung II RIP aktivieren Authentitfizierung ohne Authentifizierung gt Passwort I Passwortbest tigung i Speichern Experten Einstellungen Abbrechen Allgemeine Einstellungen zu OSPF Die detaillierte Konfiguration erfolgt mithilfe der Experten Einstellu
53. ivate Schl ssel des letzten Zertifikates der Zertifizierungskette enthalten ist Das Men Zertifikat exportieren PKCS12 Exportieren der PKCS12 Daten f r das Zertifikat example_sub ca Bezeichnung Beschreibung Passwort des man Eingaben des Passwortes f r den privaten Schl ssel en ChallangePasswort Eingeben des Challange Passwortes zum Challange Passwort RR Erstellen der PKCS12 Daten best tigen Export starten Abbrechen Das Men Zertifikat importieren PKCS12 Importieren von Zertifikat daten im PKCS12 Format er Beschreibung I zertfkat Datei Datel sts Ss Durchsuchen Wahlen Sie die Datei mit den PKCS12 Daten aus p12 EEE des Challange Challange Passwort Passwortes der PKCS12 Datei Passwort des a nn Schl ssels Passwort des privaten Schl ssels best tigen Importieren Abbrechen Das Passwort zum Speichern des privaten Schl ssels eingeben Seite 41 kompetent kreativ innovativ d W msm net meissner GmbH F A L schen widerrufen eines installierten Zertifikates Wird ein Zertifikat nicht mehr ben tigt kann es in der Zertifikatsverwaltung gel scht werden Markieren Sie zuerst das entsprechende Zertifikat in der Liste und klicken Sie danach auf die Zertifikat l schen Schaltfl che Anschlie end wird eine Warnmeldung angezeigt Bei der unten abgebildeten Warnmeldung handelt es sich um die Variante f
54. lle der Lokales Netz Definition unter IPSEC native erreichbar sind w hlen Sie einen Firewall Filter f r diese Verbindung aus Speichern Experten Einstellungen Abbrechen Seite 50 msm net meissner GmbH d kompetent kreativ innovativ VA C Das Men Experten Einstellungen einer IPSEC Verbindung Experten Einstellungen f r die IPSEC Verbindung MusterA I2A Sie K nnen in das Eingabefenster Ihre eigene Konfiguration schreiben und speichern Achtung diese Konfiguration wird nicht berpr ft conn MusterA I2A le ei tupdown 3 psec _updown dpd timeout 60 a ction clear disablearrivalcheck no keyingtries 1 nz connadr fam Ly 1pv4 sdeTaultroute ae EST cutest anna 1ke aes256 sha2_ e modp2048 esp aes256 sha2_256 nfe voe gt Speichern Abbrechen Hilfe HINWEIS Das Men Experten Einstellungen einer VPN Verbindung gt Diese Option steht beim Anlegen einer Verbindung noch nicht zur Verf gung gt Kann ber das Men Verbindung bearbeiten aufgerufen werde Bitte beachten Sie falsche oder inkorrekte Optionen k nnen zu Funktionsst rungen des IPSEC f hren Seite 51 E msm net meissner GmbH Ei E kompetent kreativ innovativ E Kopieren einer Verbindung Wenn mehrere Verbindungen mit ahnlichen Parametern konfiguriert werden sollen empfiehlt es sich eine bestehende Verbindung zu kopieren Wahrend des Kopiervorganges
55. men schon eine PKI vorhanden oder sollen von einer anderen CA signierte Zertifikate verwendet werden k nnen diese Zertifikate importiert werden Das Men Zertifikat importieren Importieren von Zertifikats Daten im Base64 PEM Format Bezeichnung went S Beschreibung Wahlen Sie de Datei mit Zertifikats bti Durchsuchen den Zertifikats Daten zum Import aus crt Datei mit privatem Schl ssel Optional kann die Datei mit dem privaten Schl ssel ausgew hlt werden Dr Perm E Sie das Passwort f r den iden pate ses Schl ssel ein Durchsuchen Passwort aa O ee _ _ I Importfeld Importieren Abbrechen Dieses Feld kann zum Einf gen der Zertifikats Daten und oder des privaten Schl ssels in Textform genutzt werden Copy and Paste Seite 40 msm net meissner GmbH if kompetent kreativ innovativ VA PKCS12 Export Import PKCS12 definiert ein verbreitetes Dateiformat welches zum Speichern von X 509 Zertifikaten und privaten Schl sseln dient Das Dateiformat wird dabei durch eine Kennwort basierte symmetrische Verschl sselung gesch tzt Wird ein Zertifikat ber die PKCS12 Exportfunktion exportiert werden alle Zertifikate der Zertifizierungskette und falls verf gbar auch der private Schl ssel des Zertifikates in der PKCS12 Datei gespeichert Wenn eine PKCS12 Datei importiert werden soll m ssen Sie darauf achten dass nur der pr
56. msm net meissner GmbH kompetent kreativ innovativ Bedienungsanleitung Konfigurationsanleitung technische Spezifikation fur die VPN Appliance msm net meissner GmbH Seite 1 msm net meissner GmbH kompetent kreativ innovativ Version dieser Dokumentation Release 1 02 Datum 09 03 2012 Irrt mer und technische nderungen vorbehalten Copyright 2011 msm net meissner GmbH Alle Rechte vorbehalten msm net wird in diesem Handbuch als Synomym f r das msm net ingenieurb ro meissner und die msm net meissner GmbH verwendet Alle anderen in diesem Dokument genannten Warenzeichen dienen lediglich zu Identifikationszwecken S mtliche Handels Marken und Warenzeichen sind Eigentum der jeweiligen Inhaber Die msm net meissner GmbH verzichtet auf alle Besitzrechte an Warenzeichen und Handelsbezeichnungen die nicht ihr Eigentum sind Seite 2 msm net meissner GmbH kompetent kreativ innovativ Inhaltsverzeichnis e 5 2 K nformitalserklar ng DE 6 3 SicherheilshinWelse san ee ee 7 3 1 3ymbolund Hnweiserklafimgs Hrn rel 7 3 2 Grundlegende Sicherheitshinweise und Haitungsausschlunp nennen 8 4 Beschreibung des LEET 9 4 1 Bedienelemente der VPN Applance Aan 9 4 2 Anschl sse auf der R ckseite der VPN Aophance 10 4 3 F nktionsbeschreibuhg s ss seele 11 4 4 S0 erhalten sie EE E 12 SIA AUIS IG EE 13 5 1 Vorbereitungam Aufstelldrt a aa EE E Ee 13 De AUSDACKE Me ee ee se tae ita eho aang 14 5 2 Mont
57. n Sie beim Auspacken der VPN Appliance ob jeweils die folgenden Teile vorhanden sind gt Eine VPN Appliance gt Ein Netzstromkabel gt Ein Montagekit f r die Rack Installation zwei Montagehalter Schrauben gt Drucksachen Bedienungsanleitung Konfigurationsanleitung und technische Spezifikation f r die VPN Appliance der msm net meissner GmbH dieses Handbuch GPL Lizenz Auspacken gt Stellen Sie das Paket auf eine saubere ebene Fl che und zerschneiden Sie die Paketklebebander gt ffnen Sie die Verpackung und entfernen Sie die obere Abdeckung gt Nehmen Sie die VPN Appliance vorsichtig aus der Verpackung und stellen Sie diese auf eine stabile saubere Fl che Entfernen Sie das gesamte Verpackungsmaterial Untersuchen Sie das Produkt und das Zubeh r auf Besch digungen berpr fen Sie vor dem Auspacken der VPN Appliance die Verpackung und melden Sie etwaige Besch digungen unverz glich an den Lieferanten Seite 14 msm net meissner GmbH kompetent kreativ innovativ 5 2 Montage und Anschlie en der VPN Appliance Montage der VPN Appliance Montage in einem Rack Rack Montagekits d rfen nicht dazu verwendet werden die VPN Appliance unter einem Tisch unter einer Platte oder an einer Wand zu befestigen Trennen Sie bevor Sie fortfahren alle Kabel Entfernen Sie gegebenenfalls alle selbstklebenden Unterlagen vom Boden der VPN Appliance Wenn Sie mehrere 19
58. nden ist kann f r diese eine Certificate Revocation List CRL erstellt und verwaltet werden Zus tzlich wird ein Update der CRL zum Zur ckziehen L schen f r die von dieser CA signierten Zertifikaten erstellt Ist f r eine CA kein Schl ssel vorhanden kann eine CRL lediglich importiert und verwendet werden Das Men Zertifikat Verwaltung Zertifikat Verwaltung Legende xx Cesk xx Seriennummer C Root CA c CA s auf Smartcard k Schl ssel vorhanden Vorhandene Zertifikate Ihre Auswahl ExternCA 01 C Zertifikat anzeigen exportieren example_ca 01 Ck example_sub ca 04 ck Zertifikat importieren example_client 03 k example_host 02 k ep e aamole giereg Set Zertifikat exportieren PKCS12 Sparel tub DROS Zertifikat importieren PKCS12 Zertifikat l schen CRL Einstellungen f r IPSEC CRL Verwalten CRL Einstellungen und CRL Verwaltung sind nur auf Zertifizierungsstellen anwendbar Zertifikatsanforderungen Verwalten Hauptmen Abbrechen Seite 38 msm net meissner GmbH if kompetent kreativ innovativ VA C Das Men Zertifikat anzeigen exportieren Ansicht Export des Zertifikates example_client Bezeichnung Beschreibung A ong PO Zum Anzeigen der Daten des privaten Schl ssels Passwort senden Passwort senden Schl ssels mu das Passwort f r diesen Smartcard Administrator PIN gesendet werden Zum Spe
59. nehmen die sich auf die Mitglieder der Gruppe User auswirken Seite 26 msm net meissner GmbH H kompetent kreativ innovativ Pe 6 4 Netzwerkschnittstellen Dieser Absatz beschreibt die Standardkonfiguration einer VPN Appliance bestehend aus einem externen und einem internen Ethernet Interface Im folgenden Men kann das zu konfigurierende Interface ausgew hlt werden Das Ment Netzwerkschnittstellen Men Netzwerkschnittstellen HINWEIS Service Partner i Gerate Informationen Allgemeine Einstellungen Datum und Uhrzeit Benutzer Administration Netzwerkschnittstellen Internes Interface Externes Interface VPN Einstellungen Firewall Einstellungen Service Standortdaten Aktuelle Logfile einsehen Upload Download Abmeldung Allgemein gt Wurde die Netzwerkkonfiguration ge ndert wird mit Speichern die betreffende NIC neu gestartet Dies f hrt zur Unterbrechung des Netzwerkverkehrs gt Betrifft die Neukonfiguration die externe NIC werden anschlie end die aktiven VPN Verbindungen erneut etabliert Internes Interface gt Sollen IP Pakete zu internen Hosts geroutet werden die sich nicht im Netzwerk des Internen Interface befinden m ssen Sie Routen zu diesen Hosts angeben Externes Interface gt Die Standardkonfiguration ist der Betrieb mit einer festen IP Adresse gt F r den Betrieb direkt an einem DSL Modem kann
60. ng nderungen bez glich Produkt technischer Daten oder Montage und Betriebsanleitung vorzunehmen Einbau und Inbetriebnahme der VPN Appliance sollte nur von qualifiziertem Fachpersonal gem Bedienungsanleitung erfolgen Vor Inbetriebnahme ist die Unversehrtheit der VPN Appliance inklusive Zubeh r sowie Anschlussleitungen sicherzustellen Die VPN Appliance darf nicht eingesetzt werden gt in Umgebungen mit kondensierender Feuchtigkeit gt bei Umgebungstemperaturen unter 10 C oder ber 45 C Seite 8 msm net meissner GmbH kompetent kreativ innovativ 4 Beschreibung des Gerates 4 1 Bedienelemente der VPN Appliance Das auf dieser Seite abgebildete System zeigt die Standardversion einer VPN Appliance von msm net Dabei handelt es sich um eine Mini bzw Midi VPN Appliance in 19Zoll Bauform geeignet f r die Montage in einem Standard 19 Zoll Netzwerk Rack 48 26 cm Diese Version hat auf der Vorderseite einen multifunktionalen Netzschalter Als Kontrollelemente dienen die Netz LED gr n und die HDD LED rot Die HDD LED ist nur aktiv wenn ein Datenzugriff auf den installierten Massenspeicher erfolgt Ist die VPN Appliance wie abgebildet f r den Betrieb in einer Umgebung mit Smartcard Authentifizierung vorgesehen ist auf der Vorderseite ein Smartcard Reader integriert TN DU 19 Rackschrauben Peery 19 Rackschrauben Durch den Netzschalter werden folgende
61. ngen Allgemeine Einstellungen zu RIP uk Die detaillierte Konfiguration erfolgt mithilfe der Experten Einstellungen Das Men Experten Einstellungen f r die Routing Protokoll Konfiguration Experten Einstellungen f r Routingprotokolle Sie k nnen in diesem Eingabefenster Ihre eigene Konfiguration schreiben und speichern Achtung diese Konfiguration wird nicht gepr ft a Geo vpnout i ete imports protocol kernel kernel_vpnout kernel table vpnout import lee preference krt_metric accept H export none learn yes persist no scan time 5 Speichern Default Werte laden Abbrechen Hilfe Seite 66 msm net meissner GmbH if kompetent kreativ innovativ VA 6 7 4 Ipv6 Router Ver ffentlichungsdienst Soll die VPN Appliance IPv6 verwenden k nnen hier die Parameter direkt in der Konfigurationsdatei angepasst werden Das Men IPv6 Router Ver ffentlichungsdienst Experten Einstellungen f r den IPv6 Router Advertisment Daemon Sie k nnen in diesem Eingabefenster Ihre eigene Konfiguration schreiben und speichern Achtung diese Konfiguration wird nicht gepr ft interface etho AdvSendAdvert off This may be needed on some interfaces which are not active when radvd starts but becomoe available later on and are activated by sending a HOP Signal to radvd see man page for details IgnorelfMissing on These settings Gausa advertisements
62. oo bis oo 00 Hier werden die Zeit Parameter f r die Verbindungseinstellungen Verbindung zum ISP festgelegt CHAP v CHAP MS V1 v CHAP MS V2 PAP Bitte w hlen Sie die erlaubten Authentifizierungsmethoden aus Authentifizierungsmethode keine MPPE 40 MPPE 128 MPPE 40 oder MPPE 128 Wird CHAP MS V1 oder CHAP MS V2 zur Authentifizierung verwendet kann ein Point to Point Verschliisselungsverfahren genutzt werden erforderliche Verschl sselung Experten k nnen optionale Parameter insbesondere zum Debuggen des ppp Deamons eingeben Bitte beachten Sie inkorrekte Parameter k nnen Fehler oder den Verlust von Daten hervorrufen Hilfe Speichern Hauptmen Abbrechen Experten Optionen g Seite 29 jf msm net meissner GmbH A MH kompetent kreativ innovativ NM 6 5 VPN Einstellungen In diesem Kapitel wird beschrieben wie VPN Verbindungen eingerichtet werden Den Sicherheitsbed rfnissen Ihres Unternehmens entsprechend k nnen f r die Authentifizierung der VPN Verbindungen X 509 Zertifikate oder Pre Shared Key eingesetzt werden Ein Werkzeug zur Erstellung und Administration von X 509 Zertifikaten ist in die Administrationsoberfl che der VPN Appliance integriert Das Men VPN Einstellungen Men VPN Einstellungen Service Partner Allgemeine Einstellungen Datum un
63. r ISAKMP 2408 Internet Security Association and Key Management Protocol ISAKMP 2409 The Internet Key Exchange IKE 2412 The OAKLEY Key Determination Protocol 2528 Internet X 509 Public Key Infrastructure Details zu einzelnen genutzten Dingen Details of various things used 2085 HMAC MD5 IP Authentication with Replay Prevention 2104 HMAC Keyed Hashing for Message Authentication 2202 Test Cases for HMAC MD5 and HMAC SHA 1 2207 RSVP Extensions for IPSEC Data Flows 2403 The Use of HMAC MD5 96 within ESP and AH 2404 The Use of HMAC SHA 1 96 within ESP and AH 2405 The ESP DES CBC Cipher Algorithm With Explicit IV 2410 The NULL Encryption Algorithm and Its Use With IPSEC 2451 The ESP CBC Mode Cipher Algorithms 2521 ICMP Security Failures Messages ltere RFC die referenziert sein k nnen Older RFCs which may be referenced 1321 The MD5 Message Digest Algorithm 1828 IP Authentication using Keyed MD5 1829 The ESP DES CBC Transform 1851 The ESP Triple DES Transform 1852 IP Authentication using Keyed SHA Mitgeltende RECs Related RFCs 1750 Randomness Recommendations for Security 1918 Address Allocation for Private Internets 1984 IAB and IESG Statement on Cryptographic Technology and the Internet 2144 The CAST 128 Encryption Algorithm Seite 80 msm net meissner GmbH kompetent kreativ innovativ 9 Entsorgungshinweise Informationen zur Sammlung und Entsorgung von gebrauchten elektrischen oder elektronischen Ger ten
64. r ein gt F r die erste Anmeldung verwenden Sie bitte ADMINISTRATOR als Benutzername und setup1 als Passwort gt Nach dem Log in k nnen Sie durch anklicken der Fahnen in der rechten oberen Ecke des Hauptmen s zwischen den Sprachen Deutsch und Englisch wechseln Herzlichen Gl ckwunsch Sie k nnen jetzt mit dem Einrichten der VPN Appliance beginnen HINWEIS Zugriff auf die VPN Appliance im Auslieferungszustand gt Der Arbeitsplatzrechner von welchem die VPN Appliance konfiguriert werden soll muss sich im Netzwerk des internen Interfaces befinden In der Standardkonfiguration ist es das Netzwerk 192 168 3 0 24 gt IP Adresse internes Interface 192 168 3 100 24 Benutzername ADMINISTRATOR Passwort setup1 Bitte beachten Sie f r Benutzername und Passwort ist die Gro Kleinschreibung zu beachten case sensitive Wird die VPN Appliance als Teil eines Projektes ausgeliefert k nnen f r das Projekt andere Einstellungen definiert sein Bitte beachten sie hierzu Ihre Projektunterlagen Seite 16 WA msm net meissner GmbH Ai MA kompetent kreativ innovativ e Ist die VPN Appliance ordnungsgem installiert wird mit Eingabe der vorgenannten IP Adresse in Ihrem Browser folgender Begr ungsbildschirm angezeigt Authentifizierung erforderlich 5 https 192 168 3 100 verlangt einen Benutzernamen und ein Passwort Ausgabe gt der Website cgi bin Benutze
65. r eine lokal verwaltet CA der private Schl ssel der CA ist installiert Mit der Eingabe des CA Passwortes und der G ltigkeitsdauer f r die CRL wird nach dem Best tigen das Zertifikat gel scht und ein Update der CRL erstellt Wenn Sie ein Zertifikat l schen wollen welches nicht auf dieser Appliance verwaltet wird werden die Eingabefelder f r das CA Passwort und die G ltigkeitsdauer in der Warnmeldung nicht angezeigt Nach dem Best tigen wird nur das Zertifikat von der lokalen Maschinen gel scht Durch klicken auf die Schaltfl che Sperren L schen wird die Aktion ausgef hrt Die Warnmeldung Zertifikat l schen L schen Sperren des Zertifikates example_client IT Warnung Das L schen Sperren des Zertifikates erfolgt permanent Wenn Sie sicher sind dann fahren Sie fort Passwort des privaten Schl ssels der CA example_ca Neue G ltigkeitsdauer der CRL in Tagen mmm Sperren L schen Abbrechen Das Men CRL Einstellungen f r IPSEC IPSEC Einstellungen f r die CA Bezeichnung Wert Beschreibung CA Subject je Dersr Thn eniederpoelnkaro mam pes Sg sublet der gewahlken CA 1 URL der CRL EEE Prim re Url zur CRL Ver ffentlichung 2 URL der CRL Co Sekundare Url zur CRL Ver ffentlichung URL des OCSP Servers N URL des OCSP Servers CRL Policy 2 strikte ERL Pr fung Einstellung der CRL Policy optionale CRL Pr fung Speichern Abbrechen Seite 42
66. rname Passwort a OK E Abbrechen I Sicherheitswarnung Benutzen Sie bitte einen neu ge ffneten Browser Falls Ihr Browser einen Passwordmanager besitzt speichern Sie das Password nicht Bevor Sie andere Webseiten besuchen starten Sie den Browser erneut Seite 17 msm net meissner GmbH d kompetent kreativ innovativ MH Das Hauptmen Nach erfolgreicher Anmeldung wird folgendes Hauptmen dargestellt Ger te Informationen Hauptmen Sitema Allgemeine Einstellungen Datum und Uhrzeit Benutzer Administration Netzwerkschnittstellen VPN Einstellungen Firewall Einstellungen Service Standortdaten Aktuelle Logdatei einsehen Upload Download Abmeldung Service Partner Seite 18 msm net meissner GmbH kompetent kreativ innovativ 6 Bedienung Uber das Hauptmen sind alle relevanten Men punkte aufrufbar Auf den folgenden Seiten werden die einzelnen Men punkte aufgezeigt und n her erkl rt Die Weboberfl che der VPN Appliance hat eine klare Struktur Generell sind die Konfigurationsparameter auf der linken Seite gelistet Die Eingabefelder befinden sich in der Mitte und auf der rechten Seite eine kurze Erkl rung Verschiedene Untermen s bieten die M glichkeit der Eingabe von Experten Einstellungen In diesen Men s k nnen die Einstellungen direkt in den Konfigurationsdateien der VPN Appliance vorgenommen werden F
67. sene IP Adresse Verbindungszeit und den verwendeten Firewall Filter Zum Aktualisieren der Statusanzeige klicken Sie auf Status aktualisieren Seite 24 msm net meissner GmbH kompetent kreativ innovativ Die Benutzer trennen Schaltfl che Um einen markierten Benutzer zu trennen bet tigen Sie die Schaltfl che Benutzer trennen Seite 25 msm net meissner GmbH d kompetent kreativ innovativ Das Men Rechte lokaler Admins Rechte der Gruppe Lokaler Administrator SS k nnen Sie die Rechte f r die Gruppe Lokaler Administrator vergeben Bezeichnung gt o O Beschreibung EE Allgemeine Einstellungen nn Datum und Uhrzeit v Netzwerkschnittstellen lesen schreiben Internes Interface ra na O Externes Interface Service Interface Feste m en Globale IPSEC Einstellungen Globale IPSEC Experten Einstellungen IPSEC Verbindungen Experten Einstellungen L2TP Server Experten Einstellungen PPTP Server Experten Einstellungen v Routing Protokolle Experten Einstellungen lesen pa schreiben Firewall Einstellungen Se Webinterface Zertifikat v dyn DNS Einstellungen v Radius Client Einstellungen Si Routing Protokolle Einstellungen S E IPv6 Router Ver ffentlichungsdienst y lesen schreiben Standortdaten Speichern Abbrechen Mitglieder der Gruppe lokaler Administrator k nnen in der Benutzer Verwaltung nur Einstellungen vor
68. shall be considered in detail msm net meissner GmbH kompetent kreativ innovativ 3 Sicherheitshinweise 3 1 Symbol und Hinweiserkl rung Bitte beachten Sie die Bedeutung folgender Symbol und Hinweiserkl rungen Sie repr sentieren unterschiedliche Gefahrenstufen Bezeichnet eine m gliche gef hrliche Situation Wenn diese Informationen nicht befolgt werden k nnen Sachsch den sowie leichte oder mittlere K rperverletzungen die Folge sein Bezeichnet allgemeine Informationen N tzliche Anwender Tipps und Arbeitsempfehlungen welche aber keinen Einfluss auf die Sicherheit und Gesundheit von Personen haben Seite 7 msm net meissner GmbH kompetent kreativ innovativ 3 2 Grundlegende Sicherheitshinweise und HaftungsausschluB Diese Betriebsanleitung dient der bestimmungsgemaBen Verwendung der VPN Appliances von msm net Insbesondere die Sicherheitshinweise sind von allen Personen zu beachten die die Ger te installieren oder betreiben Dar ber hinaus sind die f r den Einsatzort jeweils geltenden Regeln und Vorschriften zu beachten Eine unsachgem e Ausf hrung der Installation oder der Konfiguration kann zu Sch den f hren Daher bernehmen wir keinerlei Verantwortung und Haftung f r Verluste Sch den oder Kosten die sich aus fehlerhafter Installation unsachgem em Betrieb sowie fehlerhafter Konfiguration ergeben Der Hersteller beh lt sich das Recht vor ohne vorherige Mitteilu
69. sner GmbH kompetent kreativ innovativ 4 4 So erhalten Sie Unterstutzung Wir bieten Ihnen f r Aufbau und Betrieb der VPN Infrastruktur folgende Hilfe und Unterst tzung an gt gt gt gt Projektierung Planung und Realisierung von komplexen VPN Netzwerken und PKI Anwendungen Individuell auf unsere Kunden abgestimmte Service Level Agreements Beratungs und Realisierungsleistungen zu Anwendungen und Systemeinf hrungen und umstellungen Unterst tzungsleistungen bei der Erarbeitung und Umsetzung von Konzeptionen und Organisationsumstellungen Inhalt unserer Service Level Agreements Je nach den Erfordernissen lokale Voraussetzungen und technischer Umfang bieten wir Service und Supportdienstleistungen in individuellen Servicevertr gen an Wichtige Komponenten dieser SLA sind gt Exklusive Bereitstellung von Updates f r VPN Appliances gt Telefonsupport gt gt Remote und Vor Ort Durchf hrung von Wartung und Serviceleistungen Planung Design und Implementierung von PKls gt Aktive berwachung und Administration von Kunden VPNs f r die Unterst tzung des Betriebes Unsere Servicevertr ge werden individuell mit unseren Kunden abgestimmt und realisiert F r weitergehende Fragen stehen wir Ihnen gern zur Verf gung Hersteller msm net meissner GmbH Anschrift Greizer Strasse 87 D 07937 Zeulenroda Triebes Germany Internet www msm net de E Mail info msm net de Telefon 49
70. sselungs Authentifizierungs N Algorithmen und PFS Group Lokal erlaubte Protokolle Ports 0 nicht eingeschr nkt z B f r MS L2TP 17 0 bedeutet UDP alle Ports erlaubt Remote erlaubte Protokolle Ports 0 nicht Remote Protokoll Port eingeschr nkt z B f r MS L2TP 17 1701 bedeutet UDP Port 1701 erlaubt z 5 IPCOMP aktivieren IP Payload Compression ja nen Protocol edel Ausw hlen einer lokale IP Adresse Diese Lokale IP defaultroute Option ist nur f r externe IPv6 Adressen Geben Sie die IP Adresse oder den FODN des Partner IP oder Fan Tunnelpartners an mit Zertifikat Lokales ident Zertifikat example_client 03 1 mit Zertifikat ausw hlen SC User PIN PW des privaten Schl ssels 2 Das lokale ident Zertifikat ausw hlen 3 Das Passwort f r den privaten Schl ssel Partner Zertifikat eingeben oder die Benutzer PIN falls dieser example_client 03 auf einer Smartcard gespeichert ist Partner CA 4 W hlen Sie das Partner Zertifikat oder Authentifizierung any zj geben Sie alternativ die Partner CA und das Subject des Partnerzertifikates an Subject des Partnerzertifikates mit Pre Shared Key Left ID F r die Verwendung eines Pre Shared Key EE tragen Sie die entsprechenden Daten in die Right ID Eingabefelder ein Pre Shared RR Key IPSEC native Lokales Netz Lokale Tunnel IP Adresse Netzmaske Remote Netz Remote Tunnel IP Adresse Netzmaske GRE ber IPSEC
71. st hochwertige geschirmte Patchkabel verwendet werden Die RJ45 Buchsen f r den internen und f r den externen Netzwerkzugang sind gekennzeichnet Verbinden Sie diese mit den entsprechenden Ger ten in Ihrem Netzwerk Wenn alle Patchkabel angeschlossen sind kann nun die Verbindung zum Stromnetz hergestellt werden Seite 15 msm net meissner GmbH kompetent kreativ innovativ 5 3 Erstinbetriebnahme Nachdem die VPN Appliance an ihrem Betriebsort aufgebaut und entsprechend der technischen Ausstattung verkabelt wurde beginnt sofort nach dem Herstellen der Stromversorgung der Bootvorgang Sollte das nicht der Fall sein so wird sie durch ein kurzes Dr cken des Netzschalters eingeschaltet Die VPN Appliance startet und bootet nach einem Selbsttest das System Das Erreichen der Betriebsbereitschaft wird durch ein akustisches Signal gemeldet Um Zugriff auf die Konfigurationoberfl che der VPN Appliance zu erhalten m ssen folgende Voraussetzungen erf llt werden gt Einen Arbeitsplatzrechner der mit dem internen Interface der Appliance verbunden ist gt Im Auslieferungszustand ist die IP Adresse des Internen Interface der VPN Appliance auf 192 168 3 100 24 voreingestellt Daher muss dem Arbeitsplatzrechner eine IP Adresse aus dem Subnetz 192 168 3 0 24 zugewiesen werden mit Ausnahme 192 168 3 100 gt Geben Sie f r den Zugriff auf die Konfigurationsoberfl che die Adresse https 192 168 3 100 in Ihren bevorzugten Browse
72. ters WEE CT Geben Sie f r den Filter einen eindeutigen Namen ein Erlaube ber diesen Filter A Neu Routerkonfiguration L schen Filterbereich Destination e Anh ngen aie Einf gen Filter _ Bearbeiten eg L schen Source up down 0 Speichem Abbrechen Das Meni Filter Kopieren Firewall Einstellungen Die Seite mit der Adresse https 192 168 32 v A x Vorhandene Filter STANDARD test Bitte geben Sie den neuen Filternamen ein Abbrechen ahl Neuen Filter erstellen Filter bearbeiten Filter l schen Hauptmen Seite 59 vi msm net meissner GmbH gt b kompetent kreativ innovativ a Das Ment Filter bearbeiten Bearbeiten des Firewall Filters STANDARD Chains Erlaube ber diesen Filter ClampTcpMSs i Routerkonfiguration PSR Neu Filterbereich L schen Destination NAT BOTH proto tcp match tcpmss mss 1313 1500 jump ClampT S Mangle een Table BOTH jump ACCEPT Peres Filter Einf gen Table l Bearbeiten Source NAT up down v Speichern Abbrechen Hilfe Das oben stehende Men zeigt den Inhalt des Firewall Filters STANDARD Die auf der linken Seite sichtbaren Filterbereiche werden von oben nach unten abgearbeitet In der Abbildung ist im rechten oberen Bereich die Chain STANDART ausgew hlt Im darunterliegenden Bereic
73. unwiderruflich ausgef hrt Die Warnmeldung Zertifikatsanforderung l schen L schen der Zertifikatsanforderung example_client I Warnung Das L schen einer Zertifikatsanforderung erfolgt permanent Wenn Sie sicher sind dann fahren Sie fort Anforderung l schen Abbrechen Zur Zertifikat Verwaltung wechseln Durch das Anklicken der Schaltfl che Zertifikat Verwaltung des Zertifikatsanforderungen Men s k nnen Sie direkt zum Men Zertifikat Verwaltung wechseln Seite 37 Y msm net meissner GmbH Ei A kompetent kreativ innovativ 6 5 1 2 Das Verwalten von Zertifikaten Das Men Zertifikat Verwaltung stellt auf der linken Seite alle vorhandenen Zertifikate in ihrer direkten Abh ngigkeit zu vorhandenen Zertifizierungsstellen dar Im Beispiel der Abbildung ist unter der Root CA exaple_ca die verf gbare Sub CA example_sub ca gelistet Die Ident Zertifikate die von der Sub CA ausgestellt wurden sind unter der Sub CA selbst gelistet Auf der rechten Seite sind im Men alle Werkzeuge zum Bearbeiten von Zertifikaten angeordnet Wenn mit Ausnahme eines Importvorganges eine Aktion durchgef hrt werden soll so ist vor dem Klicken einer Schaltfl che erst im linken Bereich ein Objekt auf das die Aktion angewendet werden soll auszuw hlen Ist die Aktion f r das gew hlte Objekt nicht m glich wird eine Fehlermeldung angezeigt Wenn der private Schl ssel f r eine CA vorha
74. vaten Schl ssel ein Datei mit der Zertifikatsanforderung Datei mit privatem Schl ssel Passwort des Zen EE 2 RE Importfeld Importieren Abbrechen Durchsuchen Dieses Feld kann zum Einf gen der Daten der Zertifikatsanforderung und oder des privaten Schl ssels in Textform genutzt werden Copy and Paste Seite 35 msm net meissner GmbH A NW kompetent kreativ innovativ A Signieren einer Zertifikatsanforderung Um ein Zertifikat aus einer Zertifikatsanforderung zu erzeugen muss diese signiert werden Zum Signieren der Anforderung markieren Sie diese im Men Zertifikatsanforderungen und klicken Sie anschlie end auf die Schaltfl che Zertifikatsanforderung signieren Es k nnen 3 Arten von Zertifikaten erzeugt werden gt ein selbstsigniertes Root CA Zertifikat gt ein Sub CA Zertifikat gt ein Identit ts Zertifikat Die Voraussetzug zum Erzeugen von Sub CAs oder Identit ts Zertifikaten ist das Vorhandensein einer Zertifizierungsstelle mit installiertem privaten Schl ssel Mit einem Klick auf die Schaltfl che Signieren wird die Aktion ausgef hrt Das Men Zertifikatsanforderung signieren Signieren der Zertifikatsanforderung example_client Bezeichnung Wert Beschreibung G ltigkeit a Geben Sie die G ltigkeit des Zertifikates in g Tagen beginnend ab Signierung ein Signieren mit CA Mit dieser Option k nnen
75. werden Sie zur Eingabe eines neuen Verbindungsnamens aufgefordert alle anderen Einstellungen werden bernommen und die Verbindung als inaktiv angelegt Danach ffnet sich das Konfigurationsfenster der kopierten Verbindung Wenn Sie alle notwendigen Anpassungen vorgenommen haben kann die Verbindung mit einem Klick auf die Schaltfl che Speichern gesichert werden Das Men Verbindung kopieren IPSEC Administration Vorhandene IPSEC Verbindungen Ihre Auswahl o Die Seite mit der Adresse https 192 168 32 240 meldet vy A amp A X IPSEC Einstell MusterA I2B e IPSEC Einstellungen MusterA P2A e Bitte geben Sie den neuen Verbindungsnamen ein MusterA P2B msm net wartung mobil einer neuen Verbindung msm vpn wartung Kopie MusterA I2A rbindung kopieren a OK Abbrechen ___ bindung bearbeiten ___ bindung bearbeiten Verbindung l schen v IPSEC Status Hauptmen Abbrechen Parameter von VPN Verbindungen gt Haben verschieden Verbindungen identische Parameter kann gleichzeitig immer nur eine Verbindung aktiv sein Dies ist insbesondere bei HA Verbindungen zu beachten Die Steuerung erfolgt dort mit dem Parameter Priorit t Seite 52 msm net meissner GmbH kompetent kreativ innovativ Die Warnmeldung L schen einer Verbindung L schen der IPSEC VPN Verbindung MusterA I2A Warnung Mit dem L schen der IPSEC VPN Verbindung werden ebenfalls alle zugeh
76. xport der Zertifikatsanforderung example_client Bezeichnung Wert Beschreibung aana das Biten Um die Daten des privaten Schl ssels E E anzuzeigen muss das Passwort f r diesen Passwort senden vorher gesendet werden F r den Download des Zertifikatsanforderung folgenden Link als Datei speichern example_client Certificate Request Data y Version 0x0 Subject C DE ST Th L Niederpoellnitz O msm net OU develop CN example_client email Subject Public Key Info Public Key Algorithm rsaEncryption RSA Public Key 2048 bit Modulus 2048 bit 00 c6 dc 51 6 5d f6 ba 04 Od 9e ea 9a de A SH ett 7a ca Od Abbrechen Seite 34 msm net meissner GmbH d kompetent kreativ innovativ Se Importieren einer Zertifikatsanforderung Mithilfe des Men s k nnen Sie eine extern generierte Zertifikatsanforderung im PEM kodierten Format importieren F r den Import k nnen Sie entweder die entsprechenden Dateien ausw hlen oder mithilfe der Copy and Paste Funktion die Daten in das Importfeld einf gen Das Men Zertifikatsanforderung importieren Import einer Zertifikatsanforderung im Base64 PEM Format Bezeichnung Wert Beschreibung w hlen Sie eine Datei Durchsuchen mit den Daten der Zertifikatsamforderung zum Import aus req Optional kann die Datei mit dem privaten Schl ssel ausgew hlt werden pem Geben Sie das Passwort f r den pri
77. zt werden Ein berblick zu den Parametern unserer VPN Appliances gt v VV V WV Interoperabilitat mit Standard VPN Routern wie z B CISCO Juniper Networks und VPN Software Clients z B von CISCO Microsoft NCP VPN Protokolle wie IPSEC L2TP und PPTP und Authentifizierung durch Zertifikate oder Pre Shared Key werden unterst tzt 2 und mehr VPN Appliances lassen sich als High Avaiability HA Cluster zusammenfassen mit Hilfe der NAT Implementierung k nnen ber die VPN Tunnel auch identische Subnetzadressen am Lokalen und am Remote Standort verbunden werden Card Reader zum Einsatz von Smartcards mit Infinion Chip und Siemens Card OS M4 2 und M4 3 X 509 Zertifikatsverwaltung inklusive PKI Administration Eine schn rkellose Weboberfl che die in den Experten Einstellungen dennoch den Zugriff direkt auf die Konfigurationsdateien erm glicht Die Zertifikate f r den Zugriff auf die Administrationsoberfl che lassen sich ber die Konfigurationsoberfl che zuweisen Die Benutzerverwaltung kann auf der lokalen Appliance oder ber das RADIUS Protokoll erfolgen Systemaktualisierungen werden durch gesicherte Firmware Updates bereitgestellt Unkomplizierte Sicherung und Wiederherstellung der Konfigurationsdaten Die VPN Appliances k nnen direkt an einem DSL Modem betrieben werden F r gr ere VPN Netzwerke bieten wir zur leichteren Verwaltung zus tzlich Log und Managementinfrastrukturdienste an Seite 11 msm net meis
Download Pdf Manuals
Related Search