Wichtiger Hinweis: |
In manchen Fällen ist der Aufbau eines VPN über L2TP oder IPSec-Client ungeeignet. In diesen Fällen können Sie immer noch SSL verwenden, um einen VPN-Tunnel aufzubauen.
Dieses Handbuch beschreibt die Einrichtung eines SSL-VPN-Tunnels auf unserer Business-Firewall-Serie mit Hilfe der SecuExtender-Software mit einem Beispiel-Setup auf einem Windows-Gerät und bietet einen direkten Link zu weiterführenden Einstellungen wie 2FA, Authentifizierung mit Active Directory, MAC OS und Informationen zur Fehlerbehebung.
Das folgende Video zeigt die notwendigen Schritte zur Einrichtung des Firewall-Geräts und der Client-Station. Ausführlichere Informationen finden Sie in diesem Artikel unten.
Inhaltsverzeichnis
1. Anleitung zur Einrichtung der Firewall
2. Anleitung zur Einrichtung des SecuExtender unter Windows
3. MAC OS Einrichtung
4. SSL VPN mit 2FA-Authentifizierung
5. SSL VPN mit AD-Authentifizierung
6. SSL VPN - Virtuelles Labor
7. Fehlersuche
1. Anleitung zur Einrichtung der Firewall
a. Melden Sie sich am Gerät an, indem Sie die IP-Adresse und die Anmeldedaten für ein Administratorkonto eingeben (standardmäßig ist der Benutzername "admin" und das Passwort "1234").
b. Navigieren Sie zu
Configuration > VPN > SSL VPN
c. Klicken Sie auf "Hinzufügen" und geben Sie einen Namen für den Tunnel ein, lassen Sie die Zone als "SSL_VPN" stehen und verschieben Sie die benötigten Benutzer zu den "Ausgewählten Benutzer-/Gruppenobjekten" auf der rechten Seite. Klicken Sie auf " Neues Objekt erstellen" > "Benutzer/Gruppe ", um Benutzer hinzuzufügen, falls gewünscht.
Scrollen Sie nach unten zu "Network Extension (Full Tunnel Mode)" und aktivieren Sie "Force all client traffic to enter SSL VPN tunnel", um Zugriff auf das gesamte Netzwerk der Firewall zu haben, während Sie mit dem SSL VPN verbunden sind. Andernfalls wählen Sie die spezifischen Subnetze, auf die Sie Zugriff benötigen, in der"Netzwerkliste" aus.
Erstellen Sie ein neues Adress-Objekt vom Typ "RANGE" und konfigurieren Sie einen Bereich, der den Clients zugewiesen wird, während sie mit dem SSL-VPN verbunden sind. Wählen Sie diesen Bereich später für den"IP-Pool zuweisen".
Hinweis: Achten Sie darauf, einen Bereich zu definieren, der nicht mit einem bestehenden oder bekannten Subnetz auf Ihrer USG in Konflikt steht!
Zuletzt weisen Sie einen DNS-Server zu, der von den VPN-Clients verwendet wird, wenn sie mit dem SSL-VPN-Tunnel verbunden sind.
Die VPN-Einrichtung sollte in etwa so aussehen:
d. SSL VPN verwendet standardmäßig Port 443 für den Aufbau einer Verbindung. Es besteht auch die Möglichkeit, den SSL-VPN-Server-Port manuell unter der Registerkarte"Globale Einstellung" zu ändern.
Weitere Informationen zu benutzerdefinierten Ports finden Sie unter diesem Link:
So verwenden Sie SSL VPN auf einem anderen Port als die Web-GUI
e. Stellen Sie sicher, dass der SSL-VPN-Port zu Ihrer WAN-zu-Zywall-Firewall-Regel hinzugefügt wird.
Wenn Sie einen angepassten Port für SSL VPN verwenden, stellen Sie sicher, dass Sie ein neues Serviceobjekt unter
Konfiguration > Objekt > Dienst
Klicken Sie auf"Hinzufügen", um ein neues Objekt zu erstellen und es der Gruppe Default-WAN-to-Zywall hinzuzufügen.
2. Anleitung für die SecuExtender-Einrichtung unter Windows
Wenn Sie die SecuExtender Client-Software noch nicht installiert haben, klicken Sie hier. Die Nutzung des SecuExtender für Windows ist kostenlos.
a. Starten Sie das Setup und führen Sie die .exe-Datei nach der Installation aus.
b. Der SecuExtender erscheint als kleines rotes Symbol in der rechten unteren Ecke Ihrer Taskleiste, klicken Sie auf das Symbol, um den Anmeldebildschirm zu öffnen.
c. Wenn SecuExtender sagt, dass die Verbindung nicht vertrauenswürdig ist, klicken Sie auf JA.
Nun sollten Sie erfolgreich eine SSL-VPN-Verbindung aufgebaut haben.
Für weitere Informationen über den "Full Tunnel Mode" besuchen Sie bitte:
Was ist SSL VPN im Volltunnelmodus?
d. Testen Sie das Ergebnis:
Öffnen Sie CMD und pingen Sie ein Gerät an, das sich im entfernten Netz befindet.
3. MAC OS-Einrichtung
Es gibt auch eine Version des SecuExtender für MAC OS, die ähnlich wie die in Abschnitt 2 gezeigte Version für Windows-Geräte eingerichtet wird. Um die neueste Version für MAC OS zu erhalten, lesen Sie bitte unseren Artikel:
SecuExtender für macOS 12 / Monterey
Hinweis: Aufgrund der Apple-Richtlinien erfordert die Nutzung des SecuExtender für MAC eine Lizenzzahlung.
+++ Sie können Lizenzen für Ihre Zyxel VPN Clients (SSL VPN, IPsec) mit sofortiger Lieferung per 1-Klick kaufen: Zyxel Webstore +++
4. SSL VPN mit 2FA-Authentifizierung
2FA mit SecuExtender ist über SMS / Email und Google Authentication konfigurierbar.
Für die Zwei-Faktor-Authentifizierung per E-Mail, lesen Sie bitte diesen Artikel:
Zwei-Faktor-Authentifizierung (per E-Mail) auf Zywall/USG
4.1 Google-Authentifizierung mit SSL-VPN konfigurieren - Schritt-für-Schritt-Anleitung
Navigieren Sie zu Konfiguration -> Objekt -> Auth. Methode -> Zwei-Faktoren-Authentifizierung -> VPN-Zugang:
Schritt 1: Aktivieren Sie die Zwei-Faktor-Authentifizierung für den VPN-Zugang
Schritt 2: Aktivieren Sie das Kontrollkästchen für die gewählten VPN-Typen (in diesem Fall: SSL VPN Access)
Schritt 3: Wählen Sie die Benutzer / Benutzerobjekte aus, die für die 2FA auf SSL VPN benötigt werden.
Schritt 4: Markieren Sie "Google Authenticator" unter "Deliver Authorize Link Method".
Schritt 5: Autorisieren Sie die Link-URL-Adresse auf Ihrer WAN-IP (in diesem Beispiel verwenden wir ein Doppel-NAT und wählen daher eine interne IP als unsere WAN-IP).
Schritt 6: Wählen Sie den autorisierten Port, der vom WAN zu Zywall zugelassen werden soll.
Schritt 7: Aktivieren Sie die Google-Authentifizierung für den Benutzer, indem Sie zu Konfiguration -> Objekt -> Benutzer/Gruppe navigieren und auf den Benutzer doppelklicken, für den Sie 2FA aktivieren möchten.
Schritt 8: Navigieren Sie zu Zwei-Faktor-Authentifizierung und aktivieren Sie die Zwei-Faktor-Authentifizierung für den VPN-Zugang.
Schritt 9: Klicken Sie in der Mitte des Bildschirms auf "Google Authenticator einrichten".
Schritt 10: Scannen Sie den QR-Code mit Ihrer Google Authenticator App und geben Sie Ihren Verifizierungscode ein.
Schritt 11: Öffnen Sie den SecuExtender auf Ihrem Client und geben Sie die WAN-IP-Adresse und den Port des SSL-VPN-Clients, den Benutzernamen und das Passwort ein:
Schritt 12: Navigieren Sie zu Ihrer WAN-IP und Ihrem Autorisierungsport (z. B. 192.168.1.108:8008)
Schritt 13: Geben Sie Ihren Google-Authentifizierungscode ein.
5. SSL-VPN mit AD-Authentifizierung
In fortgeschrittenen Implementierungen kann die Benutzerauthentifizierung mit Active Directory (AD)-Servern in die SSL-VPN-Authentifizierung integriert werden. Bitte lesen Sie den folgenden Artikel, der die Schritte beschreibt:
USG-Serie - Authentifizierung von SSL-VPN-Clients mit Microsoft Active Directory
6. SSL VPN - Virtuelles Labor
Werfen Sie einen Blick auf unser virtuelles Labor für die SSL VPN-Einrichtung auf unseren Firewall-Geräten. Mit diesem virtuellen Labor können Sie einen Blick auf die korrekte Konfiguration des SSL VPNs werfen:
Virtuelles Labor - End-to-Site VPN (SSL)
7. Fehlersuche
Unter den folgenden Links finden Sie Informationen zur Behebung häufiger Probleme, die wir bei der Einrichtung des SSL-VPN mit SecuExtender festgestellt haben.
- Wenn Sie Probleme mit der Einrichtung von SSL VPN haben, schauen Sie sich bitte diese Artikel an:
- Wenn Sie SSL VPN eingerichtet haben, aber auf Probleme stoßen, werfen Sie einen Blick auf diese Artikel:
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.