VPN-Verbindung zwischen zwei SX-GATE einrichten

Soll ein Filial-SX-GATE oder SATELLITE an die Zentrale angebunden werden, konfigurieren Sie bitte in der Zentrale gemäß dieser Anleitung eine über Zertifikate authentifizierte Verbindung. Beim Ausstellen des Zertifikats für die Filiale wird Ihnen dann ein Installationspaket zum Download angeboten. Dieses Installationspaket importieren Sie dann in der Filiale. Bei einem SX-GATE ist dies im Menü »Module > Netzwerk > Einstellungen« auf dem Reiter (Tab) »VPN Zertifikat« über die Import-Funktion möglich. Im SATELLITE erfolgt der Import über das Menü »Assistenten«.

Schnittstelle anlegen

Prüfen Sie bitte zunächst ob unter »Module > Netzwerk > Schnittstellen« bereits eine ipsec0-Schnittstelle existiert. Falls ja, klicken Sie bitte die Schnittstelle zum Bearbeiten an. Legen Sie die Schnittstelle andernfalls bitte neu an.

Jede ipsec-Schnittstelle muss im SX-GATE mit einer »normalen« Netzwerk-Schnittstelle assoziiert. Typischerweise ist dies die Internet-Schnittstelle. Eingestellt wird dies über den Parameter »Basisschnittstelle«. Falls SX-GATE eine dynamische Internet-IP besitzt, müssen Sie dort die Einstellung »Internet / dynamische IP« wählen. Bei fester IP selektieren Sie bitte die entsprechende Schnittstelle.

Falls der Internet-Zugang über ADSL mit fester IP erfolgt und die ADSL-Schnittstelle nicht in der Auswahl-Liste angezeigt wird, muss in der ADSL-Schnittstelle zunächst die feste IP hinterlegt werden.

Verbindung anlegen

Wechseln Sie ins Menü »Module > Netzwerk > Schnittstellen« und Klicken Sie bei der ipsec-Schnittstelle auf »Verbindungen«. Legen Sie dort unter beliebigem Namen eine neue Verbindung zu einem »Server« an.

Legen Sie dann zunächst mit Hilfe des Schalters »Gegenstelle mit« fest, ob der Gegenüber eine feste oder eine dynamische IP hat. Im Falle einer Gegenstelle mit dynamischer IP, die über DNS-Name erreichbar ist, wählen Sie bitte »fester IP«. Abhängig von der gewählten Einstellung ist die IP bzw. der DNS-Name dann auf dem Reiter (Tab) »VPN-Tunnel« einzutragen.

Auf dem selben Reiter sind nun unter »Entfernte Netzwerke« und »Lokale Netzwerke« die Netzwerke einzutragen, die miteinander verbunden werden sollen.

Authentifizierung

Wechseln Sie auf den Reiter »Authentifizierung« um die Authentifzierungsmethode festzulegen.

Wählen Sie »Passphrase (PSK)« für eine einfache Authentifzierung über Passwort. Konfigurationsabhängig wird Ihnen dann ggf. auch gleich das Feld »Passphrase (Preshared Key)« zur Eingabe des Passworts angezeigt. Erscheint das Feld nicht, muss das Passwort in der Konfiguration der ipsec-Schnittstelle konfiguriert werden. Wechseln Sie dazu aus den Verbindungseinstellungen zurück in die Einstellungen der ipsec-Schnittstelle. Das Eingabefeld für das Passwort ist konfigurationsabhängig entweder auf dem Reiter (Tab) »Gemeinsame Einstellungen« oder »Dynamische Gegenstellen«.

Soll die Authentifizierung über Zertifikate erfolgen, muss, falls noch nicht geschehen, zunächst ein CA-Zertifikat unter »System > Zertifikate > Root-CA« erstellt werden. Wählen Sie dann den Eintrag »VPN« unter »System > Zertifikate > Root-CA«. Hier erstellen Sie, falls noch nicht geschehen, das Zertifikat für den SX-GATE VPN-Server. Bei entsprechender Rückfrage müssen Sie den Schlüssel der CA im VPN-Server hinterlegen.

Falls SX-GATE ein Zertifikat für die Gegenstelle ausstellen soll, wird dies ebenfalls im »Root-CA«-Menü erledigt. Die ID dieses Zertifikats (»Ausgestellt für«) sollten Sie sich kopieren. Wechseln Sie dann zurück auf den »Authentifizierung«-Reiter der VPN-Verbindung. Stellen Sie die »Authentifizierungsmethode« auf »Zertifikat anhand CA«. Konfigurationsabhängig müssen Sie ggf. noch die zuvor kopierte Zertifikats-ID hinterlegen.

Sofern die Gegenstelle bereits über ein anderweitig ausgestelltes Zertifikat verfügt, stellen Sie die »Authentifizierungsmethode« auf »bestimmtes Zertifikat« und importieren Sie den öffentlichen Schlüssel der Gegenstelle.

Stellen Sie abschließend sicher, dass unter »System > Dienste« der Dienst »IPSec VPN« gestartet ist.