Firewall: Unterschied zwischen den Versionen

Aus TERRA CLOUD WIKI

Keine Bearbeitungszusammenfassung
Markierung: Manuelle Zurücksetzung
Keine Bearbeitungszusammenfassung
 
(39 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
<languages/>
<languages/>
<translate>
<translate>
<!--T:1-->
==Private Cloud Strategie== <!--T:27-->
==Private Cloud Strategie==
 
<!--T:28-->
Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer virtuellen Securepoint UTM Appliance ausgeliefert.<br>
Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer virtuellen Securepoint UTM Appliance ausgeliefert.<br>
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.<br>
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.<br>
</translate>
<translate>
==Voraussetzungen für den Zugriff== <!--T:29-->


==Voraussetzungen für den Zugriff== <!--T:2-->
<!--T:30-->
 
<!--T:3-->
'''OpenVPN Client:'''<br>
'''OpenVPN Client:'''<br>
* Securepoint VPN Client - [https://sourceforge.net/projects/securepoint/ Download Link]
* Securepoint VPN Client - [https://sourceforge.net/projects/securepoint/ Download Link]
Zeile 15: Zeile 17:
'''VPN Konfigurationsdatei:'''<br>
'''VPN Konfigurationsdatei:'''<br>
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch ''[[Service-Informationen|Service-Informationen]]''.<br>
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch ''[[Service-Informationen|Service-Informationen]]''.<br>
<br>
</translate>
'''Der Punkt "zum Download-Bereich" bringt Sie zu einem zentralen Share im Terra Drive, in dem sich all Ihre VPN-Daten zu den gebuchten virtuellen Umgebungen in der Terra Cloud befinden. Voraussetzung dafür sind die Zugangsdaten Ihres Drive NFR-Accounts.'''<br>
<translate>
''' Bitte beachten Sie, dass sich in dem zentralem Share ausschließlich die VPN-Daten der Umgebungen befinden, die Sie im Terra Cloud Center gebucht haben.'''<br>
 
==VLAN-Anforderungen== <!--T:57-->
 
<!--T:58-->
Jede virtuelle Securepoint UTM hat von Hause aus 2x virtuelle Netzwerkschnittstellen.<br>
Eine davon kommuniziert mit dem Internet, die andere kommuniziert mit den Systemen im Paket.<br>
Da eine Hyper-V VM max. 8x Netzwerkkarten angehängt haben kann, können wir max. 6x zusätzliche VLANs bereitstellen.<br>
</translate>
<translate>
 
==Verbindung zur Firewall herstellen== <!--T:31-->


<!--T:4-->
<!--T:32-->
==Verbindung zur Firewall herstellen==
Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.<br>
Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.<br>
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.<br>
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.<br>
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.<br>
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.<br>
<br />
<br />
===Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client===
</translate>
<translate>
===Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client=== <!--T:33-->
 
<!--T:34-->
* Installieren Sie den jeweiligen VPN Client, wir gehen in diesem Beispiel von dem Securepoint VPN Client aus.
* Installieren Sie den jeweiligen VPN Client, wir gehen in diesem Beispiel von dem Securepoint VPN Client aus.
* Öffnen Sie den VPN-Client und klicken Sie unten rechts auf das Zahnrad, um das Einstellungsmenü zu öffnen..<br>
* Öffnen Sie den VPN-Client und klicken Sie unten rechts auf das Zahnrad, um das Einstellungsmenü zu öffnen..<br>
<!--T:5-->
[[Datei:vpnclient1.png|border|Einstellungen des VPN-Clients öffnen]]<br>
[[Datei:vpnclient1.png|border|Einstellungen des VPN-Clients öffnen]]<br>
 
* Im Kontextmenü unter Quelldatei klicken Sie dann auf die drei Punkte, um die Quelldatei auszuwählen, welche vorher aus dem Cloud Portal, siehe auch ''[[Service-Informationen|Service-Informationen]]'', heruntergeladen wurde.
<!--T:6-->
* Im Kontextmenü unter Quelldatei klicken Sie dann auf die drei Punkte, um die Quelldatei auszuwählen, welche vorher aus dem Cloud Portal heruntergeladen wurde.
 
<!--T:7-->
[[Datei:vpnclient2.png|border|Importieren der Konfiguration]]<br>
[[Datei:vpnclient2.png|border|Importieren der Konfiguration]]<br>
<!--T:8-->
* Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
* Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
* Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
* Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
* Starten Sie über das Pfeil-Schaltfläche den Aufbau der VPN-Verbindung
* Starten Sie über das Pfeil-Schaltfläche den Aufbau der VPN-Verbindung
<!--T:9-->
[[Datei:vpnclient3.png|border|Verbindung hertellen]]<br>
[[Datei:vpnclient3.png|border|Verbindung hertellen]]<br>
<!--T:10-->
Die benötigten Erstzugangsdaten lauten:<br>
Die benötigten Erstzugangsdaten lauten:<br>
Benutzer: ssluser-admin<br>
Benutzer: ssluser-admin<br>
Zeile 52: Zeile 55:
<section begin=excludepaas/>
<section begin=excludepaas/>
<br />
<br />
</translate>
<translate>
===Verbindung zur Firewall Weboberfläche=== <!--T:35-->


<!--T:11-->
<!--T:36-->
===Verbindung zur Firewall Weboberfläche===
Nachdem die VPN Verbindung erfolgreich aufgebaut ist, rufen Sie in einem beliebigen Browser folgende Adresse auf:<br>
Nachdem die VPN Verbindung erfolgreich aufgebaut ist, rufen Sie in einem beliebigen Browser folgende Adresse auf:<br>
<u>https://<IP-Adresse der Firewall>:11115</u><br>
<u>https://<IP-Adresse der Firewall>:11115</u><br>
Zeile 66: Zeile 72:
<u>Benutzer</u>: fwadmin<br>
<u>Benutzer</u>: fwadmin<br>
<u>Passwort</u>: Terra001<br>
<u>Passwort</u>: Terra001<br>
</translate>
<translate>
== Erstzugriff auf die Firewall Weboberfläche == <!--T:37-->


<!--T:12-->
<!--T:38-->
== Erstzugriff auf die Firewall Weboberfläche ==
'''Hinweis:'''<br>
Seit der Firmware Version 12.6.2 hat sich die WebGUI optisch geändert.<br>
Allerdings heißen alle Punkte, bis auf wenige Ausnahmen, immer noch gleich, sodass Sie auch weiterhin anhand der folgenden Anleitungen alle Schritte nachvollziehen können.<br>
<br>
Beim ersten Aufruf der Firewall Weboberfläche müssen einige Dinge durchgeführt werden:<br>
Beim ersten Aufruf der Firewall Weboberfläche müssen einige Dinge durchgeführt werden:<br>
=== Firewallname vergeben ===
</translate>
[[Datei:Firewallname_vergeben.png|border|Firewallname_vergeben]]
<translate>
=== Firewallname vergeben === <!--T:39-->


<!--T:13-->
<!--T:40-->
[[Datei:Firewallname_vergeben.png|border|Firewallname_vergeben]]<br>
Bitte vergeben Sie einen Firewallnamen, dieser muss einem FQDN entsprechen, z.B. meinefirewall.local. <br>
Bitte vergeben Sie einen Firewallnamen, dieser muss einem FQDN entsprechen, z.B. meinefirewall.local. <br>
Der Firewallname darf keine Umlaute, Sonderzeichen oder Großbuchstaben enthalten.<br>
Der Firewallname darf keine Umlaute, Sonderzeichen oder Großbuchstaben enthalten.<br>
Zeile 79: Zeile 93:
Anschließend klicken Sie auf den Button Abschließen.<br>
Anschließend klicken Sie auf den Button Abschließen.<br>
<br>
<br>
</translate>
<translate>
=== Firmware Update === <!--T:41-->


=== Firmware Update === <!--T:14-->
<!--T:42-->
 
<!--T:15-->
Je nach vorinstallierter Firmware Version, erhalten Sie eine Meldung, dass eine neuere Firmware verfügbar ist.<br>
Je nach vorinstallierter Firmware Version, erhalten Sie eine Meldung, dass eine neuere Firmware verfügbar ist.<br>
In diesem Beispiel gehen wir davon aus, dass die Version 11.8.9 vorinstalliert ist.<br>
In diesem Beispiel gehen wir davon aus, dass die Version 11.8.9 vorinstalliert ist.<br>
Zeile 104: Zeile 119:
<br>
<br>
[[Datei:Firewall-Firmware-ReleaseNotes.png|border|Firewall-Firmware-ReleaseNotes]]<br>
[[Datei:Firewall-Firmware-ReleaseNotes.png|border|Firewall-Firmware-ReleaseNotes]]<br>
</translate>
<translate>
=== Meldung zum Virenscanner bestätigen === <!--T:43-->


<!--T:16-->
<!--T:44-->
=== Meldung zum Virenscanner bestätigen ===
Wenn Sie die Firewall mit nur einem vCore gebucht haben, erhalten Sie eine Meldung, dass die Anzahl der Virenscanner auf der Firewall aus Stabilitäts- und Performancegründen verringert wurde.<br>
Wenn Sie die Firewall mit nur einem vCore gebucht haben, erhalten Sie eine Meldung, dass die Anzahl der Virenscanner auf der Firewall aus Stabilitäts- und Performancegründen verringert wurde.<br>
Diese Meldung ist normal und muss bestätigt werden.<br>
Diese Meldung ist normal und muss bestätigt werden.<br>
<!--T:17-->
[[Datei:Virenscanner-Meldung.png|border|Virenscanner-Meldung]]<br>
[[Datei:Virenscanner-Meldung.png|border|Virenscanner-Meldung]]<br>
</translate>
<translate>
=== Cloud-Backup Passwort setzen === <!--T:45-->


 
<!--T:46-->
<!--T:18-->
=== Cloud-Backup Passwort setzen ===
Bitte vergeben Sie ein Passwort für die Sicherung Ihrer Firewall Konfiguration in die Cloud von Securepoint.<br>
Bitte vergeben Sie ein Passwort für die Sicherung Ihrer Firewall Konfiguration in die Cloud von Securepoint.<br>
Dadurch haben Sie die Möglichkeit nach einer Neuinstallation der Firewall die Konfiguration der Firewall aus der Securepoint Cloud einzuspielen.<br>
Dadurch haben Sie die Möglichkeit nach einer Neuinstallation der Firewall die Konfiguration der Firewall aus der Securepoint Cloud einzuspielen.<br>
Zeile 123: Zeile 139:
<br>
<br>
[[Datei:Firewall-WebGUI.png|border|Firewall-WebGUI|700px]]<br>
[[Datei:Firewall-WebGUI.png|border|Firewall-WebGUI|700px]]<br>
</translate>
<translate>
==Änderung der initialen Kennwörter== <!--T:47-->


<!--T:19-->
<!--T:48-->
==Änderung der initialen Kennwörter==
Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.
Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.
 
Hierzu ist es notwendig, für den jeweiligen Benutzer OTP einzurichten.
<!--T:20-->
* Öffnen Sie in der Firewall-Oberfläche den Menüpunkt Authentifizierung --> Benutzer
* Öffnen Sie in der Firewall-Oberfläche den Menüpunkt Authentifizierung --> Benutzer
[[Datei:Firewall-Kennwort aendern-1.png|1200px|center|mini]]
* Klicken Sie hinter dem jeweiligen Benutzer auf das Konfigurationssymbol (Schraubenschlüssel) und geben Sie im Feld Passwort und Passwort bestätigen das neue Passwort ein.
* Sollte für diesen Benutzer das OTP noch nicht vorbereitet sein, muss dieses hier vorgenommen werden. Scrollen Sie hierzu ganz nach unten und nehmen Sie die passenden OTP Einstellungen vor. Hierbei muss ein Eingabeformat, Hash Algorithmus sowie ein Intervall eingetragen werden. Anschließend klicken Sie bitte im Feld Code auf den Button mit dem Pfeil. Hierbei wird ein neuer Code generiert, welchen Sie für Ihre OTP-App nutzen können. Alternativ nutzen Sie bitte den generierten QR-Code. Ganz unten haben Sie die Möglichkeit, den aktuell generierten OTP-Code aus Ihrer OTP-App zu prüfen.
<b>Hinweis:<br>
Das OTP muss an dieser Stelle nur für die Verwendung vorbereitet werden.<br>
Ohne weitere Konfiguration wird das OTP weder für die Passwort-Änderung, noch für den Login auf die WebGUI benötigt.</b>
<br>
<br>
[[Datei:Firewall-Kennwort aendern-1.png|border|Kennwort_aendern]]<br>
[[Datei:DE-Firewall-Benutzer-OTP.PNG|1200px|center|mini]]
<br>
* Klicken Sie hinter dem jeweiligen Benutzer auf das Konfigurationssymbol (Schraubenschlüssel) und geben Sie im Feld Passwort und Passwort bestätigen das neue Passwort ein.
* Abschließend klicken Sie auf Speichern.
<br>
<br>
[[Datei:Fwusermgmt.PNG|border|Übersicht]]<br>
* Abschließend klicken Sie oben rechts auf das Speicher-Symbol.
[[Datei:Fwusermgmt.PNG|1200px|center|mini]]
<br>
<br>
[[Datei:Firewall-Kennwort aendern-3.png|border|Kennwort_aendern]]<br>
[[Datei:Firewall-Kennwort aendern-3.png|1200px|center|mini]]
<br>
<br>
Der Benutzer "admin" kann nicht von Ihnen angepasst werden.<br>
Der Benutzer "admin" kann nicht von Ihnen angepasst werden.<br>
Es handelt sich hierbei um einen administrativen Account der lediglich im Hintergrund für die Dienste der Firewall genutzt wird.<br>
Es handelt sich hierbei um einen administrativen Account der lediglich im Hintergrund für die Dienste der Firewall genutzt wird.<br>
<!--T:21-->
'''Anleitungen und Informationen zur Konfiguration der Firewall finden Sie unter:'''<br>
'''Anleitungen und Informationen zur Konfiguration der Firewall finden Sie unter:'''<br>
http://wiki.securepoint.de/index.php/Howtos-V11
http://wiki.securepoint.de/index.php/Howtos-V11
<br />
<br />
</translate>
<translate>
== E-Mail-Schutz: Spam-Filter mit Anti-Viren-Paket (optional)== <!--T:49-->


<!--T:22-->
<!--T:50-->
== E-Mail-Schutz: Spam-Filter mit Anti-Viren-Paket (optional)==
Der Schutz wird direkt auf der in der Cloud-Umgebung enthaltene Firewall implementiert. <br>
Der Schutz wird direkt auf der in der Cloud-Umgebung enthaltene Firewall implementiert. <br>
Folgende Optionen können eingerichtet werden: <br>
Folgende Optionen können eingerichtet werden: <br>
Zeile 155: Zeile 178:
*https://wiki.securepoint.de/UTM/APP/Mailrelay-Best_Practice  
*https://wiki.securepoint.de/UTM/APP/Mailrelay-Best_Practice  
<br />
<br />
</translate>
<translate>
== Internet-Schutz: Content-Filter mit Anti-Viren-Paket (optional) == <!--T:51-->


<!--T:23-->
<!--T:52-->
== Internet-Schutz: Content-Filter mit Anti-Viren-Paket (optional) ==
Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden: <br>
Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden: <br>
*https://wiki.securepoint.de/UTM/APP/Webfilter
*https://wiki.securepoint.de/UTM/APP/Webfilter
<section begin=excludeiaas/>
<section begin=excludeiaas/>
<br />
<br />
</translate>
<translate>
== Änderung der internen IP-Adresse == <!--T:53-->


== Änderung der internen IP-Adresse == <!--T:24-->
<!--T:54-->
 
<!--T:25-->
Um die interne IP-Adresse zu ändern, ohne den Zugriff auf die Firewall zu verlieren,<br>
Um die interne IP-Adresse zu ändern, ohne den Zugriff auf die Firewall zu verlieren,<br>
muss zunächst die neue IP-Adresse hinzugefügt, die VPN Einstellungen angepasst und erst dann die alte IP-Adresse gelöscht werden.<br>
muss zunächst die neue IP-Adresse hinzugefügt, die VPN Einstellungen angepasst und erst dann die alte IP-Adresse gelöscht werden.<br>
<br>
<br>
* Zuerst wird das Netzwerkobjekt „Internal-Interface“ angepasst. Öffnen Sie dazu unter dem Reiter „Firewall“ den Portfilter<br>
* Zuerst wird das Netzwerkobjekt „Internal-Interface“ angepasst. Öffnen Sie dazu unter dem Reiter „Firewall“ den Paketfilter.  <br>
[[Datei:Portfilter.png|border|Portfilter]] <br>
<br>
* Unter „Netzwerkobjekte“ finden Sie das Objekt "internal-interface". Öffnen Sie die Einstellungen des Netzwerkobjektes, indem Sie auf den „Schraubenschlüssel“ klicken.
* Unter „Netzwerkobjekte“ finden Sie das Objekt "internal-interface". Öffnen Sie die Einstellungen des Netzwerkobjektes, indem Sie auf den „Schraubenschlüssel“ klicken.
[[Datei:Netzobjekte bearbeiten.png|border|Netzwerkobjekt bearbeiten]] <br>
[[Datei:Netzobjekte bearbeiten.png|1200px|center|mini]]
<br>
<br>
* Unabhängig vom Ausgangszustand, wählen Sie hier unter „Schnittstelle“ „eth1“ aus <br>
* Unabhängig vom Ausgangszustand, wählen Sie hier unter „Schnittstelle“ „eth1“ aus <br>
[[Datei:Firewall-IP-aendern-1-1.png|border|Netzwerkobjekt bearbeiten]] <br>
[[Datei:Firewall-IP-aendern-1-1.png|1200px|center|mini]]
<br>
'''Hinweis: In der neueren Firewall-Version wurde das Feld Schnittstelle in Ziel und eth1 in lan2 umbenannt.'''
<br>
<br>
* Anschließend wird das neue IP-Netz vergeben. Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration. <br>
* Anschließend wird das neue IP-Netz vergeben. Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration. <br>
[[Datei:Netzwerk Konfiguration.png|border|Netzwerkkonfiguration]] <br>
<br>
* Klicken Sie auf der rechten Seite auf den "Schraubenschlüssel" von eth1 für die Konfiguration.<br>
* Klicken Sie auf der rechten Seite auf den "Schraubenschlüssel" von eth1 für die Konfiguration.<br>
[[Datei:WerkzeugsymbolETH1 bearbeiten.png|border|ETH1 bearbeiten]]<br>
[[Datei:Netzwerk Konfiguration.png|1200px|center|mini]]
<br>
<br>
* Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu.  
* Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu.  
[[Datei:Schnittstelle bearbeiten1.png|border|IP-Adresse hinzufügen]]<br>
[[Datei:Schnittstelle bearbeiten1.png|1200px|center|mini]]
[[Datei:Firewall-IP-aendern-3-2.png|border|IP-Adresse hinzufügen]]<br>
<br>
[[Datei:Firewall-IP-aendern-3-2.png|1200px|center|mini]]
<br>
* Wenn Sie ausschließlich die Host-Adresse ändern wollen, reicht es aus hier die neue Adresse einzugeben, die alte Adresse über das kleine x zu löschen und dieses über den Button „Speichern“ abzuschließen.
* Wenn Sie ausschließlich die Host-Adresse ändern wollen, reicht es aus hier die neue Adresse einzugeben, die alte Adresse über das kleine x zu löschen und dieses über den Button „Speichern“ abzuschließen.
[[Datei:Firewall-IP-aendern-4.png|border|IP-Adresse hinzufügen]]<br>
[[Datei:Firewall-IP-aendern-4.png|1200px|center|mini]]
* Wenn es aber darum geht, auch das Subnetz zu ändern, müssen <b>vor der Löschung der alten IP-Adresse</b> weitere Einstellungen für den VPN Tunnel vorgenommen werden.
<br>
[[Datei:Firewall-IP-aendern-5.png|border|IP-Adresse hinzufügen]]<br>
* Wenn es aber darum geht, auch das Subnetz zu ändern, müssen <b>vor der Löschung der alten IP-Adresse</b> weitere Einstellungen für den VPN Tunnel vorgenommen werden.<br>
[[Datei:Firewall-IP-aendern-5.png|1200px|center|mini]]
<br>
* Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „VPN“ die SSL-VPN Konfiguration.<br>
* Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „VPN“ die SSL-VPN Konfiguration.<br>
[[Datei:SSL VPN.png|border|SSL-VPN]]<br>
<br>
* Klicken Sie rechts auf den Schraubschlüssel, um die SSL-VPN Verbindung zu bearbeiten. <br>
* Klicken Sie rechts auf den Schraubschlüssel, um die SSL-VPN Verbindung zu bearbeiten. <br>
[[Datei:SSL VPN2.png|border|SSL-VPN bearbeiten]] <br>
[[Datei:SSL VPN2.png|1200px|center|mini]]
<br>
<br>
* Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“. <br>
* Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“. <br>
:'''Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden und eine erneuter Tunnelaufbau erforderlich ist!'''<br>
:'''Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden und eine erneuter Tunnelaufbau erforderlich ist!'''<br>
[[Datei:SSL VPN3.png|1200px|center|mini]]
<br>
<br>
[[Datei:SSL VPN3.png|border|SSL-VPN bearbeiten]] <br>
[[Datei:Firewall-IP-aendern-8.png|1200px|center|mini]]
[[Datei:Firewall-IP-aendern-8.png|border|SSL-VPN bearbeiten]] <br>
<br>
[[Datei:Firewall-IP-aendern-9.png|border|SSL-VPN bearbeiten]] <br>
<br>
* Anschließend entfernen wir das Alte, nicht mehr benötigte Netz von der Schnittstelle eth1 <br>
[[Datei:Schnittstelle bearbeiten.png|border|Schnittselle bearbeiten]]<br>
<br />
[[Datei:Firewall-IP-aendern-11.png|border|SSL-VPN bearbeiten]] <br>
=== Troubleshooting ===
Sollte es anschließend zu einer Unerreichbarkeit der Firewall kommen, können Sie per Konsolenverbindung (https://manage.terracloud.de/) auf der Firewall, ein Troubleshooting durchführen:<br>
Hier können die Zugangsdaten wie auf der Weboberfläche verwendet werden.<br>
[[Datei:FirewallLogin.png|border|Firewall Login-Maske]] <br>
<br>
Über den Befehl <b><i>interface address get</i></b> wird die Netzwerkkonfiguration angezeigt <br>
[[Datei:Adressget.png|border|interface address get]]<br>
<br>
<br>
Über den Befehl <b><i>node get</i></b> werden die Netzwerkobjekte(Nodes) ausgegeben <br>
[[Datei:Firewall-IP-aendern-9.png|1200px|center|mini]]
[[Datei:Nodeget.png|border|... node get]] <br>
<br>
<br>
Hier kann der erste Abgleich stattfinden. Unter den Nodes muss die Adresse des internal-interface mit eth1 unter der Netzwerkkonfiguration, übereinstimmen. <br>
* Anschließend entfernen wir das alte, nicht mehr benötigte Netz von der Schnittstelle eth1 <br>
Alternativ kann als Adresse der Wert „eth1“ eingetragen werden. <br>
[[Datei:Schnittstelle bearbeiten.png|1200px|center|mini]]
<br>
<br>
Insofern hier ein Unterschied, wie im folgenden Beispiel besteht, lässt sich dieser mit einem Befehl angleichen:<br>
[[Datei:Firewall-IP-aendern-11.png|1200px|center|mini]]
[[Datei:Eth1online.png|border|192.168.144.254/24]]<br>
[[Datei:Internal-interface.png|border| firewall-internal]]<br>
<br>
Mit folgendem Befehl wird die neue Adresse zur Verfügung gestellt und die alte auf „dynamic“ gesetzt, damit ggf. weitere Arbeiten vorgenommen werden können.<br>
<b><i>Interface address set id „5“ address „192.168.140.254/24“</i></b><br>
<br>
[[Datei:Idflags.png|border|id:flags]] <br>
<br>
Anschließend müssen noch zwei weitere Befehle vorgenommen werden:<br>
<b><i>system update interface</i></b><br>
<br>
Durch diesen Befehl geht die neue IP online.<br>
<br>
Zu guter Letzt noch <b><i>system config save</i></b> ausführen, um die Konfiguration zu speichern<br>
<br>
[[Datei:System config save.png|border|system config save]]<br>
<br />
 
<!--T:26-->
<section end=excludeiaas/>
<section end=excludepaas/>
</translate>
</translate>
-

Aktuelle Version vom 4. März 2025, 12:16 Uhr

Sprachen:

Private Cloud Strategie

Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer virtuellen Securepoint UTM Appliance ausgeliefert.
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.

Voraussetzungen für den Zugriff

OpenVPN Client:

VPN Konfigurationsdatei:
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch Service-Informationen.

VLAN-Anforderungen

Jede virtuelle Securepoint UTM hat von Hause aus 2x virtuelle Netzwerkschnittstellen.
Eine davon kommuniziert mit dem Internet, die andere kommuniziert mit den Systemen im Paket.
Da eine Hyper-V VM max. 8x Netzwerkkarten angehängt haben kann, können wir max. 6x zusätzliche VLANs bereitstellen.

Verbindung zur Firewall herstellen

Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.

Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client

  • Installieren Sie den jeweiligen VPN Client, wir gehen in diesem Beispiel von dem Securepoint VPN Client aus.
  • Öffnen Sie den VPN-Client und klicken Sie unten rechts auf das Zahnrad, um das Einstellungsmenü zu öffnen..

Einstellungen des VPN-Clients öffnen

  • Im Kontextmenü unter Quelldatei klicken Sie dann auf die drei Punkte, um die Quelldatei auszuwählen, welche vorher aus dem Cloud Portal, siehe auch Service-Informationen, heruntergeladen wurde.

Importieren der Konfiguration

  • Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
  • Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
  • Starten Sie über das Pfeil-Schaltfläche den Aufbau der VPN-Verbindung

Verbindung hertellen
Die benötigten Erstzugangsdaten lauten:
Benutzer: ssluser-admin
Passwort: ChanTroFar93!


Verbindung zur Firewall Weboberfläche

Nachdem die VPN Verbindung erfolgreich aufgebaut ist, rufen Sie in einem beliebigen Browser folgende Adresse auf:
https://<IP-Adresse der Firewall>:11115

Die IP-Adresse der Firewall wurde von Ihnen während der Bestellung der Umgebung vergeben und kann im Nachhinein im Cloud Center
unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen eingesehen werden, siehe auch Service-Informationen.

FW_Login

Die benötigten Erstzugangsdaten lauten:
Benutzer: fwadmin
Passwort: Terra001

Erstzugriff auf die Firewall Weboberfläche

Hinweis:
Seit der Firmware Version 12.6.2 hat sich die WebGUI optisch geändert.
Allerdings heißen alle Punkte, bis auf wenige Ausnahmen, immer noch gleich, sodass Sie auch weiterhin anhand der folgenden Anleitungen alle Schritte nachvollziehen können.

Beim ersten Aufruf der Firewall Weboberfläche müssen einige Dinge durchgeführt werden:

Firewallname vergeben

Firewallname_vergeben
Bitte vergeben Sie einen Firewallnamen, dieser muss einem FQDN entsprechen, z.B. meinefirewall.local.
Der Firewallname darf keine Umlaute, Sonderzeichen oder Großbuchstaben enthalten.

Anschließend klicken Sie auf den Button Abschließen.

Firmware Update

Je nach vorinstallierter Firmware Version, erhalten Sie eine Meldung, dass eine neuere Firmware verfügbar ist.
In diesem Beispiel gehen wir davon aus, dass die Version 11.8.9 vorinstalliert ist.

Firmwareupdate_verfügbar

Diese Abfrage sollte bei der Erstinbetriebnahme der Umgebung mit Ja beantwortet werden.
Daraufhin erhalten Sie eine Ansicht der verfügbaren neuen Firmware, welche über den Button „Probelauf starten“ eingespielt wird.

Verfügbare_Firmwares

Damit die neue Firmware genutzt werden kann, müssen mehrere Lizenzvereinbarungen geprüft und akzeptiert werden.
Firewall-Lizenzvereinbarung

Abschließend muss ein Neustart erfolgen. Dieser kann bis zu 5 Minuten dauern.
Sie können den Neustart über die Konsolenverbindung über das Technical Center (https://manage.terracloud.de) verfolgen.

Firmware_Neustart

Nachdem die Firewall erfolgreich neugestartet ist und Sie sich wieder eingeloggt haben, muss die neue Firmware als neue Standard-Firmware bestätigt werden.

Firewall-Firmware-ReleaseNotes

Meldung zum Virenscanner bestätigen

Wenn Sie die Firewall mit nur einem vCore gebucht haben, erhalten Sie eine Meldung, dass die Anzahl der Virenscanner auf der Firewall aus Stabilitäts- und Performancegründen verringert wurde.
Diese Meldung ist normal und muss bestätigt werden.
Virenscanner-Meldung

Cloud-Backup Passwort setzen

Bitte vergeben Sie ein Passwort für die Sicherung Ihrer Firewall Konfiguration in die Cloud von Securepoint.
Dadurch haben Sie die Möglichkeit nach einer Neuinstallation der Firewall die Konfiguration der Firewall aus der Securepoint Cloud einzuspielen.
Cloudbackup-Passwort

Danach Ist Ihre Firewall fertig ersteingerichtet.

Firewall-WebGUI

Änderung der initialen Kennwörter

Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern. Hierzu ist es notwendig, für den jeweiligen Benutzer OTP einzurichten.

  • Öffnen Sie in der Firewall-Oberfläche den Menüpunkt Authentifizierung --> Benutzer
  • Klicken Sie hinter dem jeweiligen Benutzer auf das Konfigurationssymbol (Schraubenschlüssel) und geben Sie im Feld Passwort und Passwort bestätigen das neue Passwort ein.
  • Sollte für diesen Benutzer das OTP noch nicht vorbereitet sein, muss dieses hier vorgenommen werden. Scrollen Sie hierzu ganz nach unten und nehmen Sie die passenden OTP Einstellungen vor. Hierbei muss ein Eingabeformat, Hash Algorithmus sowie ein Intervall eingetragen werden. Anschließend klicken Sie bitte im Feld Code auf den Button mit dem Pfeil. Hierbei wird ein neuer Code generiert, welchen Sie für Ihre OTP-App nutzen können. Alternativ nutzen Sie bitte den generierten QR-Code. Ganz unten haben Sie die Möglichkeit, den aktuell generierten OTP-Code aus Ihrer OTP-App zu prüfen.

Hinweis:
Das OTP muss an dieser Stelle nur für die Verwendung vorbereitet werden.
Ohne weitere Konfiguration wird das OTP weder für die Passwort-Änderung, noch für den Login auf die WebGUI benötigt.


  • Abschließend klicken Sie oben rechts auf das Speicher-Symbol.



Der Benutzer "admin" kann nicht von Ihnen angepasst werden.
Es handelt sich hierbei um einen administrativen Account der lediglich im Hintergrund für die Dienste der Firewall genutzt wird.
Anleitungen und Informationen zur Konfiguration der Firewall finden Sie unter:
http://wiki.securepoint.de/index.php/Howtos-V11

E-Mail-Schutz: Spam-Filter mit Anti-Viren-Paket (optional)

Der Schutz wird direkt auf der in der Cloud-Umgebung enthaltene Firewall implementiert.
Folgende Optionen können eingerichtet werden:


Internet-Schutz: Content-Filter mit Anti-Viren-Paket (optional)

Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden:


Änderung der internen IP-Adresse

Um die interne IP-Adresse zu ändern, ohne den Zugriff auf die Firewall zu verlieren,
muss zunächst die neue IP-Adresse hinzugefügt, die VPN Einstellungen angepasst und erst dann die alte IP-Adresse gelöscht werden.

  • Zuerst wird das Netzwerkobjekt „Internal-Interface“ angepasst. Öffnen Sie dazu unter dem Reiter „Firewall“ den Paketfilter.
  • Unter „Netzwerkobjekte“ finden Sie das Objekt "internal-interface". Öffnen Sie die Einstellungen des Netzwerkobjektes, indem Sie auf den „Schraubenschlüssel“ klicken.


  • Unabhängig vom Ausgangszustand, wählen Sie hier unter „Schnittstelle“ „eth1“ aus


Hinweis: In der neueren Firewall-Version wurde das Feld Schnittstelle in Ziel und eth1 in lan2 umbenannt.

  • Anschließend wird das neue IP-Netz vergeben. Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration.
  • Klicken Sie auf der rechten Seite auf den "Schraubenschlüssel" von eth1 für die Konfiguration.


  • Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu.



  • Wenn Sie ausschließlich die Host-Adresse ändern wollen, reicht es aus hier die neue Adresse einzugeben, die alte Adresse über das kleine x zu löschen und dieses über den Button „Speichern“ abzuschließen.


  • Wenn es aber darum geht, auch das Subnetz zu ändern, müssen vor der Löschung der alten IP-Adresse weitere Einstellungen für den VPN Tunnel vorgenommen werden.


  • Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „VPN“ die SSL-VPN Konfiguration.
  • Klicken Sie rechts auf den Schraubschlüssel, um die SSL-VPN Verbindung zu bearbeiten.


  • Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“.
Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden und eine erneuter Tunnelaufbau erforderlich ist!




  • Anschließend entfernen wir das alte, nicht mehr benötigte Netz von der Schnittstelle eth1


Abgerufen von „https://wiki.terracloud.de/index.php?title=Firewall&oldid=12607