Firewall: Unterschied zwischen den Versionen

Aus TERRA CLOUD WIKI
Wechseln zu: Navigation, Suche
(Änderung der internen IP-Adresse)
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 10: Zeile 10:
 
* OpenVPN Client für MacOS - [https://wiki.securepoint.de/UTM/VPN/SSL_VPN-Roadwarrior-MacOS hier klicken]
 
* OpenVPN Client für MacOS - [https://wiki.securepoint.de/UTM/VPN/SSL_VPN-Roadwarrior-MacOS hier klicken]
 
'''VPN Konfigurationsdatei:'''<br>
 
'''VPN Konfigurationsdatei:'''<br>
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch [[IaaS_Bestellung_im_V2|Service-Informationen]].
+
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch ''[[Service-Informationen|Service-Informationen]]''.<br>
 +
<br>
 +
'''Der Punkt "zum Download-Bereich" bringt Sie zu einem zentralen Share im Terra Drive, in dem sich all Ihre VPN-Daten zu den gebuchten virtuellen Umgebungen in der Terra Cloud befinden. Voraussetzung dafür sind die Zugangsdaten Ihres Drive NFR-Accounts.'''<br>
 +
''' Bitte beachten Sie, dass sich in dem zentralem Share ausschließlich die VPN-Daten der Umgebungen befinden, die Sie im Terra Cloud Center gebucht haben.'''<br>
  
 
==Verbindung zur Firewall herstellen==
 
==Verbindung zur Firewall herstellen==
Zeile 34: Zeile 37:
 
Die benötigten Erstzugangsdaten lauten:<br>
 
Die benötigten Erstzugangsdaten lauten:<br>
 
Benutzer: ssluser-admin<br>
 
Benutzer: ssluser-admin<br>
Passwort: ChanTroFar93!<br><br>
+
Passwort: ChanTroFar93!<br>
<section begin=excludesaas/>
+
<section begin=excludepaas/>
 
<br />
 
<br />
 +
 
===Verbindung zur Firewall Weboberfläche===
 
===Verbindung zur Firewall Weboberfläche===
 
Rufen Sie im Browser folgende Adresse auf:<br>
 
Rufen Sie im Browser folgende Adresse auf:<br>
Zeile 47: Zeile 51:
 
Passwort: Terra001<br>
 
Passwort: Terra001<br>
 
<br />
 
<br />
 +
 
==Änderung der initialen Kennwörter==
 
==Änderung der initialen Kennwörter==
 
Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.
 
Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.
Zeile 74: Zeile 79:
 
Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden: <br>
 
Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden: <br>
 
*https://wiki.securepoint.de/UTM/APP/Webfilter
 
*https://wiki.securepoint.de/UTM/APP/Webfilter
<section end=excludesaas/>
+
<section begin=excludeiaas/>
 +
<br />
  
 
== Änderung der internen IP-Adresse ==
 
== Änderung der internen IP-Adresse ==
* Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration. <br>
+
* Zuerst wird das Netzwerkobjekt „Internal-Interface“ angepasst. Öffnen Sie dazu unter dem Reiter „Firewall“ den Portfilter.  <br>
 +
[[Datei:Portfilter.png|border|Portfilter]] <br>
 +
<br>
 +
* Unter „Netzwerkobjekte“ finden Sie das Objekt "internal-interface". Unabhängig vom Ausgangszustand, wählen Sie hier unter „Schnittstelle“ „eth1“ aus <br>
 +
[[Datei:Netzobjekte bearbeiten.png|border|Netzwerkobjekt bearbeiten]] <br>
 +
<br>
 +
* Anschließend wird das neue IP-Netz vergeben. Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration. <br>
 
[[Datei:Netzwerk Konfiguration.png|border|Netzwerkkonfiguration]] <br>
 
[[Datei:Netzwerk Konfiguration.png|border|Netzwerkkonfiguration]] <br>
 
<br>
 
<br>
 
* Klicken Sie auf der rechten Seite auf die Einstellungen von ETH1 für die Konfiguration.<br>
 
* Klicken Sie auf der rechten Seite auf die Einstellungen von ETH1 für die Konfiguration.<br>
[[Datei:ETH1 Netzwerk Konfiguration.png|border|ETH1 Schnittstelle bearbeiten]]<br>
+
[[Datei:WerkzeugsymbolETH1 bearbeiten.png|border|ETH1 bearbeiten]]<br>
 
<br>
 
<br>
 
* Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu. Klicken Sie auf „Hinzufügen“ und anschließend auf „Speichern“. <br>
 
* Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu. Klicken Sie auf „Hinzufügen“ und anschließend auf „Speichern“. <br>
[[Datei:Schnittstelle bearbeiten.png|border|Schnittselle bearbeiten]]<br>
+
[[Datei:Schnittstelle bearbeiten1.png|border|IP-Adresse hinzufügen]]<br>
 
<br>
 
<br>
 
* Neben der internen IP-Adresse muss in jedem Fall auch der Adressbereich, der über das VPN geroutet wird, geändert werden.<br>
 
* Neben der internen IP-Adresse muss in jedem Fall auch der Adressbereich, der über das VPN geroutet wird, geändert werden.<br>
Zeile 90: Zeile 102:
 
[[Datei:SSL VPN.png|border|SSL-VPN]]<br>
 
[[Datei:SSL VPN.png|border|SSL-VPN]]<br>
 
<br>
 
<br>
* Klicken Sie rechts auf das Zahnrad, um die SSL-VPN Verbindung zu bearbeiten. <br>
+
* Klicken Sie rechts auf den Schraubschlüssel, um die SSL-VPN Verbindung zu bearbeiten. <br>
 
[[Datei:SSL VPN2.png|border|SSL-VPN bearbeiten]] <br>
 
[[Datei:SSL VPN2.png|border|SSL-VPN bearbeiten]] <br>
 
<br>
 
<br>
 
* Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“. <br>
 
* Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“. <br>
:'''''Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden!''''' <br>
+
:'''Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden und eine erneuter Tunnelaufbau erforderlich ist!'''<br>
 +
<br>
 
[[Datei:SSL VPN3.png|border|SSL-VPN bearbeiten]] <br>
 
[[Datei:SSL VPN3.png|border|SSL-VPN bearbeiten]] <br>
 
<br>
 
<br>
* Nun muss noch das Netzwerkobjekt „Internal-Interface“ angepasst werden. Öffnen Sie dazu unter dem Reiter „Firewall“ den Portfilter. <br>
+
* Anschließend entfernen wir das Alte, nicht mehr benötigte Netz von der Schnittstelle eth1 <br>
[[Datei:Portfilter.png|border|Portfilter]] <br>
+
[[Datei:Schnittstelle bearbeiten.png|border|Schnittselle bearbeiten]]<br>
 +
<br />
 +
 
 +
=== Troubleshooting ===
 +
Sollte es unerwartet anschließend zu einer Unerreichbarkeit der Firewall kommen, können Sie per Konsolenverbindung auf die Firewall, ein Troubleshooting durchführen: <br>
 +
Hier können die Zugangsdaten wie auf der Weboberfläche verwendet werden.<br>
 +
[[Datei:FirewallLogin.png|border|Firewall Login-Maske]] <br>
 +
<br>
 +
Über den Befehl „interface address get“ wird die Netzwerkkonfiguration angezeigt <br>
 +
[[Datei:Adressget.png|border|interface address get]]<br>
 +
<br>
 +
Über den Befehl „node get“ werden die Netzwerkobjekte(Nodes) ausgegeben <br>
 +
[[Datei:Nodeget.png|border|... node get]] <br>
 +
Hier kann der erste Abgleich stattfinden. Unter den Nodes muss die Adresse des internal-interface mit eth1 unter der Netzwerkkonfiguration, übereinstimmen. <br>
 +
Alternativ kann als Adresse der Wert „eth1“ eingetragen werden. <br>
 +
<br>
 +
Insofern hier ein Unterschied, wie im folgenden Beispiel besteht, lässt sich dieser mit einem Befehl angleichen:<br>
 +
[[Datei:Eth1online.png|border|192.168.144.254/24]]<br>
 +
[[Datei:Internal-interface.png|border| firewall-internal]]<br>
 
<br>
 
<br>
* Unter „Netzwerkobjekte“ finden Sie das Objekt '''"internal-interface"'''. Unabhängig vom Ausgangszustand, wählen Sie hier einmal „Adresse“ und tragen die neue IP Adresse der Firewall ein.<br>
+
Interface address set id „5“ address „192.168.140.254/24“<br>
[[Datei:Netzobjekte bearbeiten.png|border|Netzwerkobjekt bearbeiten]] <br>
+
[[Datei:Idflags.png|border|id:flags]] <br>
 
<br>
 
<br>
* Nachdem die IPs der virtuellen Maschinen in der Umgebung angepasst wurden, können wir die alte IP-Adresse der Firewall entfernen.
+
Dadurch wird die neue Adresse zur Verfügung gestellt und die alte auf „dynamic“ gesetzt, damit ggf. weitere Arbeiten vorgenommen werden können.<br>
[[Datei:Eintrag löschen.png|border|alte IP-Adresse der Firewall entfernen]]<br>
+
Anschließend müssen noch zwei weitere Befehle vorgenommen werden:<br>
 +
„system update interface“-> Durch diesen Befehl geht die neue IP online.<br>
 +
Zu guter Letzt noch „system config save“ ausführen um die Konfiguration zu speichern<br>
 +
[[Datei:System config save.png|border|system config save]]<br>
 
<br />
 
<br />
 +
 +
<section end=excludeiaas/>
 +
<section end=excludepaas/>

Aktuelle Version vom 24. Juni 2020, 14:25 Uhr

Private Cloud Strategie

Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer Securepoint UTM Appliance ausgeliefert.
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.

Voraussetzungen für den Zugriff

OpenVPN Client:

VPN Konfigurationsdatei:
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch Service-Informationen.

Der Punkt "zum Download-Bereich" bringt Sie zu einem zentralen Share im Terra Drive, in dem sich all Ihre VPN-Daten zu den gebuchten virtuellen Umgebungen in der Terra Cloud befinden. Voraussetzung dafür sind die Zugangsdaten Ihres Drive NFR-Accounts.
Bitte beachten Sie, dass sich in dem zentralem Share ausschließlich die VPN-Daten der Umgebungen befinden, die Sie im Terra Cloud Center gebucht haben.

Verbindung zur Firewall herstellen

Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.

Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client

  • Öffnen Sie den Securepoint VPN-Client und klicken Sie unten rechts um das Einstellungsmenü zu öffnen.

Einstellungen des VPN-Clients öffnen

  • Im Kontextmenü wählen Sie dann „Importieren“. Dort können Sie dann die Quelldatei, die Sie zuvor aus dem Cloud Portal heruntergeladen haben importieren.

Importieren der Konfiguration

  • Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
  • Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
  • Starten Sie über die Schaltfläche „Verbinden“ den Aufbau der VPN-Verbindung.

Verbindung hertellen

Die benötigten Erstzugangsdaten lauten:
Benutzer: ssluser-admin
Passwort: ChanTroFar93!


Verbindung zur Firewall Weboberfläche

Rufen Sie im Browser folgende Adresse auf:
https://<eingetragene_IP-Adresse der Firewall_aus_der _Bestellung>:11115

Die Standard IP-Adresse, sofern nicht anders angegeben, lautet:

Die benötigten Zugangsdaten lauten:
Benutzer: fwadmin
Passwort: Terra001

Änderung der initialen Kennwörter

Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.

  • Öffnen Sie in der Firewall-Oberfläche den Menüpunkt Authentifizierung/Benutzer

Übersicht

  • Klicken Sie hinter dem jeweiligen Benutzer auf das Konfigurationssymbol(Schraubenschlüssel) und ändern Sie auf der Registerkarte „Allgemein“ das Passwort.
  • Speichern Sie die durchgeführten Änderungen.

Der Benutzer "admin" kann nicht von Ihnen angepasst werden.
Es handelt sich hierbei um einen administrativen Account der lediglich im Hintergrund für die Dienste der Firewall genutzt wird.

Anleitungen und Informationen zur Konfiguration der Firewall finden Sie unter:
http://wiki.securepoint.de/index.php/Howtos-V11

E-Mail-Schutz: Spam-Filter mit Anti-Viren-Paket (optional)

Der Schutz wird direkt auf der in der Cloud-Umgebung enthaltene Firewall implementiert.
Folgende Optionen können eingerichtet werden:


Internet-Schutz: Content-Filter mit Anti-Viren-Paket (optional)

Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden:


Änderung der internen IP-Adresse

  • Zuerst wird das Netzwerkobjekt „Internal-Interface“ angepasst. Öffnen Sie dazu unter dem Reiter „Firewall“ den Portfilter.

Portfilter

  • Unter „Netzwerkobjekte“ finden Sie das Objekt "internal-interface". Unabhängig vom Ausgangszustand, wählen Sie hier unter „Schnittstelle“ „eth1“ aus

Netzwerkobjekt bearbeiten

  • Anschließend wird das neue IP-Netz vergeben. Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „Netzwerk“ die Netzwerkkonfiguration.

Netzwerkkonfiguration

  • Klicken Sie auf der rechten Seite auf die Einstellungen von ETH1 für die Konfiguration.

ETH1 bearbeiten

  • Unter dem Reiter „IP-Adressen“ fügen Sie die neue IP-Adresse hinzu. Klicken Sie auf „Hinzufügen“ und anschließend auf „Speichern“.

IP-Adresse hinzufügen

  • Neben der internen IP-Adresse muss in jedem Fall auch der Adressbereich, der über das VPN geroutet wird, geändert werden.
  • Öffnen Sie in der Firewall-Weboberfläche unter dem Reiter „VPN“ die SSL-VPN Konfiguration.

SSL-VPN

  • Klicken Sie rechts auf den Schraubschlüssel, um die SSL-VPN Verbindung zu bearbeiten.

SSL-VPN bearbeiten

  • Anschließend können Sie den Adressbereich der Servernetzwerke freigeben. Nach dem Hinzufügen klicken Sie auf Speichern und danach auf „Neustarten“.
Bitte beachten Sie, dass dazu einmal alle Tunnel unterbrochen werden und eine erneuter Tunnelaufbau erforderlich ist!


SSL-VPN bearbeiten

  • Anschließend entfernen wir das Alte, nicht mehr benötigte Netz von der Schnittstelle eth1

Schnittselle bearbeiten

Troubleshooting

Sollte es unerwartet anschließend zu einer Unerreichbarkeit der Firewall kommen, können Sie per Konsolenverbindung auf die Firewall, ein Troubleshooting durchführen:
Hier können die Zugangsdaten wie auf der Weboberfläche verwendet werden.
Firewall Login-Maske

Über den Befehl „interface address get“ wird die Netzwerkkonfiguration angezeigt
interface address get

Über den Befehl „node get“ werden die Netzwerkobjekte(Nodes) ausgegeben
... node get
Hier kann der erste Abgleich stattfinden. Unter den Nodes muss die Adresse des internal-interface mit eth1 unter der Netzwerkkonfiguration, übereinstimmen.
Alternativ kann als Adresse der Wert „eth1“ eingetragen werden.

Insofern hier ein Unterschied, wie im folgenden Beispiel besteht, lässt sich dieser mit einem Befehl angleichen:
192.168.144.254/24
firewall-internal

Interface address set id „5“ address „192.168.140.254/24“
id:flags

Dadurch wird die neue Adresse zur Verfügung gestellt und die alte auf „dynamic“ gesetzt, damit ggf. weitere Arbeiten vorgenommen werden können.
Anschließend müssen noch zwei weitere Befehle vorgenommen werden:
„system update interface“-> Durch diesen Befehl geht die neue IP online.
Zu guter Letzt noch „system config save“ ausführen um die Konfiguration zu speichern
system config save