Mit den Einstellungen unter VPN können Sie Ihre LANCOM R&S®Unified Firewall für die Verwendung als Virtual Private Network-Server konfigurieren, um Client-to-Site (C2S)-VPN-Verbindungen zur Verfügung zu stellen. So können Computer an einem anderen Ort mittels IPsec und VPN-SSL sicher auf Ressourcen im lokalen Netzwerk zugreifen. Durch ein Site-to-Site (S2S) VPN-Gateway kann über das Internet mittels IPsec und VPN-SSL ein sicherer Kommunikationskanal zwischen zwei Remote-Netzwerken aufgebaut werden.
Client-to-Site VPN-Verbindungen
Durch eine Client-to-Site VPN-Verbindung kann das Unternehmensnetzwerk von außen erreicht werden. Die Authentifizierung erfolgt entweder über IPsec mit ausgestellten Zertifikaten, mittels eines so genannten PSK (Pre-Shared Key) oder über VPN-SSL mit Zertifikaten.
Client-to-Site-Verbindungen über IPsec und VPN-SSL können abhängig von den Client-Einstellungen in einem von zwei Modi betrieben werden:
- Im Split-Tunnel-Modus wird nur die Kommunikation zwischen dem Client und dem internen Netzwerk (z. B. einem Unternehmensnetzwerk) durch die Firewall geleitet. Clients können Geräte im internen Netzwerk über den Tunnel erreichen. Für andere Ziele (wie das Internet) vorgesehene Pakete werden nicht durch die LANCOM R&S®Unified Firewall geroutet. Beispiel: Ein Benutzer wählt sich mithilfe eines VPN-Software-Clients per Fernzugriff aus dem Drahtlosnetzwerk eines Hotels in ein Unternehmensnetzwerk ein. Durch Split Tunneling kann der Benutzer sich über die VPN-Verbindung mit Dateiservern, Datenbankenservern, Mailservern und anderen Diensten im Unternehmensnetzwerk verbinden. Verbindet sich der Benutzer mit Internetressourcen (Websites, FTP-Seiten etc.), wird die Verbindungsanfrage direkt über das Gateway des Hotelnetzwerks abgesendet.
- Im Full-Tunnel-Modus wird der gesamte Datenverkehr zurück zu Ihrer LANCOM R&S®Unified Firewall geleitet, einschließlich der Kommunikation mit Internetseiten. Full Tunneling erlaubt es dem Benutzer beispielsweise nicht, über Hotelnetzwerke direkt auf das Internet zuzugreifen. Jeglicher Datenverkehr, der vom Client ausgesendet wird, während die VPN-Verbindung aktiv ist, wird an die Firewall gesendet.
C2S-Verbindungen über IPsec werden mithilfe eines gewöhnlichen VPN-Clients hergestellt, z. B. dem LANCOM Advanced VPN Client. Weitere Informationen finden Sie unter IPsec-Verbindungs-Einstellungen.
VPN-SSL C2S-Verbindungen werden mithilfe eines gewöhnlichen VPN-Clients hergestellt. Weitere Informationen finden Sie unter VPN-SSL-Verbindungseinstellungen.
Site-to-Site VPN-Verbindungen
Bei einer Site-to-Site-Verbindung werden zwei Standorte über einen verschlüsselten Tunnel miteinander zu einem virtuellen Netzwerk verbunden und tauschen durch diesen Tunnel Daten aus. Die beiden Standorte können feste IP-Adressen haben. Die Authentifizierung erfolgt entweder über IPsec mit ausgestellten Zertifikaten, mittels eines so genannten PSK (Pre-Shared Key) oder über VPN-SSL mit Zertifikaten.
IPsec
IPsec (Internet Protocol Security) ist ein Satz von Protokollen, der auf Ebene der Vermittlungsschicht oder der Sicherungsschicht arbeitet und den Austausch von Paketen über nicht vertrauenswürdige Netzwerke (bspw. das Internet) sichert, indem er jedes IP-Paket einer Kommunikationssitzung authentifiziert und verschlüsselt. IPsec erfüllt die höchsten Sicherheitsanforderungen.
VPN-SSL
VPN über SSL bietet eine schnelle und sichere Möglichkeit, eine Roadwarrior-Verbindung einzurichten. Der größte Vorteil an VPN-SSL ist, dass der gesamte Datenverkehr über einen TCP- oder UDP-Port läuft und im Gegensatz zu IPsec keine weiteren speziellen Protokolle benötigt werden.
Stellen Sie vor der Einrichtung von VPN-Verbindungen sicher, dass Sie die notwendigen Zertifikate installiert haben, wie unter Zertifikatsverwaltung beschrieben.