VPN zwischen zwei DEFENDOs

Soll ein Filial-DEFENDO oder Orbiter an die Zentrale angebunden werden, konfigurieren Sie bitte in der Zentrale gemäß dieser Anleitung eine über Zertifikate authentifizierte Verbindung. Beim Ausstellen des Zertifikats für die Filiale wird Ihnen dann ein Installationspaket zum Download angeboten. Dieses Installationspaket importieren Sie dann in der Filiale. Bei einem DEFENDO ist dies über "Assistenten > IPsec-VPN" möglich ("Anbindung an zentralen DEFENDO" auswählen). Im Orbiter erfolgt der Import über das Menü "Assistenten".

Schnittstelle anlegen

Prüfen Sie bitte zunächst ob unter "Module > Netzwerk > Schnittstellen" bereits eine ipsec0-Schnittstelle existiert. Falls ja, klicken Sie bitte die Schnittstelle zum Bearbeiten an. Legen Sie die Schnittstelle andernfalls bitte neu an.
Jede ipsec-Schnittstelle muss im DEFENDO mit einer "normalen" Netzwerk-Schnittstelle assoziiert. Typischerweise ist dies die Internet-Schnittstelle. Eingestellt wird dies über den Parameter "Basisschnittstelle". Falls DEFENDO eine dynamische Internet-IP besitzt, müssen Sie dort die Einstellung "Internet / dynamische IP" wählen. Bei fester IP selektieren Sie bitte die entsprechende Schnittstelle.
Falls der Internet-Zugang über ADSL mit fester IP erfolgt und die ADSL-Schnittstelle nicht in der Auswahl-Liste angezeigt wird, muss in der ADSL-Schnittstelle zunächst die feste IP hinterlegt werden.

Verbindung anlegen

Wechseln Sie ins Menü "Module > Netzwerk > Schnittstellen" und Klicken Sie bei der ipsec-Schnittstelle auf "Verbindungen". Legen Sie dort unter beliebigem Namen eine neue Verbindung zu einem "Server" an.
Legen Sie dann zunächst mit Hilfe des Schalters "Gegenstelle mit" fest, ob der Gegenüber eine feste oder eine dynamische IP hat. Im Falle einer Gegenstelle mit dynamischer IP, die über DNS-Name erreichbar ist, wählen Sie bitte "fester IP / dyn. DNS". Abhängig von der gewählten Einstellung ist die IP bzw. der DNS-Name dann auf dem Reiter (Tab) "VPN-Tunnel" einzutragen.
Auf dem selben Reiter sind nun unter "Entfernte Netzwerke" und "Lokale Netzwerke" die Netzwerke einzutragen, die miteinander verbunden werden sollen.

Authentifizierung

Wechseln Sie auf den Reiter "Authentifizierung" um die Authentifzierungsmethode festzulegen.
Wählen Sie "Passphrase (PSK)" für eine einfache Authentifzierung über Passwort. Konfigurationsabhängig wird Ihnen dann ggf. auch gleich das Feld "Passphrase (Preshared Key)" zur Eingabe des Passworts angezeigt. Erscheint das Feld nicht, muss das Passwort in der Konfiguration der ipsec-Schnittstelle konfiguriert werden. Wechseln Sie dazu aus den Verbindungseinstellungen zurück in die Einstellungen der ipsec-Schnittstelle. Das Eingabefeld für das Passwort ist konfigurationsabhängig entweder auf dem Reiter (Tab) "Gemeinsame Einstellungen" oder "Dynamische Gegenstellen".
Soll die Authentifizierung über Zertifikate erfolgen, müssen diese ggf. erst angelegt werden. Wechseln Sie in das Menü "System > Zertifikatsverwaltung > CA Zertifikate". Falls noch keine CA angelegt wurde, können Sie dies unter "DEFENDO-CA" nachholen. Kehren Sie dann zurück in die Übersicht und klicken Sie diesmal den Link "Zertifikate" in der zweiten Spalte. In der nun folgenden Übersicht der erstellten Zertifikate klicken Sie bitte auf den Eintrag "VPN". Hier stellen Sie, falls noch nicht geschehen, das Zertifikat für den DEFENDO VPN-Server aus. Bei entsprechender Rückfrage müssen Sie den Schlüssel der CA im VPN-Server hinterlegen.
In Versionen vor 7.1 finden Sie das Menü zum Erstellen des CA-Zertifikats unter "System > Zertifikatsverwaltung > DEFENDO-CA", das Menü zum Erstellen des VPN-Zertifikats unter "System > Zertifikatsverwaltung > Erstellte Zertifikate".
Falls DEFENDO ein Zertifikat für die Gegenstelle ausstellen soll, wird dies ebenfalls im Menü "CA Zertifikate" über den Link "Zertifikate" erledigt. Die ID dieses Zertifikats ("Ausgestellt für") sollten Sie sich kopieren. Wechseln Sie dann zurück auf den "Authentifizierung"-Reiter der VPN-Verbindung. Stellen Sie die "Authentifizierungsmethode" auf "Zertifikat anhand CA". Konfigurationsabhängig müssen Sie ggf. noch die zuvor kopierte Zertifikats-ID hinterlegen.
Sofern die Gegenstelle bereits über ein anderweitig ausgestelltes Zertifikat verfügt, stellen Sie die "Authentifizierungsmethode" auf "bestimmtes Zertifikat" und importieren Sie den öffentlichen Schlüssel der Gegenstelle.
Stellen Sie abschließend sicher, dass unter "System > Dienste" der Dienst "IPSec VPN" gestartet ist.

Sicher

DEFENDO bedient sich einer Reihe von bewährten Security-Modulen wie Firewall, VPN, Proxies, Virenscanner und Anti-Spam-System.
Diese schützen Sie vor Schad-Code, Spam, Hacker-Angriffen und weiteren unerwünschten oder schädlichen Dingen.

Flexibel

Keine IT-Umgebung ist wie die andere. Die DEFENDO Produktfamilie passt sich genau Ihren Bedürfnissen an.
Von der einfachen Internet-Anbindung für kleinere Unternehmen, über Lösungen für Filialen und den Außendienst, bis hin zu komplexen, mehrstufigen Firewall-Systemen.

Mehr gute Gründe

  • Es gibt keine Backdoors
  • über 20 Jahre Internet-Security-Erfahrung
  • Mehrfach ausgezeichnet
  • Support direkt durch unsere Entwickler
  • Fachhändler-Treue
  • Made in Germany