Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Tutorials

SonicWALL Global VPN Client

SonicWALL bietet für seine VPN-Gateways einen eigenen VPN-Client für Windows an. Der Global VPN Client ist auf das Zusammenspiel mit den Geräten von SonicWALL optimiert.

VPN Netzwerkaufbau

In diesem Beispiel greift ein Dell Notebook mit dem Global VPN VPN Client 4.0 auf eine SonicWALL TZ 170 in Berlin zu. Der Client bekommt Zugriff auf das lokale Netz 192.168.168.0/24. Für mobile Clients sollte NAT-Traversal aktiviert werden. Auf der SonicWALL läuft die Firmware-Version SonicOS Standard 3.1.3.0-6s.

Registrierte Benutzer einer SonicWALL finden den Global VPN Client als Download auf MySonicWALL.

Netzwerkaufbau

VPN Parameter

Der VPN-Tunnel wird mit den folgenden Parametern aufgebaut.


1

2

Standort


mobil

Berlin

Gerät


Dell Notebook mit Global VPN Client

SonicWALL TZ 170

Rolle


mobiler User

VPN-Gateway

WAN-IP oder Hostname

A

vpn-client.nwlab.net

ber-vpn.example.org

Lokales IP-Netz / Maske

B

dynamisch

192.168.168.0/24

Pre Shared Key PSK

C

veRys3cre+key

Austauschverfahren

D

Aggressive Mode

Dead Peer Detection (DPD)

E

aktiviert

Identifier Type

F

FQDN

FQDN

Identifier

G

GroupVPN

leer





Phase 1

Lifetime

H

28800 sec

Verschlüsselung

I

3DES

Hashalgorithmus

J

SHA-1

Diffie-Hellman-Gruppe

K

DH-Group 2


Phase 2

Lebensdauer

L

28800 sec

Verschlüsselung

M

3DES

Hashalgorithmus

N

SHA-1

Perfect Forward Secrecy

O

deaktiviert

Zusätzlich nutzt SonicWALL Client Authentication mit XAUTH. Die Verschlüsselung mit AES wird ebenfalls unterstützt. Bitte wählen Sie für den produktiven Einsatz einen möglichst starken PSK (sehr lang, Sonderzeichen).

VPN für Remote Access auf der Sonicwall einrichten

Die SonicWALL erstellt für den Remote Access automatisch eine VPN Policy namens GroupVPN.

SonicWALL VPN Policies

Sehen wir uns die Einstellungen dieser Richtlinie im Detail an. Auf der ersten Seite kann der PSK (Shared Secret) für den VPN-Tunnel verändert werden.

PSK einstellen

Im Reiter Proposals finden wir die Einstellungen für IKE und IPSec. SonicWALL setzt hier aus 3DES und SHA-1. PFS ist deaktiviert.

IKE und IPSec Proposals

Im Reiter Advanced wird XAUTH aktiviert.

XAUTH aktivieren

Im Reiter Client ist das Speichern der XAUTH-Zugangsdaten per Default verboten.

Client Einstellungen

Dead Peer Detection (DPD) und NAT-Traversal können unter VPN / Advanced eingestellt werden.

DPD und NAT Traversal einstellen

Die fertige VPN-Policy GroupVPN kann mit dem Diskettensymbol am Ende der Zeile im rcf-Format exportiert werden. Diese Datei wird im nächsten Schritt in den Global VPN Client importiert.

Die Konfig-Datei ist eine Textdatei:

<?xml version="1.0" standalone="yes"?>
<SW_Client_Policy version="9.0">
<Connections>
<Connection name="GroupVPN_0006B1055550">
<Flags>
<UseDHCP>0</UseDHCP>
<TrafficRestrictions>2</TrafficRestrictions>
<SetAsDefaultRoute>0</SetAsDefaultRoute>
<CacheXauth>0</CacheXauth>
</Flags>
<PersonalFirewall>
<RequirePFW>0</RequirePFW>
<LANPrimaryIP>192.168.168.168</LANPrimaryIP>
</PersonalFirewall>
<Peer>
<HostName>ber-vpn.example.org</HostName>
</Peer>
<Phase1Params>
<ExchangeType>4</ExchangeType>
<AuthenticationMethod>65001</AuthenticationMethod>
<PresharedKey>7665527973336372652B6B6579</PresharedKey>
<DHGroupValue>2</DHGroupValue>
<EncryptionAlgorithm>5</EncryptionAlgorithm>
<EncryptAlgoKeyLen>0</EncryptAlgoKeyLen>
<HashAlgorithm>2</HashAlgorithm>
<Lifetime>1:28800</Lifetime>
<IDType>2</IDType>
<IDData>47726F757056504E</IDData>
</Phase1Params>
<UserAuthentication>
<Expected>1</Expected>
</UserAuthentication>
<Phase2Params>
<ProtocolID>3</ProtocolID>
<EncapsulationMode>1</EncapsulationMode>
<AHTransform>3:32</AHTransform>
<ESPTransform>3:2:0:0:32</ESPTransform>
<Lifetime>1:28800</Lifetime>
<DHGroupValue>0</DHGroupValue>
<DestinationNetwork>192.168.168.0:255.255.255.0</DestinationNetwork>
</Phase2Params>
</Connection>
</Connections>
</SW_Client_Policy>

Für XAUTH muss unter Users / Local Users noch ein Benutzer angelegt werden:

Benutzer für XAUTH

Geben Sie diesem Benutzer das Recht "Access from VPN client with XAUTH".

SonicWALL Global VPN Client einrichten

Im Global VPN Client können Sie die Konfigurationsdatei über File / Import Connection importieren. Bei Bedarf können Sie noch den Namen der Verbindung anpassen.

Global VPN Client unter Windows

Über das Kontextmenü einer Verbindung können Sie den Tunnel aufbauen (Enable) oder eine Verknüpfung auf dem Desktop erstellen (Create Shortcut). Bei Problemen können Sie im Log Viewer die Meldungen des VPN-Clients auswerten.

Weiterführende Informationen zu VPN

Bei Fragen zu VPN wird Ihnen im Netzwerkforum geholfen.

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012