SonicWALL Global VPN Client
SonicWALL bietet für seine VPN-Gateways einen eigenen VPN-Client für Windows an.
Der Global VPN Client ist auf das Zusammenspiel mit den Geräten von SonicWALL optimiert.
VPN Netzwerkaufbau
In diesem Beispiel greift ein Dell Notebook mit dem Global VPN VPN Client 4.0 auf eine SonicWALL TZ 170 in Berlin zu.
Der Client bekommt Zugriff auf das lokale Netz 192.168.168.0/24. Für mobile Clients sollte NAT-Traversal aktiviert werden.
Auf der SonicWALL läuft die Firmware-Version SonicOS Standard 3.1.3.0-6s.
Registrierte Benutzer einer SonicWALL finden den Global VPN Client als Download auf MySonicWALL.
VPN Parameter
Der VPN-Tunnel wird mit den folgenden Parametern aufgebaut.
|
|
1
|
2
|
|
Standort
|
|
mobil
|
Berlin
|
|
Gerät
|
|
Dell Notebook mit Global VPN Client
|
SonicWALL TZ 170
|
|
Rolle
|
|
mobiler User
|
VPN-Gateway
|
|
WAN-IP oder Hostname
|
A
|
vpn-client.nwlab.net
|
ber-vpn.example.org
|
|
Lokales IP-Netz / Maske
|
B
|
dynamisch
|
192.168.168.0/24
|
|
Pre Shared Key PSK
|
C
|
veRys3cre+key
|
|
Austauschverfahren
|
D
|
Aggressive Mode
|
|
Dead Peer Detection (DPD)
|
E
|
aktiviert
|
|
Identifier Type
|
F
|
FQDN
|
FQDN
|
|
Identifier
|
G
|
GroupVPN
|
leer
|
|
|
|
|
|
|
Phase 1
|
|
Lifetime
|
H
|
28800 sec
|
|
Verschlüsselung
|
I
|
3DES
|
|
Hashalgorithmus
|
J
|
SHA-1
|
|
Diffie-Hellman-Gruppe
|
K
|
DH-Group 2
|
|
|
|
Phase 2
|
|
Lebensdauer
|
L
|
28800 sec
|
|
Verschlüsselung
|
M
|
3DES
|
|
Hashalgorithmus
|
N
|
SHA-1
|
|
Perfect Forward Secrecy
|
O
|
deaktiviert
|
Zusätzlich nutzt SonicWALL Client Authentication mit XAUTH. Die Verschlüsselung mit AES wird ebenfalls unterstützt.
Bitte wählen Sie für den produktiven Einsatz einen möglichst starken PSK (sehr lang, Sonderzeichen).
VPN für Remote Access auf der Sonicwall einrichten
Die SonicWALL erstellt für den Remote Access automatisch eine VPN Policy namens GroupVPN.
Sehen wir uns die Einstellungen dieser Richtlinie im Detail an.
Auf der ersten Seite kann der PSK (Shared Secret) für den VPN-Tunnel
verändert werden.
Im Reiter Proposals finden wir die Einstellungen für IKE und IPSec.
SonicWALL setzt hier aus 3DES und SHA-1. PFS ist deaktiviert.
Im Reiter Advanced wird XAUTH aktiviert.
Im Reiter Client ist das Speichern der XAUTH-Zugangsdaten per Default verboten.
Dead Peer Detection (DPD) und NAT-Traversal können unter VPN / Advanced eingestellt werden.
Die fertige VPN-Policy GroupVPN kann mit dem Diskettensymbol am Ende der Zeile im rcf-Format exportiert werden.
Diese Datei wird im nächsten Schritt in den Global VPN Client importiert.
Die Konfig-Datei ist eine Textdatei:
<?xml version="1.0" standalone="yes"?>
<SW_Client_Policy version="9.0">
<Connections>
<Connection name="GroupVPN_0006B1055550">
<Flags>
<UseDHCP>0</UseDHCP>
<TrafficRestrictions>2</TrafficRestrictions>
<SetAsDefaultRoute>0</SetAsDefaultRoute>
<CacheXauth>0</CacheXauth>
</Flags>
<PersonalFirewall>
<RequirePFW>0</RequirePFW>
<LANPrimaryIP>192.168.168.168</LANPrimaryIP>
</PersonalFirewall>
<Peer>
<HostName>ber-vpn.example.org</HostName>
</Peer>
<Phase1Params>
<ExchangeType>4</ExchangeType>
<AuthenticationMethod>65001</AuthenticationMethod>
<PresharedKey>7665527973336372652B6B6579</PresharedKey>
<DHGroupValue>2</DHGroupValue>
<EncryptionAlgorithm>5</EncryptionAlgorithm>
<EncryptAlgoKeyLen>0</EncryptAlgoKeyLen>
<HashAlgorithm>2</HashAlgorithm>
<Lifetime>1:28800</Lifetime>
<IDType>2</IDType>
<IDData>47726F757056504E</IDData>
</Phase1Params>
<UserAuthentication>
<Expected>1</Expected>
</UserAuthentication>
<Phase2Params>
<ProtocolID>3</ProtocolID>
<EncapsulationMode>1</EncapsulationMode>
<AHTransform>3:32</AHTransform>
<ESPTransform>3:2:0:0:32</ESPTransform>
<Lifetime>1:28800</Lifetime>
<DHGroupValue>0</DHGroupValue>
<DestinationNetwork>192.168.168.0:255.255.255.0</DestinationNetwork>
</Phase2Params>
</Connection>
</Connections>
</SW_Client_Policy>
Für XAUTH muss unter Users / Local Users noch ein Benutzer angelegt werden:
Geben Sie diesem Benutzer das Recht "Access from VPN client with XAUTH".
SonicWALL Global VPN Client einrichten
Im Global VPN Client können Sie die Konfigurationsdatei über File / Import Connection importieren.
Bei Bedarf können Sie noch den Namen der Verbindung anpassen.
Über das Kontextmenü einer Verbindung können Sie den Tunnel aufbauen (Enable) oder eine Verknüpfung
auf dem Desktop erstellen (Create Shortcut).
Bei Problemen können Sie im Log Viewer die Meldungen des VPN-Clients auswerten.
Weiterführende Informationen zu VPN
Bei Fragen zu VPN wird Ihnen im Netzwerkforum geholfen.
| 
