SSL VPN mit Netgear
Der VPN-Router Netgear FVS336G bietet neben dem klassischen IPSec auch die Möglichkeit SSL VPN-Verbindungen aufzubauen.
SSL VPN hat zwei wesentliche Vorteile: (fast) keine Softwareinstallation auf dem Client erforderlich, Transport der Nutzdaten über IP mit HTTPS.
SSL VPN benutzt kein IPSec zum Transport im Netzwerk, es ist kein IPSec Passthrough erforderlich.
Der Web-Zugriff auf den SSL-Router funktioniert mit dem Internet Explorer (Windows) und Safari unter Apple Mac OS X.
Dieses Tutorial beschreibt die grundlegenden Schritte für eine SSL-Verbindung zwischen einem Netgear FVS336G und einen Windows-PC.
SSL VPN am Router einrichten
Zuerst muss auf dem Router ein Benutzer vom Typ "SSL VPN User" angelegt werden. Wählen Sie dazu im Menü "User" den Punkt "Add User" aus.
Geben Sie dem Benutzer ein möglichst starkes Kennwort.
Der neue Benutzer sollte jetzt in der Übersicht zu sehen sein.
Klicken sie auf die Schaltfläche "Policies" hinter dem Benutzernamen, um die Berechtigungen des Benutzers zu überprüfen.
Der SSL-Zugriff soll aus dem Internet erfolgen. Bei unserem SSL-Benutzer darf die Auswahl "Deny Login from WAN Interface" also nicht
aktiviert sein.
Full Tunnel vs. Split Tunnel
Netgear bietet zwei Betriebsarten für den SSL-VPN-Tunnel an. Im Modus "Full Tunnel" wird der komplette Traffic des Clients durch den Tunnel
zum VPN-Router geleitet. Der Client hat mit Full Tunnel keinen direkten Zugriff auf das Internet.
Im Modus "Split Tunnel" wird über Routen gesteuert, welcher Traffic in den Tunnel geht. Traffic zu Zielen ohne expliziete Route wird
ins Internet geleitet.
Für unser Beispiel wählen wir Split Tunnel und legen eine Route für das LAN des Netgear-Routers an. Nur Traffic zu Zielen in diesem Netz (10.0.0.0/24)
wird vom Client in den SSL-Tunnel gesendet. Im oberen Bereich muss ein IP-Bereich für die SSL-Clients eingetragen werden.
SSL-Zugriff vom Client
Um eine Verbindung mit dem VPN-Router herzustellen, rufen Sie die öffentliche IP-Adresse oder den Hostnamen (DynDNS) im Internet Explorer bzw. Safari auf.
Der Aufruf muss über https erfolgen. Die URL könnte also so aussehen: https://vpn-gateway.example.org/
Der Sicherheitshinweis zum Zertifikat des Routers ist normal.
Auf der Anmeldeseite können Sie sich mit den vorher im Router Zugangsdaten anmelden.
Um den VPN-Tunnel aufzubauen, klicken Sie auf das Symbol Connect using VPN Tunnel.
Beim ersten Zugriff von einem PC wird aus dem Browser der Tunneladapter VPN Tunnel NGSSLDrv Adapter
installiert. Dieser virtuelle Adapter ist für den VPN-Tunnel erforderlich.
Nach erfolgreichem Aufbau der SSL-Verbindung erscheint ein Symbol in der Taskbar Notification Area (aka Systray).
Über das Kontextmenü dieses Symbols kann der Tunnel abgebaut und der virtuelle Adapter deinstalliert werden.
Neben dem VPN-Tunnel ist mit dem Netgear FVS336G auch ein Portforwarding für TCP-Ports über den SSL-Client
möglich.
Weiterführende Informationen
Bei Fragen zu VPN wird Ihnen im Netzwerkforum geholfen.
|