Dieses Dokument ist eine Übersetzung aus dem Englischen. Möglicherweise wurde die englische Originalversion nach der Übersetzung und Veröffentlichung dieses Dokuments aktualisiert. Symantec übernimmt keine Gewähr für die Richtigkeit hinsichtlich der Vollständigkeit der Übersetzung.


Situation:
Dieses Dokument enthält Informationen und schrittweise Konfigurationsanleitungen zur Erstellung eines Client-to-Gateway-VPN-Tunnels.

Lösung:


Konfiguration eines Client-to-Gateway-VPN-Tunnels
Client-to-Gateway-VPN-Tunnel gestatten entfernten Benutzern von Symantec Client VPN-Software (oder jeder anderen IPSec-kompatiblen VPN-Client-Software) die sichere Verbindung über das Internet mit einem Netzwerk, das mit einem Symantec-Sicherheits-Gateway abgesichert ist.

Grundlagen von Client-to-Gateway-VPN-Tunneln
Symantec Gateway Security 300 Series unterstützt Client-to-Gateway-VPN-Tunnel-Konfigurationen. Ein Client-to-Gateway-Tunnel wird erzeugt, wenn eine Arbeitsstation mit Symantec Client VPN-Software von der internen Seite des geschützten Netzwerks oder von einem entfernten Standort über das Internet eine Verbindung mit dem Sicherheits-Gateway herstellt.

---

Hinweis: Wireless-Clients können Client-to-Gateway-Tunnel zur Absicherung ihrer Verbindungen nutzen. Beachten Sie hierzu den Symantec Gateway Security 300 Series Wireless Implementation Guide.

---

Nach Einrichten des VPN-Tunnels können entfernte Benutzer Verbindung mit dem privaten Netzwerk aufnehmen und dessen Ressourcen über das Internet nutzen, als ob der entfernte Arbeitsplatz sich physisch im geschützten Netzwerk befände.

Sie können Netzwerkeinstellungen für jede VPN-Gruppe einrichten, die die Clients während des Phase-1-Konfigurationsmodus herunterladen können. Diese Einstellungen umfassen primäre und sekundäre DNS-Server, WINS-Server sowie primäre Domänen-Controller-Adressen. Durch die Verteilung dieser Informationen auf die Clients während des Konfigurationsmodus müssen die Clients diese Einstellungen nicht mehr selbst konfigurieren, was Verwaltungszeit einspart und das Fehlerrisiko reduziert.

Symantec Client-to-Gateway-VPN-Tunnel erfordern eine Client-ID sowie einen gemeinsamen Schlüssel. Sie können den Client-to-Gateway-VPN-Tunneln zudem erweiterte Authentifizierung mithilfe eines RADIUS-Servers für zusätzliche Authentifizierung zuweisen. Beachten Sie den Abschnitt "Defining users" auf Seite 86 des Symantec Gateway Security 300 Series Administrator's Guide.

Sie können bei der Konfiguration von VPN-Tunneln zwei Arten von Benutzern konfigurieren: dynamische und statische. Beachten Sie den Abschnitt "Identifying users" auf Seite 85 des Symantec Gateway Security 300 Series Administrator's Guide.

Globale Tunnel
Wenn ein Client einen VPN-Tunnel auf dem LAN einrichtet, wird für den Client ein globaler Tunnel (0.0.0.0) konfiguriert. Dies zwingt den gesamten Verkehr vom Client durch den VPN-Tunnel und terminiert am Gerät. Dies ist bei nicht vertrauenswürdigen Netzwerken (wie etwa Wireless) nützlich, um den Verkehr zu schützen.

Bei Einrichtung eines Tunnels auf dem WAN wird das Subnetz des Geräts (standardmäßig 192.168.0.0) für den Client konfiguriert. Dies ermöglicht einen gesplitteten Tunnel, wodurch der Client immer noch direkten Zugriff auf das Internet hat und lediglich Verkehr für das LAN durch den VPN-Tunnel geleitet wird.



Konfigurationsaufgaben für einen Client-to-Gateway-VPN-Tunnel

Definition von Client-VPN-Tunneln
Dieser Abschnitt beschreibt, wie Client-VPN-Tunnel definiert werden. Die Definition von Client-VPN-Tunneln erfordert die folgenden Schritte:

• Aktivieren von Client-Tunneln für ausgewählte VPN-Gruppen für WAN-Verbindungen und/oder LAN/WLAN-verbindungen
• Konfigurieren von VPN-Netzwerkparametern, die während der Tunnelaushandlung auf das Client-VPN übertragen werden (optional)
• Konfigurieren der RADIUS-Authentifizierung (optional)

So aktivieren Sie Client-Tunnel

1. Klicken Sie im linken Teilfenster des Security Gateway Management Interface (SGMI) auf VPN.
2. Wählen Sie auf der Registerkarte Client Tunnels unter Group Tunnel Definition eine der folgenden Optionen:
   • Enable Client VPNs on WAN side
     Dies aktiviert Client-VPN-Tunnel nur für Verkehr, der am WAN-Port des Geräts eingeht.
   • Enable client VPNs on WLAN/LAN side
     Dies aktiviert Client-VPN-Tunnel für jeglichen Verkehr, der an den Ports des Geräts eingeht.
3. Tragen Sie unter VPN Network Parameters im Textfeld Primary DNS den Namen des primären DNS-Servers ein.
   Domain Name System bzw. Service (DNS) ist ein Internet-Dienst, der Domänennamen in IP-Adressen umwandelt.
4. (Optional) Tragen Sie im Textfeld Secondary DNS den Namen des sekundären DNS-Servers ein.
5. (Optional) Tragen Sie im Textfeld Primary WINS den Namen des primären WINS-Servers ein.
   Dieser Schritt ist optional. Windows Internet Naming Service (WINS) ist ein System, das die einem bestimmten Netzwerk-Computer zugewiesene IP-Adresse festlegt.
6. (Optional) Tragen Sie im Textfeld Secondary WINS den Namen des sekundären WINS-Servers ein.
7. (Optional) Tragen Sie im Textfeld Primary Domain Controller den Namen des primären Domänen-Controllers ein.
8. (Optional) Tragen Sie im Textfeld RADIUS Group Binding den RADIUS Group Binding-Namen ein.
   Wenn Sie beabsichtigen, RADIUS-Authentifizierung zu verwenden, müssen Sie Enable Extended User Authentication markieren und RADIUS Group Binding bereitstellen. Der RADIUS Group Binding-Name muss dem Filter-ID-Parameter entsprechen, der vom RADIUS-Server zurückgegeben wird.
9. Klicken Sie auf Update.

Auswahl einer Authentifizierungsmethode
Clients können unter Verwendung eines Benutzernamens und Kennworts authentifizieren, das auf dem Symantec-Sicherheits-Gateway festgelegt ist, oder über erweiterte Authentifizierung mit RADIUS. Wenn Sie die RADIUS-Authentifizierung verwenden, müssen Sie die Benutzer nicht auf dem Sicherheits-Gateway festlegen. Die Benutzer werden dabei auf dem RADIUS-Server festgelegt. Wenn ein dynamischer Benutzer (also ein Benutzer, der nicht auf dem Symantec-Sicherheits-Gateway festgelegt ist) versucht, einen VPN-Tunnel zu verbinden, sucht das Sicherheits-Gateway den angegebenen Benutzernamen in der Liste festgelegter Benutzer. Ist der Benutzername nicht in der Liste enthalten, und ist erweiterte Authentifizierung aktiviert und konfiguriert, prüft das Sicherheits-Gateway, ob das gemeinsame Kennwort mit dem für den Tunnel konfigurierten übereinstimmt. Stimmt das gemeinsame Kennwort überein, fordert das Sicherheits-Gateway die vom RADIUS-Server benötigten Informationen an. Wenn die vom RADIUS-Server zurückgegebenen Gruppeninformationen mit dem RADIUS Group Binding auf dem Sicherheits-Gateway übereinstimmen, wird die Verbindung des Tunnels zugelassen. Sie müssen auf dem Sicherheits-Gateway keine dynamischen Benutzer festlegen.

Wenn Sie die RADIUS-Authentifizierung nicht verwenden, müssen Sie Benutzer auf dem Sicherheits-Gateway festlegen, indem Sie für jeden Benutzer eine VPN User Identity erzeugen.

So erzeugen Sie eine VPN User Identity

1. Klicken Sie im SGMI im linken Teilfenster auf VPN.
2. Im rechten Teilfenster auf der Registerkarte Client Users markieren Sie Enable.
3. Tragen Sie im Textfeld User Name den Namen des Benutzers ein.
4. Tragen Sie im Textfeld Pre-Shared Key den vorinstallierten Schlüssel des Benutzers ein.
   Der vorinstallierte Schlüssel muss mindestens 20 Zeichen umfassen.
5. Klicken Sie auf Hinzufügen.
6. Wiederholen Sie die Schritte 1 bis 5 für jeden Benutzer, den Sie erzeugen möchten.

So konfigurieren Sie dynamische Benutzer für RADIUS-Authentifizierung

1. Wenn Sie dies nicht bereits getan haben, erzeugen Sie die Benutzerkonten im RADIUS-System.
2. Klicken Sie im SGMI im linken Teilfenster auf VPN.
3. Auf der Registerkarte Advanced unter Dynamic VPN Client Settings markieren Sie Enable Dynamic VPN Client Tunnels.
4. Tragen Sie im Textfeld Pre-Shared Key den Schlüssel ein, den Ihre dynamischen Benutzer bereitstellen sollen.
   Der vorinstallierte Schlüssel muss mindestens 20 Zeichen umfassen.
5. Tragen Sie unter RADIUS Settings im Textfeld Primary RADIUS Server die IP-Adresse Ihres RADIUS-Servers ein.
6. Auf Wunsch können Sie im Textfeld Secondary RADIUS Settings die IP-Adresse eines zweiten RADIUS-Servers eintragen.
7. Geben Sie im Textfeld Authentication Port (UDP) den Port an, der von Ihrem RADIUS-Server zur Authentifizierung verwendet wird.Die Standardeinstellung (1812) sollte bei den meisten RADIUS-Implementierungen funktionieren.
8. Tragen Sie im Textfeld Shared Secret or Key das gemeinsame Kennwort für Ihren RADIUS-Server ein.
9. Klicken Sie auf Save.

Globale Richtlinieneinstellungen für Client-to-Gateway-VPN-Tunnel festlegen
Manche Einstellungen können für Client-to-Gateway-VPN-Tunnel global festgelegt werden. Diese Einstellungen konfigurieren den Phase 1-ID-Typ für alle Client-VPN-Tunnel, die Verbindung mit dem Sicherheits-Gateway aufnehmen. Diese Einstellungen werden von allen drei VPN-Gruppen gemeinsam verwendet.

So legen Sie globale Richtlinieneinstellungen für Client-to-Gateway-VPN-Tunnel fest

1. Klicken Sie im SGMI im linken Teilfenster auf VPN.
2. Führen Sie im rechten Teilfenster auf der Registerkarte Advanced unter Global VPN Client Settings folgende Schritte durch:
   • Wählen Sie im Dropdown-Listenfeld Local Gateway Phase 1 ID Type einen ID-Typ.
   • Geben Sie im Textfeld Local Gateway Phase 1 ID den Wert ein, der dem gewählen ID-Typ entspricht.
   • Wählen Sie im Dropdown-Listenfeld VPN Policy eine VPN-Richtlinie, die für alle Client-Tunnel gelten soll.
3. Führen Sie unter VPN Client Settings folgende Schritte durch:
   • Um dynamische Benutzer für alle drei VPN-Gruppen zu aktivieren, klicken Sie auf Enable Dynamic VPN Client Tunnels.
   • Tragen Sie im Textfeld Pre-Shared Key eine Zeichenkette für den Schlüssel ein.
4. Klicken Sie auf Save.

Informationen mit Ihren Clients freigeben
Nach der Konfiguration des Client-to-Gateway-VPN-Tunnels müssen Sie die Gateway-Informationen Ihren Clients mitteilen, damit diese Verbindungen herstellen können. Die folgende Liste beschreibt die Informationen, die Ihre Clients benötigen, um ihre Tunnel verbinden zu können:

• Gateway-IP-Adresse oder vollständiger Domänenname des Sicherheits-Gateways
• Vorinstallierter Schlüssel (Benutzer)
• Client-ID
• RADIUS-Benutzername (wenn RADIUS für erweiterte Authentifizierung verwendet wird)
• Gemeinsames RADIUS-Kennwort (wenn RADIUS für erweiterte Authentifizierung verwendet wird)
• Phase 1-ID (optional)

---

WARNUNG: Teilen Sie diese Informationen nur mündlich oder auf anderem sicheren Weg mit.

---

Verfolgung des VPN-Tunnel-Status
Die Registerkarte VPN Status bietet Ihnen Einblick in den Status jedes konfigurierten dynamischen und statischen Gateway-to-Gateway-VPN-Tunnels. Der Status für statische Tunnel ist entweder Enabled oder Disabled; der Status für dynamische Tunnel ist Connected, Enabled oder Disabled. Der Status für statische Tunnel ist niemels "Connected" (verbunden), da für statische Tunnel keine Aushandlung erfolgt.

Die auf der Registerkarte Status angezeigten Informationen sind zum Zeitpunkt des Anklickens der Registerkarte aktuell. Der Verbindungsstatus kann sich beim Einsehen der Informationen ändern. Klicken Sie Refresh, um die Anzeige zu aktualisieren.

So verfolgen Sie den VPN-Tunnel-Status
Stellen Sie sicher, dass beide Enden des Tunnels betriebsbereit sind, und verfolgen Sie dann das Fenster Status.

So aktualisieren Sie die Informationen im Status-Fenster:

1. Klicken Sie im SGMI im linken Teilfenster auf VPN.
2. Klicken Sie im rechten Teilfenster auf der Registerkarte Status unten im Fenster Status auf Refresh.

So prüfen Sie, dass der Tunnel an beiden Enden betriebsbereit ist
Senden Sie von einem lokalen Host einen PING-Befehl an einen Computer im entfernten Netzwerk.





Weiterführende Links
Englische Version dieses Dokuments

Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

---

Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.

---

Dokument ID: 20050209102024964
Zuletzt bearbeitet: 04/27/2006
Erstellungsdatum: 02/09/2005
Betriebssystem: Appliance
Produktbezeichnung: Symantec Gateway Security 300 Series