Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. W&T Anleitungen
  4. Router
  5. Microwall VPN
  6. Anleitung inbetriebnahme und anwendung

W&T Microwall VPN Anleitung Inbetriebnahme Und Anwendung

Industrietauglicher ipv4-router mit zwei 1000baset-netzwerkanschlüssen, integrierter, whitelistbasierter firewall und einem wireguard vpn-server
Vorschau ausblenden

Inhaltsverzeichnis

W&T
w w w . W u T . d e
Anleitung
Inbetriebnahme und Anwendung
Microwall VPN
gültig für folgende Modelle:
#55211: Microwall VPN
Release 1.01 04/2020
Inhaltsverzeichnis
loading

Verwandte Anleitungen für W&T Microwall VPN

Inhaltszusammenfassung für W&T Microwall VPN

  • Seite 1 W&T w w w . W u T . d e Anleitung Inbetriebnahme und Anwendung Microwall VPN gültig für folgende Modelle: #55211: Microwall VPN Release 1.01 04/2020...
  • Seite 2 W&T © 02/2020 by Wiesemann und Theis GmbH Microsoft und Windows, sind eingetragene Warenzeichen der Microsoft Corporation. WireGuard und das WireGuard Logo sind eingetragene Waren- zeichen von Jason A.Donenfeld Irrtum und Änderung vorbehalten: Da wir Fehler machen können, darf keine unserer Aussagen ungeprüft verwendet werden.
  • Seite 3 W&T Einleitung Die Microwall VPN ist ein industrietauglicher IPv4-Router mit zwei 1000BaseT-Netzwerkanschlüssen, integrierter, whitelist- basierter Firewall und einem WireGuard VPN-Server. Sie bindet eine Netzwerkinsel z.B. mit Automatisierungskomponenten an ein übergeordnetes lokales Netzwerk an. Parallel hierzu kann über das Wireguard VPN ein sicherer Fernzugriff auf die Teil- nehmer des Inselnetzwerkes erfolgen.
  • Seite 4 W&T Inhalt 1 Rechtliche Hinweise und Sicherheit ������������������������� 7 1.1 Rechtliche Hinweise ............8 1.2 Sicherheitshinweise............10 2 Hardware, Schnittstellen und Anzeigen ����������������� 13 2.1 Hardware-Installation............14 2.2 Spannungsversorgung ............15 2.2.1 PoE-Versorgung ............15 2.2.2 Externe Spannungsversorgung ........15 2.3 Netzwerkschnittstellen ............. 16 2.4 System- und Error-LED .............
  • Seite 5 7.3.1 Wo ist die aktuelle Firmware erhältlich? ............74 7.3.2 Firmware-Update mit WuTility ..............74 7.3.3 Firmware Update per Web-Based-Management ..........76 7.4 Eigene Zertifikate ....................77 7.5 Notzugang der Microwall VPN ................79 7.6 Werkseinstellungen ................... 81 8 Anhang�������������������������������������������������������������������������������������������������� 83 8.1 Technische Daten und Bauform................84 8.2 Lizenzen ......................
  • Seite 6 W&T...

  • Seite 7: Rechtliche Hinweise Und Sicherheit

    W&T Rechtliche Hinweise und Sicherheit Irrtum und Änderung vorbehalten...
  • Seite 8 W&T 1�1 Rechtliche Hinweise Warnhinweiskonzept Diese Anleitung enthält Hinweise, die zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachtet werden müssen. Die Hinweise sind durch ein Warndreieck hervorgehoben. Je nach Gefährdungsstufe werden die Warn- hinweise in abnehmender Reihenfolge wie folgt dargestellt: 1GEFAHR kennzeichnet eine Gefährdung, die Tod oder schwere Körper- verletzung zur Folge hat, wenn keine entsprechenden Vor-...
  • Seite 9 W&T Personal installiert und in Betrieb genommen werden, das für die jeweilige Aufgabenstellung qualifiziert ist. Es muss die für die jeweilige Aufgabenstellung zugehörige Dokumentation beachtet werden, insbesondere die darin ent- haltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist aufgrund seiner Ausbildung und Erfahrung befähigt, im Umgang mit den beschriebenen Pro- dukten Risiken zu erkennen und mögliche Gefährdungen zu vermeiden.
  • Seite 10 1�2 Sicherheitshinweise Allgemeine Hinweise Diese Anleitung richtet sich an den Installateur der beschrie- benen Microwall VPN und muss vor Beginn der Arbeiten gele- sen und verstanden werden. Die Geräte dürfen ausschließlich durch qualifiziertes Personal installiert und in Betrieb genom- men werden.
  • Seite 11 Sie hierzu die Einschränkungen in Hinblick auf die maximale Umgebungstemperatur. Lüftungsöffnungen müssen frei von jeglichen Hindernissen sein. Es sollte ein Abstand von 10-15 cm der Microwall VPN zu benachbarten Wärmequellen eingehalten werden. Eingangsspannung und Ausgangsströme dürfen die Nennwer- te der Spezifikation nicht überschreiten.
  • Seite 12 W&T...

  • Seite 13: Hardware, Schnittstellen Und Anzeigen

    W&T Hardware, Schnittstellen und Anzeigen Hardware-Installation Spannungsversorgung Netzwerkschnittstellen Service-Taster Irrtum und Änderung vorbehalten...

  • Seite 14: Hardware-Installation

    W&T Hardware, Schnittstellen und Anzeigen 2�1 Hardware-Installation Die Microwall VPN ist mechanisch für die Montage auf einer Standard Hutschiene konzipiert. Hierbei, sowie auch bei al- ternativen Montagearten, muss die skizzierte Luftzirkulation gewährleistet sein. Der Montageort muss den Security-Anforderungen der je- weiligen System-Umgebung angepasst sein.
  • Seite 15 Versorgungen ist nicht zulässig. Die Stromaufnahme kann den technischen Daten entnommen werden. 2�2�1 PoE-Versorgung Die Microwall VPN kann über die Schnittstelle Network 1 (gelb) per PoE entsprechend IEEE802.3af versorgt werden. Sie ist ein Gerät der PoE-Leistungsklasse 2 (Leistungsaufnahme von 3,84W bis 6,49W).
  • Seite 16 W&T 2�3 Netzwerkschnittstellen Die Microwall VPN verfügt über zwei Netzwerkschnittstellen: Network 1 (gelb) und Network 2 (grün). Network 1 (gelb) dient dem Anschluss an das übergeordnete Netzwerk, in welches das Inselnetzwerk am Anschluss Net- work 2 (grün) integriert werden soll.
  • Seite 17 W&T Hardware, Schnittstellen und Anzeigen Galvanische Trennung Gegenüber der Versorgungsspannung besteht eine galvani- sche Trennung mit mindestens 500V Auto-Negotiation Übertragungsgeschwindigkeit und Duplex-Verfahren werden mit dem angeschlossenen Gerät automatisch ausgehandelt. Zur Vermeidung von Problemen wie z.B. Duplex-Mismatch, empfehlen wir die angeschlossenen Geräte ebenfalls im Mo- dus Auto-Negotiation zu betreiben.
  • Seite 18 Die Service-LED dient zur Signalisierung der über den Ser- vice-Taster steuerbaren Funktionen Notzugang und Facto- ry-Default-Reset. Langsames Blinken: Der Service-Taster wurde zwischen 3,5s und 10s betätigt. Der Notzugang der Microwall VPN ist aktiviert. Weitere Informationen zum Notzugang enthält das Kapitel Notzugang.
  • Seite 19 Hardware, Schnittstellen und Anzeigen 2�5 Service-Taster Service-Taster Der Service-Taster ist zur Vermeidung von Fehlbedienungen versenkt auf der Frontseite der Microwall VPN zugänglich. Die Betätigung erfolgt mit einem geeigneten, spitzen Gegenstand (z.B. Büroklammer). Über den Service-Taster werden die folgenden Aktionen aus- gelöst:...
  • Seite 20 W&T Hardware, Schnittstellen und Anzeigen seinstellung zurückgesetzt. Ein Lösen des Service-Tasters während die Service-LED schnell blinkt (Zeitfenster 10-20s) führt zu einem Abbruch des Factory-Default-Resets. Die Microwall fährt mit dem Standard-Betrieb der aktuellen Kon- figuration fort. Durch einen Reset auf die Werkeinstellung gehen alle vor- genommenen Einstellungen (Filterregeln, IP-Parameter, Log-Dateien ...) verloren.
  • Seite 21 W&T Inbetriebnahme Die Inbetriebnahme kann ausschließlich über die Schnittstelle Network 1 (gelb) erfolgen. Im ersten Schritt wird die für den initialen Zugriff notwendi- ge IP-Adresse zugewiesen. Der anschließende Browserzugriff führt auf die initiale Webseite zur Konfiguration der für den Betrieb benötigten Basis- Parameter inklusive dem Systempasswort.
  • Seite 22 Microwall VPN erfolgen (z.B. durch eine Inbetriebnahme mit einer Direktverbindung zu dem jeweiligen PC). Für die Vergabe der IP-Adresse müssen sich der PC und das Interface Network 1 der Microwall VPN im gleichen physikali- schen Netzwerk befinden. Installation von WuTility Den Download-Link für das Windows-Installations-Paket der...
  • Seite 23 Mit Betätigung des Buttons Weiter, werden die Netzwerk-Para- meter von der Microwall VPN gespeichert. Die IP-Vergabe mit WuTility kann so lange wiederholt werden, bis die Microwall VPN über die initiale Webseite ein System- passwort erhalten hat. Anschließend ist eine Änderung der Irrtum und Änderung vorbehalten...
  • Seite 24 W&T Inbetriebnahme IP-Paramter nur noch über das Standard Web-Based-Manage- ment möglich. Die für die Erstinbetriebnahme erforderlichen weiteren Pa- rameter werden über eine initiale Webseite mit Hilfe eines Browsers vorgenommen. Informationen hierzu finden Sie im Kapitel Initiale Webseite der Erstinbetriebnahme.
  • Seite 25 Direktverbindung zu dem jeweiligen PC). Die Inbetriebnahme mehrerer Microwalls über deren Default-IP kann nur nacheinander erfolgen. Erst nachdem eine Microwall VPN eine neue IP-Adresse erhalten hat, darf die nächste Microwall VPN an das Netzwerk angeschlossen werden. Rechnerseitig muss hierfür eine der beiden folgenden Voraus- setzungen erfüllt sein:...
  • Seite 26 Microwall VPN erfolgen (z.B. durch eine Inbetriebnahme mit einer Direktverbindung zu dem jeweiligen PC). Wurde die IP-Adresse über das Tool WuTility vergeben, mar- kieren Sie dort die gewünschte Microwall VPN und betätigen den Button Browser: Soll der Zugriff über die Default-IP-Adresse der Microwall VPN erfolgen, starten Sie auf dem aus IP-Sicht vorbereiteten PC ei- nen Browser.
  • Seite 27 Inbetriebnahme Loginpasswort (Pflichtfeld) Vergeben Sie das Passwort für alle Konfigurations-/Steuerzu- gänge der Microwall VPN. Wir empfehlen Passwörter mit einer Mindestlänge von 15 Zeichen, bestehend aus Groß- und Klein- buchstaben, Ziffern sowie Sonderzeichen. Die Maximallänge des Passwortes ist 51 Zeichen. Ein Betrieb ohne Passwort ist nicht möglich.
  • Seite 28 Vergeben Sie die IP-Parameter für den Anschluss Network 1 (gelb). Die Angabe von DNS-Servern ist nur erforderlich, wenn die Timeserver für den NTP-Client der Microwall VPN als Hostna- me konfiguriert werden. Network 2 (grün) Vergeben Sie die IP-Parameter für den Anschluss Network 2 (grün).
  • Seite 29 Backup-Dateien enthalten auch die neue IP-Adresse der Microwall VPN. Um einen IP-Konflikt zu vermeiden, stellen Sie vor dem Upload sicher, dass die ursprüngliche oder eine zuvor programmierte Microwall VPN nicht mehr an das Netz- werk angeschlossen sind. Details zu Konfigurations-Backups enthält das Kapitel Up-/ Download von Konfigurations-Backups Irrtum und Änderung vorbehalten...
  • Seite 30 W&T Inbetriebnahme...

  • Seite 31: Web-Based-Management

    W&T Web-Based-Management Die Konfiguration der Microwall VPN ist ausschließlich verschlüsselt per HTTPS möglich. Das WBM (Web-Based-Management) arbeitet sessionori- entiert. Vorgenommene Änderungen auf den jeweiligen Seiten werden mit dem Speichern-Button sofort gespeichert und gültig. Navigation innerhalb des WBM Irrtum und Änderung vorbehalten...
  • Seite 32 W&T Web-Based-Management 4�1 Start und Navigationskonzept des WBM Um auf das WBM der Microwall VPN zuzugreifen, benötigen Sie einen aktuellen Internet-Browser. Session-Cookies, Ja- vascript und Websockets müssen unterstützt werden bzw. aktiviert sein. Die Konfiguration ist ausschließlich verschlüsselt über HTTPS möglich. Ab Werk ist der Standardport 443 vorkonfiguriert.
  • Seite 33 W&T Web-Based-Management 4�2 Anmelden/Abmelden Die Startseite der Microwall bietet nur die Möglichkeit der Passwort-Eingabe für das Login sowie die Umschaltung der Oberflächensprache über das Flaggensymbol. 4�2�1 Anmelden Geben Sie das Passwort ein und betätigen den Button An- melden. Nach erfolgreichem Login steht der erweiterte Na- vigationsbaum mit allen Konfigurationsmöglichkeiten zur Verfügung.
  • Seite 34 W&T Web-Based-Management 4�3 Hilfe und Beschreibungstexte Sofern die einzelnen Konfigurationspunkte nicht selbsterklä- rend sind, enthalten die zugeordneten Infosymbole die nöti- gen Beschreibungen, Erklärungen und Hinweise. Detailinformationen zu den Betriebsarten, den Freigaberegeln sowie der VPN-Einrichtung enthält diese Anleitung im Kapitel Betriebsarten und Regel konfiguration.

  • Seite 35: Betriebsarten Und Regel Konfiguration

    W&T Betriebsarten und Regel Konfiguration Modus NAT-Router Modus Standard-Router Regel-Konfiguration und Labels IP-Inventare Irrtum und Änderung vorbehalten...
  • Seite 36 Netzwerk über nur eine öffentliche IP-Adresse an das Internet anbinden. Die IP-Adressen der Insel-Hosts werden im übergeordneten Netzwerk durch die dortige IP-Adresse der Microwall VPN ersetzt und sind somit zu keinem Zeitpunkt im Intranet sichtbar. Der Insel-IP-Bereich kann im NAT-Modus völlig frei gewählt werden.
  • Seite 37 W&T Betriebsarten und Regel-Konfiguration 5�2 Modus Standard-Router Im Modus Standard-Router trennt die Microwall VPN das Insel- netzwerk am Anschluss Network 2 (grün) vom Unternehmen- sintranet am Anschluss Network 1 (gelb). Das Inselnetzwerk wird zu einem offiziellen Subnetz der intranetseitigen Infra- struktur.
  • Seite 38 W&T Betriebsarten und Regel-Konfiguration 5�3 IP-Iventare Im Menüzweig Firewalleinstellungen -> IP-Adressen-Inventar stellt die Microwall VPN für jedes Netzwerk ein separates Ad- ressen-Inventar zur Verfügung. Die Konfiguration der Ziel-/ Quell-Adresse(n) bei der Erstellung von Firewallregeln erfolgt immer aus diesen Adress-Inventaren. Inventar-Einträge können sowohl aus einzelnen IP-Adressen, wie auch aus Bereichen oder Listen bestehen.
  • Seite 39 W&T Betriebsarten und Regel-Konfiguration 5�3�1 Scannen von Network 2 Über die Lupe im Bereich von Network 2 besteht die Möglich- keit, das Inselnetzwerk nach Teilnehmern durchsuchen zu las- sen. Bei einem Scan neu gefundene Teilnehmer können dann automatisch in die Inventarliste von Network 2 übernommen werden.
  • Seite 40 W&T Betriebsarten und Regel-Konfiguration 5�4 Erstellen von Firewall-Regeln Das Erstellen von Firewall-Regeln für den jeweils aktuellen Mo- dus erfolgt auf der Seite Firewalleinstellungen -> Firewall-Re- geln. Die Übersicht enthält Informationen zu den bereits existierenden Regeln mit der Möglichkeit, diese über den jeweiligen Schiebeschalter zu aktivieren und deaktivieren.
  • Seite 41 W&T Betriebsarten und Regel-Konfiguration Name Frei vergebbarer Name der Regel. Beschreibung Optionale zusätzliche Beschreibung der Regel. Label Zur übersichtlicheren Darstellung bzw. Anzeigefilterung in der Regelübersicht können der Regel ein oder mehrere Label zugewiesen werden. Ab Werk sind die Label Normal mode und Service angelegt.
  • Seite 42 W&T Betriebsarten und Regel-Konfiguration auch ganze Bereiche und Listen. Details hierzu enthalten die jeweiligen über den Info-Button aufrufbaren Hilfetexte. Die Ziel-IP-Adresse(n)|Quell-IP-Adressen können entweder über die Select-Box aus den Inventarlisten ausgewählt oder direkt numerisch angegeben werden. Bei numerischer An- gabe, wird der neue Host bzw. der neue Adressbereich au- tomatisch mit der unter Name angegebenen Bezeichnung in das jeweilige IP-Inventar für Network1 oder Network2 übernommen.
  • Seite 43 W&T Betriebsarten und Regel-Konfiguration Unterschiedliche Eingabeformen lassen sich nicht kombi- nieren. Das heißt, „8000, 10-1000“ ist z.B. eine ungültige Eingabe. Protokoll Festlegung, ob die Regel für TCP oder UDP gilt. Die TCP-Option FTP muss aktiviert werden, wenn die Regel für FTP-Verbindungen formuliert wird. Im Protokollverlauf ausgehandelte parallele TCP-Verbindungen werden auto- matisch erlaubt und gesperrt.
  • Seite 44 Browser auf den Intranet-Web-Server 10.20.0.4/16, TCP/80 am Anschluss Network 1 zugreifen. Die jeweils lo- kalen IP-Adressen der Microwall VPN lauten 10.110.0.1 und 10.20.0.55. Für eine Ansichts-Filterung in der Regelübersicht wird die Regel mit dem Label Normal mode gekennzeichnet. Network 1 (Intranet): Net-ID: 10.20.0.0/16...
  • Seite 45 W&T Betriebsarten und Regel-Konfiguration Der zu diesem Beispiel auszufüllende Regeldialog: Irrtum und Änderung vorbehalten...
  • Seite 46 10.20.0.4/16 soll per Browser auf den Insel-Web-Server 10.110.0.10/16, TCP/80 zugreifen. Die Microwall VPN selbst ist mit den IPs 10.110.0.1 und 10.20.0.55 in die Netze integriert. Als Ziel-Adresse im Brow- ser wird die Intranet-IP der Microwall VPN verwendet, wo sie dann per Regel durch die Insel-IP 10.110.0.10 ersetzt wird.
  • Seite 47 W&T Betriebsarten und Regel-Konfiguration Der zu diesem Beispiel auszufüllende Regeldialog: Weitere Regelbeispiele für viele Standardanwendungen finden Sie auf unserer Webseite unter https://www.wut. de/regelbeispiele. Irrtum und Änderung vorbehalten...
  • Seite 48 W&T Betriebsarten und Regel-Konfiguration...
  • Seite 49 W&T Wireguard VPN Fernzugriff/-wartung Inselteilnehmer Konfiguration des VPN-Zugangs Konfiguration der VPN-Clients Erstellen VPN-Regeln Irrtum und Änderung vorbehalten...
  • Seite 50 W&T WireGuard VPN 6�1 Einführung & Systemintegration WireGuard ist eine VPN-Architektur, deren Schwerpunkt neben hohen Sicherheitsanforderungen durch moderne Kryptogra- phie auch auf einer einfachen Konfiguration bei gleichzeitig hoher Geschwindigkeit liegt. Details sowie aktuelle Informationen zu Konzept, Funktion und Entwicklungsstatus dieses Open-Source-Projektes finden Sie unter folgendem Link.
  • Seite 51 W&T WireGuard VPN 6�2 Konfiguration der VPN-Umgebung Auf der Seite VPN-Einstellungen -> VPN-Umgebung erfolgen die Grundeinstellungen des VPN-Servers sowie die Aktivierung der VPN-Clients. 6�2�1 Abschnitt VPN-Server VPN aktivieren Die Check-Box aktiviert den VPN-Server mit den eingestellten Parametern auf dem Anschluss Network 1 (gelb) der Microwall VPN.
  • Seite 52 VPN-Clients. Die Checkbox aktiviert den jeweiligen Client und erlaubt die Verbindung zum VPN-Server. Für Verbindungen zu Teilnehmern im Inselnetz sind zusätzlich entsprechende Frei- gaben/Regeln auf der Seite VPN-Regeln erforderlich. Die Weltkugel hinter einem Client-Eintrag zeigt an, dass der Client auf die Konfigurationseiten der Microwall VPN zugreifen darf.
  • Seite 53 W&T WireGuard VPN 6�3 VPN-Client Inventar Die Seite erlaubt das Anlegen, Löschen und Verwalten von VPN-Clients. Auf der Seite VPN-Client-Inventar erfolgt lediglich die Ver- waltung der VPN-Clients. Die Freischaltung für tatsächli- che VPN-Verbindungen erfolgt auf der Seite VPN-Umgebung. 6�3�1 Neue VPN-Clients - Standard Konfiguration Der Button am oberen rechten Rand der Tabelle startet den Dialog für das Anlegen neuer VPN-Clients.
  • Seite 54 QR-Code. Das Schlüsselpaar für den neuen VPN-Client wird in die- sem Fall durch die Microwall VPN erzeugt und der sensible Private-Key ist Bestandteil der Konfigurationsdatei. Diese Me- thode darf daher nur verwendet werden, wenn die Datei auf...
  • Seite 55 W&T WireGuard VPN Private Key und Button Key erzeugen Der Button Key erzeugen generiert ein Schlüsselpaar für die Verwendung im VPN-Client. Der für die spätere Authentifizie- rung des Clients benötigte Public-Key wird von der Microwall VPN automatisch gespeichert. Der zugehörige Private-Key steht nur bis zur Erzeugung der Konfigurationsdatei zur Ver- fügung und wird mit dem Schließen des Dialoges gelöscht.
  • Seite 56 W&T WireGuard VPN 6�4 VPN-Regeln Mit welchen Teilnehmern und Diensten im Inselnetzwerk ein aktiver VPN-Client kommunizieren darf, muss über entspre- chende VPN-Regeln ausdrücklich erlaubt werden. Das Erstel- len solcher Firewall-Regeln für das VPN erfolgt auf der Seite VPN-Einstellungen -> VPN-Regeln. Neben einer Übersicht der bereits existierenden Regeln können über den Button neue Regeln angelegt und definiert werden.
  • Seite 57 W&T WireGuard VPN über die Select-Box aus den Inventarlisten ausgewählt oder direkt numerisch angegeben werden. Bei numerischer An- gabe, wird der neue Host bzw. der neue Adressbereich au- tomatisch mit der unter Name angegebenen Bezeichnung in das IP-Inventar für Network2 übernommen. Zulässige Eingaben und Formate der Adressen und Adress- bereiche: •...
  • Seite 58 W&T WireGuard VPN Protokoll Festlegung, ob die Regel für TCP oder UDP gilt. Die TCP-Option FTP muss aktiviert werden, wenn die Regel für FTP-Verbindungen formuliert wird. Im Verlauf einer FTP-Session ausgehandelte parallele TCP-Verbindungen werden automatisch erlaubt und gesperrt. UDP ist ein verbindungsloses Protokoll, welches allerdings häufig nach einem Request-Reply-Prinzip (z.B.
  • Seite 59 Im Insel-Netz befindet sich eine Maschine, auf deren internes Web-Interface über das Internet von einem Android-Mobilge- rät aus zugegriffen werden soll. Das Beispiel geht davon aus, dass die Microwall VPN bereits als NAT-Router zwischen dem Intranet an Network1 (gelb) und der Netzwerk-Insel an Network2 (grün) eingerichtet ist.
  • Seite 60 W&T WireGuard VPN 2� Einrichtung der VPN-Server-Umgebung Wechseln Sie auf die Seite VPN-Einstellungen -> VPN-Umge- bung: Aktivieren Sie den VPN-Server Erzeugen Sie ein Schlüsselpaar für den VPN-Server. Der öffentliche Teil des Schlüssels (Public-Key) wird angezeigt. 10.3.3.1/24 Legt die IP-Adresse des VPN-Servers und Net-ID für das virtuelle VPN-Netzwerk fest.
  • Seite 61 Android Service 1 Frei wählbarer Name des VPN-Client. Der VPN-Client soll Zugriff auf die Konfigurationsober- fläche der Microwall VPN erhalten und nach dem Anlegen auch sofort aktiviert sein. Aktivieren Sie daher die beiden Optionen. Die Microwall VPN soll die gesamte Konfigurationsdatei für den VPN-Client erzeugen.
  • Seite 62 W&T WireGuard VPN Dieser Weg sollte nur gewählt werden, wenn gewährleistet werden kann, dass die Konfigurationsdatei sicher an den Client übermittelt werden kann. Der Button Keys erzeugen erstellt ein Schlüsselpaar für den VPN-Client. Der Private-Key wird von der Microwall VPN ausschließlich für die Dauer dieses Erstellungsdialo- ges gespeichert und anschließend gelöscht.
  • Seite 63 W&T WireGuard VPN 10.3.3.1/32,10.10.0.0/16 IP-Adressen und IP-Bereiche in CIDR-Notation, welche im Rahmen der VPN-Verbindung auftreten und akzeptiert werden sollen. Befindet sich der gewünschte Kommuni- kationspartner direkt im Inselnetz, ist eine Änderung der Vorgaben in der Regel nicht erforderlich. Intervall, in welchem der WireGuard-VPN-Client Keep Alive Pakete zur Aufrechterhaltung des UDP-Tunnels in den be- teiligten Routern generiert.
  • Seite 64 Zielsystem wird über die TCP-Ports 80 oder 443 an- gesprochen. Das Protokoll der Verbindung ist TCP. Verbindungen ent- sprechend den Einstellungen sollen akzeptiert werden und in der Log-Datei der Microwall VPN dokumentiert werden. Die formulierte Regel soll sofort aktiviert werden.
  • Seite 65 Android-Status-Zeile sollte jetzt ein Schlüsselsymbol die VPN-Verbindung signalisieren. Starten Sie einen Browser und geben in der Adresszeile die IP-Adresse des Insel-Hosts an: http(s)://10.10.0.10 Für den Zugriff auf die Konfigurationsseiten der Microwall VPN verwenden Sie als Ziel die virtuelle IP-Adresse des VPN-Ser- vers: https://10.3.3.1...
  • Seite 66 W&T WireGuard VPN...

  • Seite 67: Security & Wartung

    W&T Security & Wartung Security- und Betriebshinweise Firmware-Updates Eigene Zertifikate Notzugang per Service-Taster Reset auf Werkseinstellungen Irrtum und Änderung vorbehalten...
  • Seite 68 - Außerbetriebnahme des Gerätes (Entfernen Netzwerkkabel, Spannunsgversorgung ...) und Verlust aller Verbindungen zu den Teilnehmern des Inselnetzwerks. - Start des Notzugangs der Microwall VPN über den Ser- vice-Taster und somit Deaktivierung bzw. Änderung des Passwortes. Ein Angreifer erhält Vollzugriff auf die Manage- mentoberfläche und ist z.B.
  • Seite 69 Rechner durchzuführen. Erst anschließend wird die Microwall VPN dann mit den Zielnetzwerken verbunden. Passwort Das Passwort der Microwall VPN ist der zentrale Schutz vor unauthorisierten Zugriffen auf die Konfiguration und das Ma- nagement der Microwall VPN. Wir empfehlen die Verwendung eines sicheren Passwortes mit einer Länge von mindestens 15...
  • Seite 70 Browser eingerichtet werden muss. Für den Zugriff im opera- tiven Betrieb, empfehlen wir das Default-Zertifikat durch ein individuelles eigenes Zertifikat zu ersetzen. Deaktivierung nicht benötigter Dienste Die Microwall VPN stellt mit den Werkseinstellungen nach der Inbetriebnahme die folgenden eingehenden eigenen Dienste zur Verfügung: Port-/Socket-...
  • Seite 71 Für Anwendungen mit erhöhtem Schutzbedarf empfehlen wir das Schlüsselpaar auf dem VPN-Client zu generieren und dann den unkritischen Pub- lic-Key auf anderem Weg an die Microwall VPN zu übertragen. 7�1�5 Service und Wartung Trotz hoher Qualitätstandards kann Elektronik jederzeit z.B.
  • Seite 72 W&T Security & Wartung 7�2 Up-/Download von Konfigurations-Backups Auf Webseite Wartung besteht die Möglichkeit, die aktuelle Konfiguration der Microwall VPN zu sichern oder eine zuvor heruntergeladene Backup-Datei zurückzuschreiben. Konfigurations- bzw. Backup-Dateien enthalten neben den operativen Parametern (Firewall-/VPN-Regeln, VPN-Keys, In- ventar-Listen etc.) auch die für den administrativen Zugriff auf die Microwall VPN relevanten Daten (IP-Parameter, Sys- tem-Passwort, Zertifikat etc.).
  • Seite 73 Backup-Dateien enthalten auch die neue IP-Adresse der Microwall VPN. Um einen IP-Konflikt zu vermeiden, stellen Sie vor dem Upload sicher, dass die ursprüngliche oder eine zuvor programmierte Microwall VPN nicht mehr an das Netz- werk angeschlossen sind. Irrtum und Änderung vorbehalten...
  • Seite 74 EN = 00c0:3d01:0203 5xxxx [TB-Nummer und/oder Bezeichnung] OK +0123456789 Auf dem Web-Datenblatt der Microwall VPN folgen Sie dem Link Firmware und starten den Download der gewünschten Version. Vor dem Upload in die Microwall muss die eigentliche Firmware-Datei aus dem zip-Archiv entpackt werden.
  • Seite 75 Die Netzwerkkommunikation bei der Übermittlung des System-Passworts und auch der eigentliche Upload werden verschlüsselt durchgeführt und sind somit vertraulich. Für die Übertragung der neuen Firmware an die Microwall VPN markieren Sie in der Inventarliste von WuTility die gewünschte Microwall und betätigen dann den Button Firmware.
  • Seite 76 Microwall VPN deaktivert wurde, kann das Firmware-Update aus dem Web-Based-Management heraus erfolgen. Wechseln Sie im Menübaum der Microwall VPN auf die Seite Wartung. Der Button Datei hochladen startet den Auswahldialog für die Firmwaredatei. Wählen Sie hier die zuvor heruntergeladene und entpackte Firmware-Datei (*.uhd) aus.
  • Seite 77 Download des CSR und externe Signatur zu einem Zertifikat durch eine vertrauensvolle Zertifizierungsstelle. • Upload und Installation des Zertifikates in die Microwall VPN Navigieren Sie im Menübaum auf die Seite Grundeinstellungen -> Zertifikat. Neben Informationen zu dem aktuell installierten Zertifikat sind hier alle Funktionen für das Handling individu-...
  • Seite 78 Nach der Signatur durch eine vertrauenswürdige Zertifizie- rungsstelle (CA) können das Zertifikat sowie eine eventuell be- nötigte Zertifikatskette über die entsprechenden Upload-But- tons in die Microwall VPN geladen werden. Alle Dateien müs- sen im PEM-Format vorliegen. Nach einer formalen Prüfung wird das Zertifikat durch Klick auf Installieren unter Extern signiertes Zertifikat in das Sys- tem integriert und bei allen Web-Zugriffen verwendet.
  • Seite 79 Notzugang aktiviert. Die Router-/Firewall-Funktion bleibt in diesem Zustand voll- ständig erhalten. Der Notzugang aktiviert auf der Microwall VPN eine nicht-passwortgeschützte Web-Seite mit der Möglichkeit, das aktuelle Passwort zu überschreiben. Treffen Sie daher im Vorfeld geeignete Maßnahmen gegen unauthorisierte Zugriffe.
  • Seite 80 Sonderzeichen. Die Maximallänge des Passwortes ist 51 Zeichen. Aktivierung des Standard Web-Based-Managements Legen Sie unter Management fest, auf welchem Anschluss und unter welchem Port das Web-Management der Microwall VPN anschließend erreichbar sein soll. Beenden des Notzugangs Änderungen werden mit einem Klick auf Anwenden übernom- men und die Microwall führt einen Neustart der betroffenen...
  • Seite 81 Standardbetrieb entsprechend der aktuellem Konfiguration fort. Der Reset ist abgeschlossen, sobald die System-LED wieder dauerhaft leuchtet. Die Microwall VPN muss jetzt neu in Be- trieb genommen werden. Informationen hierzu enthält das Kapitel Inbetriebnahme. Irrtum und Änderung vorbehalten...
  • Seite 82 W&T Security & Wartung...

  • Seite 83: Anhang

    W&T Anhang Technische Daten und Bauform Lizenzen Irrtum und Änderung vorbehalten...
  • Seite 84 W&T Anhang 8�1 Technische Daten und Bauform Spannungsversorgung ��� Power-over-Ethernet: 37-57V DC aus PSE Externe Speisung, Schraubklemme DC 24-48V (+/-10%) Stromaufnahme ��� Power-over-Ethernet: PoE Class 2 (3,84 W - 6,49W) Ext. Speisung typ. 150mA@24V DC max. 200mA@24V DC Galvanische Trennung Netzwerkanschlüsse: min 500V LAN-Port Network 1...
  • Seite 85 W&T Anhang 8�2 Lizenzen GNU GENERAL PUBLIC LICENSE Version 2, June 1991 Copyright (C) 1989, 1991 Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed. Preamble The licenses for most software are designed to take away your freedom to share and change it.
  • Seite 86 W&T Anhang (2) offer you this license which gives you legal permission to copy, distribute and/or modify the software. Also, for each author's protection and ours, we want to make certain that everyone understands that there is no warranty for this free software.
  • Seite 87 W&T Anhang conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.
  • Seite 88 W&T Anhang entire whole, and thus to each and every part regardless of who wrote it. Thus, it is not the intent of this section to claim rights or contest your rights to work written entirely by you; rather, the intent is to exercise the right to control the distribution of derivative or collective works based on the Program.
  • Seite 89 W&T Anhang operating system on which the executable runs, unless that component itself accompanies the executable. If distribution of executable or object code is made by offering access to copy from a designated place, then offering equivalent access to copy the source code from the same place counts as distribution of the source code, even though third parties are not compelled to copy the source along with the object code.
  • Seite 90 W&T Anhang may not distribute the Program at all. For example, if a patent license would not permit royalty-free redistribution of the Program by all those who receive copies directly or indirectly through you, then the only way you could satisfy both it and this License would be to refrain entirely from distribution of the Program.
  • Seite 91 W&T Anhang either of that version or of any later version published by the Free Software Foundation. If the Program does not specify a version number of this License, you may choose any version ever published by the Free Software Foundation.
  • Seite 92 W&T Index Index Navigationskonzept 32 Netzwerkschnittstellen 16 Notzugang 19, 79 Abmelden 33 Anmelden 33 PoE 15 Backup-Datei 72 Bauform 84 Reset 19 Certificate Signing Request Security 67 Service-Taster 19, 79, 81 Spannungsversorgung 15 Standard-Router 37 Default-IP-Adresse 25 System LED 18 Erstinbetriebnahme 26 Technische Daten 83 Firewall-Regeln 40...
  • Seite 93 W&T Index...

Inhaltsverzeichnis