Testreihe VPN-Gateways, Teil 6: NCP
Skalierbares VPN
Fortsetzung des Artikels von Teil 1
Testdurchführung
Den LANline-Test führten wir mit dem NCP Virtual Secure Enterprise VPN Server durch. Zunächst legten wir im Virtual Center auf einem ESXi-Test-Cluster eine neue VM-Hülle für die virtuelle VPN-Appliance an und konfigurierten sie gemäß NCP-Vorgaben für ein Debian-Linux-Betriebssystem. Dann verbanden wir die von NCP bereitgestellte ISO-Datei mit der VM-Hülle und schalteten die VM ein. Beim Hochfahren bootete sie automatisch von der ISO-Datei, und wir richteten den VPN-Server mittels Setup-Dialog ein. Der Administrator gibt unter anderem IP-Adresse und Name der Appliance sowie die DNS- und Zeit-Server an. Die Basisinstallation dauerte nur wenige Minuten.
In produktiven Umgebungen wird das VPN-Gateway oft in einer DMZ zwischen zwei Firewalls platziert, die die Verbindungen zwischen dem internen Netz und dem Internet schützen. Für den Test standen keine zusätzlichen Firewalls zur Verfügung. Deshalb installierten wir die VPN-Appliance im selben IP-Subnetz, in dem sich der DSL-Router mit der Internetanbindung befand. Es handelte sich um einen normalen Endkunden-DSL-Anschluss. Die IP-Adresse des DSL-Routers trugen wir auf dem VPN-Server als Default-Gateway ein.
Sobald die Installation der VPN-Appliance abgeschlossen war, konnten wir von einem Admin-Rechner aus per Web-Browser auf die lokale Verwaltungskonsole des Systems zugreifen. Die Kommunikation erfolgt über den TCP-Port 20112. Für die Verwaltung größerer Umgebungen bietet NCP einen eigenen Management-Server an, mit dem sich die VPN-Gateways und -Clients von zentraler Stelle aus konfigurieren, aktualisieren und überwachen lassen. Im Test beschränkten wir uns auf die Web-Konsole für die lokale Verwaltung der virtuellen Appliance. Erfahrene Administratoren haben zudem die Möglichkeit, das System über die Kommandozeile zu bedienen. Ein Assistent für eine automatisierte VPN-Einrichtung ist in der lokalen Web-Konsole nicht vorhanden. Über den Hilfe-Button lässt sich aber immerhin die lokal verfügbare Dokumentation öffnen, die alle Konfigurationsoptionen ausführlich beschreibt.
Für den LANline-Test konfigurierten wir per Web-Konsole ein IPSec-VPN für IKEv1, das einen Pre-Shared Key verwendete. Der Administrator legt im VPN-Menü unter anderem die Namen und Passwörter der VPN-Benutzer fest, ebenso die aus dem Internet erreichbare VPN-IP-Adresse sowie die Verschlüsselungsalgorithmen. Dann speichert er die Settings in einer IPSec-Richtlinie. Im Menü mit den Domain Groups ist der Pre-Shared Key ebenfalls zu hinterlegen. Hier trägt der Administrator unter anderem ein, aus welchem IP-Adressbereich die VPN-Clients beim Verbindungsaufbau eine IP-Adresse zugewiesen bekommen. Wir richteten einen Pool mit der ID 1 ein, der von 192.168.200.20 bis .50 reichte.
Die Web-Konsole bietet umfassende Konfigurationsmöglichkeiten, um beispielsweise spezielle Routing-Anforderungen abzubilden, Firewall-Regeln zu definieren oder einen Syslog-Server einzurichten. Wenn ein Management-Server vorhanden ist, lässt sich die virtuelle Appliance über das Menü SEM-Pairing in die zentrale SEM-Konsole integrieren. Die lokale Verwaltung via Web-GUI ist dann nicht mehr möglich. Beim Setup der virtuellen VPN-Appliance hatten wir den DSL-Router als Default-Gateway eingetragen. Um vom Internet aus den Zugriff auf das VPN-Gateway zu ermöglichen, mussten wir auf dem DSL-Router Port-Forwarding für das IP-Sec-VPN via UDP-Port 500 einrichten.
Um Remote-Zugriffe per VPN-Tunnel zu testen, installierten wir den VPN-Client auf zwei Windows-10-Notebooks. NCP empfiehlt, Antivirenprogramme vor der Installation des VPN-Clients vom Rechner zu entfernen, da deren Filtertreiber zu Problemen führen können. Sobald der VPN-Client aufgespielt ist, kann man die AV-Software wieder installieren. Der Client verfügt über eine grafische Oberfläche, die auch einen Test-Button enthält, der eine Verbindung zu einem von NCP gehosteten VPN-Gateway aufbaut. Dies klappte mit beiden Notebooks auf Anhieb. Die VPN-Konfiguration lässt sich in eine Datei exportieren, die der Administrator dann auf anderen Rechnern importieren kann. Mit dem SEM-Server lassen sich Profile von zentraler Stelle aus auf die VPN-Clients ausrollen.
Wir konfigurierten die VPN-Clients mit denselben Einstellungen, die wir auf dem VPN-Gateway in der IPSec-Richtlinie vorgenommen hatten. Die ersten Verbindungsversuche schlugen jedoch fehl. Der VPN-Client konnte das VPN-Gateway zwar erreichen, die Verbindung wurde aber abgelehnt. Wie sich nach kurzer Fehlersuche herausstellte, hatte bei der Konfiguration des VPN-Gateways noch ein Link-Profil gefehlt.
Anschließend konnten wir uns mit dem ersten Testnotebook erfolgreich mit dem VPN-Gateway verbinden und auf die Rechner im Testnetz zugreifen. Als wir mit dem zweiten Notebook eine VPN-Verbindung aufbauen wollten, klappte dies ebenfalls zunächst nicht. In der NCP-Dokumentation fanden wir nach kurzer Suche den Hinweis, dass auf dem VPN-Gateway im Authentication-Menü ein Haken bei Multi User Profile gesetzt sein muss. Sobald dies erfolgt war, konnten wir mit beiden Notebooks gleichzeitig eine VPN-Verbindung zum NCP-Gateway aufbauen und die Ressourcen des Testnetzes aus der Ferne nutzen. Der Test mit einem Android-Handy und dem mit Zehn-Tage-Testlizenz erhältlichen NCP Secure Android Client verlief ebenfalls erfolgreich: Nachdem wir den VPN-Client mit den Einstellungen für unser VPN-Profil konfiguriert hatten, konnten wir uns über das Mobilfunknetz mit dem LANline-Testnetz verbinden.
Fazit
Mit dem Secure Enterprise VPN Server bietet NCP eine flexibel einsetzbare Softwarelösung an, die sich auch für größere Unternehmen eignet. Integrierte Firewall-Funktionen sorgen für ein hohes Sicherheitsniveau. Vermisst haben wir lediglich einen Assistenten für die VPN-Einrichtung. Preise sind auf Anfrage direkt bei NCP oder NCP-Partnern erhältlich.
- Skalierbares VPN
- Testdurchführung
Lesen Sie mehr zum Thema
