NetExtender am SonicOS einrichten
03/26/2020 2 People found this article helpful 464,970 Views
Description
Dieses Supportartikel beschreibt wie man das (NetExtender Access) am SonicOS 5.6 und spätere Version einstellt
Resolution
Übersicht
Dieser Supportartikel beschreibt, wie man die SSL VPN Eigenschaften auf der SonicWall Security Appliance konfiguriert. Mit Hilfe des NetExtender Clients bieten SonicWall SSL VPN einen sicheren Fernzugriff auf das Netzwerk.
NetExtender funktioniert als SSL VPN Client , welcher für Windows-, Mac- und LinuxUser geeignet ist. Es wird im Hintergrund heruntergeladen und bietet die Möglichkeit an, alle Anwendungen im Firmennetz sicher auszuführen. Für diesen Zweck wird das Point to Point Protokol (PPP) verwendet. NetExtender ermöglicht es alle Remote Clients mit allen Resourcen im Netz reibungslos zu verbinden. Auf NetExtender kann folgenderweise zugegriffen werden:
- Durch Einloggen in das SonicWall Virtual Office Web Portal und danach auf den NetExtender Button anklicken
- Aufrufen des NetExtender Clients
Der NetExtender Standalone Client wird bei dem ersten Neustart der NetExtender Anwendung installiert. Danach ist die Anwendung direkt unter dem Start Auf Windows Rechner zu finden. Auf MacOS Systeme wird es in dem Application Ordner oder vom Dock zugreifbar sein und bei Linux kann man den Pfad eingeben oder NetExtender von der Shortcut Leiste aufrufen.
Die folgenden Schritte beschreiben den Vorgang
- Loggen Sie sich auf der SonicWall UTM Appliance ein. Gehen Sie dann zunächst auf SSL-VPN > Server Settings. Hier kann der Administrator das SSL VPN Zugriff auf allen Zonen aktivieren. Bei SonicOS Enhanced 5.6.x.x und Spätere Versionen wird der Port 4433 für SSL-VPN auf allen UTM Geräten verwendet.
Wichtig zu beachten ist: Bei älteren Versionen sind die SSL-VPN Zone Einstellungen bei SSL-VPN> Client Settings zu finden.Verbindung zu SSL-VPN ist nur über die IP Schnittstellen Adresse möglich. Standardmäßig ist SSL-VPN auf der WAN Zone aktiviert und um auf diese Zone zu gelangen, muss die WAN Interface IP Adresse verwendet werden. Das Gleiche gilt für andere Zonen und, so lange sie aktiviert sind, ist der Zugriff nur mittels der entsprechenden Interface IP Adressen möglich.
- Unter SSL VPN |Portal Settings wird die Gestalt und die Funktionalität des SSL VPN Virtual Office Web Portals konfiguriert. Auf der Virtual Office Portal Webseite muss man sich einloggen um NetExtender zu starten.
SSL VPN |Client Settings konfigurieren
- Unter SSL VPN | Client Settings kann der Administrator den Client IP Adressbereich und die NetExtender Client Einstellungen konfigurieren.
- Der Zielpunkt des SSL-VPN muss zwingend definiert werden, (zb. Der LAN Seite) und die zugeordneten Client IP Adressen muessen ebenfalls definiert sein. Zum Schluss ist anzugeben, von wo die Benutzer sich einloggen müssen (Wahrscheinlich wird dass das WAN sein, also kann WAN angeklickt werden).
Hinweis (Betrifft SonicOS Enhanced 5.5 und höhere Versionen):Es ist nicht möglich NetExtender einem Endpunkt auf einem Interface zuzuordnen wenn eine Brücke zwischen zwei Interfaces, unter L2 Bridge Mode, besteht. Dieses gilt auch für Interfaces die mit einem WLAN Interface verbunden sind. Interfaces die den L2 Bridge Mode verwenden werden nicht in dem "SSLVPN Client Adresse Range" aufgelistet. Um NetExtender einen Endpunkt zuzuordnen muss das Interface einem LAN, DMZ, WLAN oder selbsterstellte Trusted, Public oder Wireless Zonen zugestellt werden und die IP Adresse muss zwingend als "Static" konfiguriert werden.
Das konfigurieren von NetExtender Client Settings
- Das Option Create Client Connection Profile - muss aktiviert werden - Danach wird NetExtender Client ein Verbindungsprofil erstellen das der SSL VPN Server Name, die Domain Name und wahlweise die Benutzername und das Passwort speichert.
- Unter SSL VPN | Client Routes kann der Administrator den Netzwerkzugang for SSL VPN Benutzer steuern und kontrollieren. Die NetExtender Client Routes werden weiter zu den NetExtender Clients geleitet und hiermit kann es bestimmt werden, zu welchen Netzwerken und Ressourcen die SSL-VPN User Zugriff erhalten.
Hinweis: Die Routes sind von allen Clients sichtbar. Es ist hier auch möglich, "Tunnel All Mode" zu aktivieren oder zu deaktivieren (Dieses hat die gleiche Wirkung als das "This gateway only" bei GroupVPN auszuwählen). - Es ist darauf zu achten dass unter Users > Local Users der relevante Benutzer oder die Benutzergruppe ein Mitglied der "SSLVPN Services" Gruppe ist.
- Groups Tab: Hier kann das Mitgliedshaft für mehere Benutzer konfiguriert werden.
- Members Tab: Hier werden die local oder LDAP Benutzergruppen, SSLVPN Services Benutzergruppe und andere Benutzergruppen festgestellt und bearbeitet.
- VPN Access Tab:Unter dem VPN Access Tab ist es möglich Benutzerzugriffe auf ein Netzwerk, über VPN Tunnel, einzustellen. Hier sollte man Netzwerke von der Liste auswählen und Sie dann mit einem Klick auf dem Pfeil in dem Access List einbringen. Um einem bestimmten Benutzer den Netzwerkzugriff zu entziehen, sollte man das Netzwerk unter Access List markieren und den User danach mit dem Pfeil entfernen
- Unter Firewall > Access Rules, ist die neue SSL VPN Zone zu sehen
- Regeln, die den Ein- und Ausgang des SSLVPN Zones, zu anderen Zonen betreffen, werden automatisch erstellt. Optional kann jede dieser automatischen Regeln individuell konfiguriert werden, um SSL-VPN zu LAN Zugriff fürbestimmte Benutzer zu entfernen, oder einzuschraenken, Statt mehrere Regeln für unterschiedliche Benutzern zu erstellen, ist es mehr empfehlenswert die Regeln auf Gruppenebenen zu implementieren.
- Bitte beachten: Die "VPN Access List" die früher unter Versionen älter als SonicOS Enhanced 5.6 für GVC VPN Zwecke verwendet wurde is ab dem 5.6 Version ist nicht mehr zu verwenden. Zugriff wird mittels der Firewall Regeln konfiguriert.
- Das HTTPS User Login muss auf dem WAN Interface aktiviert werden.
Das Scenario Testen
- Um den Zugang zu testen sollten Benutzer die oeffentliche IP der Sonicwall in einem Browser eingeben. Unten ist die neue "Click here for SSL Login" Hyperlink zu sehen.
- Es erfolgt dann das Einloggen und Starten des NetExtenders:NetExtender bietet Benutzer eine vollen Fernzugriff auf das geschützte interne Netz an. NetExtender kann mit mit einem herkömmlichen IPSec VPN Client Verbindung vergleichen werden aber ohne die erforderliche Client Installation. Es wird automatisch auf dem Client Rechner, mittels eines ActiveX Controls unter Internet Explorer oder dem XPCOM Plugin unter Firefox, installiert.
- Unter MacOS wird das Java Steuerungsystem von allen unterstützten Browsers verwendent um NetExtender von dem Virtual Office Portal automatisch zu installieren. Auch auf Linux Systeme kann NetExtender installiert und verwendet werden.
- Nach einer erfolgreichen Installation startet NetExtender automatisch und baut eine SSL-VPN Point-to-Point Verbindung von einem Virtuellen Adapter zu den berechtigten Hosts und Subnets auf dem Internen Netz auf.
- Das HTTPs User Login sollte unter WAN Interface aktiviert werden.
Related Articles
Categories
Was This Article Helpful?
YESNO