Für die Anbindung von Außenstellen – in Switchboard-Notation
»Gateways
«
genannt – ist lediglich ein OpenVPN-fähiges Endgerät erforderlich, das den TAP- und PSK-Modus unterstützt. Die meisten Industrie-Router und viele Open-Source-Firewallsysteme erfüllen diese Voraussetzungen. So auch die Endian-Firewall, einschließlich der kostenfreien Community-Edition
[17]
. Die kommerziellen Endian-Firewall-Appliances können über das Switchboard auch automatisch provisioniert und dann per USB-Stick am Einsatzort konfiguriert werden. Für unseren Test kamen zwei Endian-Systeme zum Einsatz, die zur besseren Nachvollziehbarkeit für andere Geräte im Folgenden manuell konfiguriert werden.
Nach der Inbetriebnahme der Firewall an einem DSL-Anschluss mit dynamischer IP-Adresse und der Einbindung ins lokale Netz (Default-IP-Adresse 192.168.0.15), ist lediglich noch die VPN-Verbindung zu konfigurieren. Dazu wechseln Sie nach
»VPN | OpenVPN Client (Gw2Gw)
«
und tragen unter
»Verbinden mit
«
die öffentliche IP-Adresse des Endian-Switchboards und – Achtung, Falle! – nach einem Doppelpunkt zusätzlich den Port 443 ein. Laden Sie das CA-Zertifikat vom Switchboard auf die Firewall hoch und geben Sie jenen Benutzernamen und das Passwort an, die Sie dem Gateway im Switchboard zugeordnet haben. Nun müssen Sie unter
»Erweiterte Tunnelkonfiguration
«
noch den Gerätetyp
»TAP
«
und als Protokoll
»TCP
«
auswählen. Nachdem Sie diese Einstellungen gespeichert haben, baut die Firewall den VPN-Tunnel selbstständig zum Switchboard auf. Die VPN-Verbindung taucht auf dem Switchboard dann unter
»VPN | OpenVPN Server | Connection status and control
«
mit ihrer realen (öffentlichen) und der IP-Adresse aus dem VPN-Pool auf (
Abbildung 9
).
Nachdem die Außenstelle(n) und damit die dahinterliegenden Geräte nun per VPN an das Switchboard angebunden sind, können sich jetzt die Fernwarter über den Endian-4i-Connect-Client mit dem Switchboard verbinden. Für die Verbindungsaufnahme tragen Sie die öffentliche IP des Switchboard im Client ein, Benutzername und Passwort haben Sie zuvor auf dem Switchboard im Bereich
»Virtual Switchboard | Users
«
definiert. Sofern Sie keinen HTTP-Proxy einsetzen, über den die OpenVPN-Verbindung transportiert werden soll, ist am Client nichts weiter einzustellen. Der 4i-Connect-Client stellt eine Kombination aus VPN-Client und Browser dar, der – in Abhängigkeit von der Berechtigung des jeweiligen Benutzers – die Einstellungen aus dem Switchboard-Menü eins zu eins in den Client überträgt (
Abbildung 10
). Dort können diese dann auch editiert werden. Auf dem Karteireiter
»Verbindungen
«
werden nach dem Verbindungsaufbau die per VPN verbundenen Außenstellen sowie die dahinterliegenden Geräte (Endpoints) angezeigt. Das Wartungspersonal kann sich nun per Klick auf das
»Connect
«
-Icon mit den Gateways verbinden und erhält damit auch Zugriff auf die Endpoints. Dazu kommen die im Switchboard als
»Action
«
definierten Protokolle oder URLs zum Einsatz.
Die Preise für die Erweiterungssoftware, die aus einer Endian-Firewall ein Endian-Switchboard machen, standen zum Redaktionsschluss noch nicht fest. Das Lizenzmodell für die Switchboard-Komponente sieht eine Lizenzierung auf Basis der aktivierten VPN-Tunnel vor. Darunter fallen sowohl die Tunnel, die von den Gateways an den Außenstandorten zum Switchboard aufgebaut als auch jene, die vom Fernwartungspersonal mit dem Software-Client genutzt werden. Hinzu kommen die Anschaffungskosten für die Hardware- oder Software-Appliance und für Software-Wartung und Support. Der Einstiegspreis für die Endian-Appliances liegt bei 775 Euro (Endian Mini) beziehungsweise 990 Euro (Endian 4i Edge 300) plus Maintenance.