Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

Außenstellen anbinden mit OpenVPN

Für die Anbindung von Außenstellen – in Switchboard-Notation »Gateways« genannt – ist lediglich ein OpenVPN-fähiges Endgerät erforderlich, das den TAP- und PSK-Modus unterstützt. Die meisten Industrie-Router und viele Open-Source-Firewallsysteme erfüllen diese Voraussetzungen.  So auch die Endian-Firewall, einschließlich der kostenfreien Community-Edition [17]. Die kommerziellen Endian-Firewall-Appliances können über das Switchboard auch automatisch provisioniert und dann per USB-Stick am Einsatzort konfiguriert werden. Für unseren Test kamen zwei Endian-Systeme zum Einsatz, die zur besseren Nachvollziehbarkeit für andere Geräte im Folgenden manuell konfiguriert werden.

Nach der Inbetriebnahme der Firewall an einem DSL-Anschluss mit dynamischer IP-Adresse und der Einbindung ins lokale Netz (Default-IP-Adresse 192.168.0.15), ist lediglich noch die VPN-Verbindung zu konfigurieren. Dazu wechseln Sie nach »VPN | OpenVPN Client (Gw2Gw)« und tragen unter »Verbinden mit« die öffentliche IP-Adresse des Endian-Switchboards und – Achtung, Falle! – nach einem Doppelpunkt zusätzlich den Port 443 ein. Laden Sie das CA-Zertifikat vom Switchboard auf die Firewall hoch und geben Sie jenen Benutzernamen und das Passwort an, die Sie dem Gateway im Switchboard zugeordnet haben. Nun müssen Sie unter »Erweiterte Tunnelkonfiguration« noch den Gerätetyp »TAP« und als Protokoll »TCP« auswählen. Nachdem Sie diese Einstellungen gespeichert haben, baut die Firewall den VPN-Tunnel selbstständig zum Switchboard auf. Die VPN-Verbindung taucht auf dem Switchboard dann unter »VPN | OpenVPN Server | Connection status and control« mit ihrer realen (öffentlichen) und der IP-Adresse aus dem VPN-Pool auf (Abbildung 9).

Abbildung 9: VPN mal einfach: Geräte, die einen OpenVPN-Client mit TAP- und PSK-Unterstützung mitbringen, lassen sich mit wenigen Mausklicks an das Endian-Switchboard anbinden.

Endian-4i-Connect-Client

Nachdem die Außenstelle(n) und damit die dahinterliegenden Geräte nun per VPN an das Switchboard angebunden sind, können sich jetzt die Fernwarter über den Endian-4i-Connect-Client mit dem Switchboard verbinden. Für die Verbindungsaufnahme tragen Sie die öffentliche IP des Switchboard im Client ein, Benutzername und Passwort haben Sie zuvor auf dem Switchboard im Bereich »Virtual Switchboard | Users« definiert. Sofern Sie keinen HTTP-Proxy einsetzen, über den die OpenVPN-Verbindung transportiert werden soll, ist am Client nichts weiter einzustellen. Der 4i-Connect-Client stellt eine Kombination aus VPN-Client und Browser dar, der – in Abhängigkeit von der Berechtigung des jeweiligen Benutzers – die Einstellungen aus dem Switchboard-Menü eins zu eins in den Client überträgt (Abbildung 10). Dort können diese dann auch editiert werden. Auf dem Karteireiter »Verbindungen« werden nach dem Verbindungsaufbau die per VPN verbundenen Außenstellen sowie die dahinterliegenden Geräte (Endpoints) angezeigt. Das Wartungspersonal kann sich nun per Klick auf das »Connect« -Icon mit den Gateways verbinden und erhält damit auch Zugriff auf die Endpoints. Dazu kommen die im Switchboard als »Action« definierten Protokolle oder URLs zum Einsatz.

Abbildung 10: Der Fernwarter verbindet sich über den Endian-4i-Connect-Client mit dem Switchboard und wählt aus der Liste den Endpoint aus, mit dem er sich verbinden möchte, zum Beispiel per Remote-Desktop-Protokoll auf einen Windows-Steuerungsrechner.

Die Preise für die Erweiterungssoftware, die aus einer Endian-Firewall ein Endian-Switchboard machen, standen zum Redaktionsschluss noch nicht fest. Das Lizenzmodell für die Switchboard-Komponente sieht eine Lizenzierung auf Basis der aktivierten VPN-Tunnel vor. Darunter fallen sowohl die Tunnel, die von den Gateways an den Außenstandorten zum Switchboard aufgebaut als auch jene, die vom Fernwartungspersonal mit dem Software-Client genutzt werden. Hinzu kommen die Anschaffungskosten für die Hardware- oder Software-Appliance und für Software-Wartung und Support. Der Einstiegspreis für die Endian-Appliances liegt bei 775 Euro (Endian Mini) beziehungsweise 990 Euro (Endian 4i Edge 300) plus Maintenance.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020