HOWTO: Home Zone Firewall-Ausnahmen im WatchGuard IPSEC VPN Client (NCP) am Beispiel eines Netzwerkdruckers

Im modernen Home-Office ist der sichere und zugleich komfortable Zugriff auf Unternehmensressourcen ein entscheidender Faktor für effizientes Arbeiten. Doch genau hier entsteht oft ein Zielkonflikt: Während der VPN-Tunnel eine geschützte Verbindung zum Firmennetzwerk herstellt, wird dadurch häufig der Zugriff auf lokale Geräte – wie Drucker oder NAS-Systeme – blockiert.

Der Premium IPSec VPN-Client von WatchGuard (by NCP) wurde bereits im Artikel >> HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support ausführlich vorgestellt (Bitte vorab lesen!). In diesem Beitrag knüpfen wir daran an und zeigen am praktischen Beispiel, wie sich mithilfe der Home Zone Funktion gezielt Firewall-Ausnahmen konfigurieren lassen. Die Home Zone Funktion wurde speziell für das Arbeiten im Home-Office entwickelt und bietet eine intelligente Lösung, um die Sicherheit der Unternehmenskommunikation über den VPN-Tunnel zu gewährleisten, während gleichzeitig der komfortable Zugriff auf lokale Heimnetzwerkgeräte wie Drucker oder Scanner möglich ist.

Am Beispiel eines Netzwerkdruckers zeigen wir Schritt für Schritt, wie Sie diese Funktion optimal einrichten, um auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) sicher und effizient im Home-Office zu arbeiten.

Was macht die Home Zone?

Die Hauptaufgabe der Home Zone ist die automatische Anpassung der Firewall-Regeln auf dem Endgerät des Benutzers, sobald dieser sich im Heimnetzwerk befindet und eine VPN-Verbindung zum Firmennetzwerk hergestellt hat. Dadurch wird ein sicherer und zugleich flexibler Zugriff auf lokale Netzwerkressourcen ermöglicht.

Hauptmerkmale der NCP Home Zone:

• Lokaler Zugriff: Sie ermöglicht es dem Benutzer, trotz bestehender VPN-Verbindung weiterhin auf lokale Geräte im Heimnetzwerk zuzugreifen, wie zum Beispiel einem Netzwerkdrucker oder einen Netzwerk-Scanner. Ohne diese Funktion würde der gesamte Datenverkehr in der Regel über den VPN-Tunnel zum Firmennetz geleitet, wodurch der lokale Zugriff blockiert wäre.
• Sichere Kommunikation: Der gesamte Internetverkehr und die Kommunikation mit dem Firmennetzwerk wird weiterhin sicher und verschlüsselt durch den VPN-Tunnel geleitet.
• User-Kontext: Die Home Zone muss jeder VPN-User spezifisch definieren. Der Administrator steuert mit der Firewall, was innerhalb der Home Zone erlaubt ist.

Kurz gesagt, die Home Zone bietet einen optimalen Kompromiss zwischen strenger Sicherheit und Benutzerfreundlichkeit für Mitarbeiter im Home-Office.

Hinweis: Sollten Sie nicht die Firewall des WatchGuard IPSEC VPN Client verwenden und dennoch den lokalen Traffic am 0-Route Tunnel vorbeileiten wollen, springen Sie direkt zu >> Punkt 3.5 und deaktivieren Sie die Funktion „Auch lokale Netze im Tunnel weiterleiten“.

Home Zone Firewall-Ausnahmen einrichten

1. Ziel

Der Zugriff auf lokale Netzwerkdrucker im Home-Office soll auch bei aktivem IKEv2 VPN-Tunnel (Full-Tunnel) gewährleistet sein, jedoch sollen die nachfolgend beschriebenen Security-Mechanismen weiterhin gelten:

IKEv2-Anbindung inkl. VPN-Enforcement für unsichere Netzwerke. Der NCP-Client soll in öffentlichen Netzen das Notebook komplett abschotten. Eine Internetkommunikation darf erst nach VPN-Einwahl möglich sein. Zusätzlich wird durch Start-Before-Logon sichergestellt, dass der sichere Tunnel bereits vor der Windowsanmeldung geöffnet wird (hilfreich für Logon-Skripte, Gruppenrichtlinien (GPOs), …).

2. Testumgebung

• WatchGuard Firebox T45 (Firmware 12.11.4 -> min. 12.11.1 benötigt)
• WatchGuard IPSec Mobile VPN Client for Windows (Version 15.19)
• Windows 11 Professional 24H2
• HP LaserJet Pro MFP M283fdw

3. Umsetzung

1. Zunächst muss der jeweilige Netzwerkdrucker im Home-Office via IP-Adresse angesprochen werden. WSD-Ports werden hier also nicht unterstützt:
   
2. Im WatchGuard Mobile VPN unter „Konfiguration“ -> „Firewall…“ -> „Optionen“ setzen wir einen Haken bei „Aktiviere Home Zone“:
      
3. In den Grundeinstellungen (Firewall-Einstellungen) fügen wir die vordefinierte Firewall Regel „Home Zone“ hinzu und setzen einen Haken bei der Zone „Home Zone“. Die FW-Regel „Home Zone“ kann natürlich weiter eingeschränkt werden:
   
4. Zusätzlich setzen wir einen Haken bei den von mir vorhandenen Firewall-Regeln ebenfalls für die Zone „Home Zone“ und speichern das Ganze mit dem Button „OK“ ab.
   
   
   Die Policies sollten nach Ihren Bedürfnissen erstellt und getestet sein. In meinem Fall ist außerhalb des VPNs oder eines „Trusted“ Networks jeglicher Traffic gesperrt (kein Surfen, Mail, …). Für Anwendungen wie WatchGuard EPDR empfehle ich Ausnahmen.
5. In den Profil-Einstellungen vom WatchGuard Mobile VPN Client unter „Split Tunneling“ entfernen wir den Haken bei „Auch lokale Netze im Tunnel weiterleiten“ und bestätigen dies mit dem Button „OK“.
      
6. Im jeweiligen Home Office muss einmalig bei jedem Mitarbeiter die Home Zone wie folgt gesetzt werden (VPN darf nicht aktiv sein!). Mit dem Setzen der Home Zone wird das Regelwerk für Home Zone angewendet und die Hardware MAC-Adresse des Default Gateways des aktiven Netzwerk-Adapters in der Konfiguration des VPN-Clients gespeichert. Sind mehrere Netzwerk-Schnittstellen mit jeweils einem Default-Gateway aktiv, so wird die Default-Route zum Speichern der Hardware MAC-Adresse berücksichtigt, die die kleinste Metric aufweist:
   
   Eine aktive Home Zone wird im WatchGuard Mobile VPN Client als Haus-Symbol hinter dem Schutzschild der aktiven Endpoint Firewall dargestellt:
   
7. Zum Schluss bitte das jeweilige Gerät neu starten. Nach erfolgreicher VPN-Einwahl kann ab sofort der jeweilige Mitarbeiter auch mit aktivem IKEv2 VPN-Tunnel (Full-Tunnel) auf seinen Netzwerkdrucker (LAN / Home Office) zugreifen bzw. drucken. Verlässt der Mitarbeiter wieder sein Home Office greifen automatisch die vom Administrator festgelegten Firewall-Regeln. Die Home Zone wird auch bei aktiver VPN-Verbindung durch das Haus-Symbol im Client visualisiert:
      

4. Tipps

• Alternativ können Sie auch einen Drucker direkt am jeweiligen Gerät via USB anschließen. Vorteil: Hierbei ist die oben genannte Konfiguration der Home Zone nicht notwendig.
• Zum Troubleshooting der NCP-Firewall / Home Zone können Sie wie folgt die Protokollierung aktivieren:
     
  Bei einer Default Installation des WatchGuard Mobile VPN Clients finden Sie die Firewall Logs (fw*.logs) im Pfad “C:\ProgramData\WatchGuard\Mobile VPN\log_system”.
• Damit die Firewall-Einstellungen, Profile etc. nicht bspw. durch den Mitarbeiter angepasst werden können, empfehlen wir die Konfigurationssperre im WatchGuard Mobile VPN Client einzusetzen. Die Konfigurationssperre wird in der Hilfe des WatchGuard Mobile VPN Clients beschrieben.

Weiterführende Links

• Im WatchGuard Mobile VPN Client (Hilfe -> Hilfe)
• WatchGuard IPSec Mobile VPN Client – Desktop Firewall aktivieren (Help Center)
• Informationen über den IPSec Mobile Client by NCP (Help Center)
• HOWTO: WatchGuard IPSec Mobile VPN Client by NCP – Jetzt auch mit IKEv2 Support