- \n
- Server- und Client-WatchGuard mit Fireware Version >= 12.1<\/li>\n
- WAN Strecke erlaubt Kommunikation auf Port 443 (OpenVPN)<\/li>\n
- Gleiche Verschl\u00fcsselungsparameter auf beiden Endger\u00e4ten<\/li>\n<\/ul>\n
Fallbeispiel<\/h4>\n
Erl\u00e4uterung<\/h5>\n
In diesem Artikel geht es um die Verbindung von einer WatchGuard Firebox T15 (Nebenstelle) zur WatchGuard Firebox T35-W in der Zentrale. Nach diesem beschriebenen Schema k\u00f6nnen weitere Client Devices hinzugef\u00fcgt werden. Bitte beachten Sie, dass eine Client WatchGuard sich zu mehreren Server WatchGuards verbinden kann und eine Server WatchGuard mehrere Client WatchGuards angebunden haben kann. Eine WatchGuard kann allerdings nicht Server und Client gleichzeitig sein!<\/p>\n
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls.png\")
<\/p>\nKonfiguration Zentrale T35-W (WSM)<\/h5>\n
- \n
- \u00d6ffnen Sie den WatchGuard System Manager und verbinden sich mit \u201eT35-W Zentrale\u201c<\/li>\n
- Navigieren Sie zu \u201eVPN\u201c -> \u201eBOVPN Over TLS\u201c und aktivieren Sie BOVPN over TLS im Server Mode
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls2.png\")
<\/li>\n - Definieren Sie den Primary- und ggf. Backup-Server, \u00fcber welche die \u201eServer\u201c-Firebox erreichbar ist (statische IP, Domain oder DynDNS).
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls3.png\")
<\/li>\n - Klicken Sie bei den \u201eServer Settings\u201c auf \u201eADD\u201c, f\u00fcllen Sie die markierten Felder aus und best\u00e4tigen Sie anschlie\u00dfend die Einstellungen mit “OK”.\n
- \n
- Tunnel ID: Unterscheidet die verschiedenen Client-Devices voneinander<\/li>\n
- Pre-Shared Key: Kennwort f\u00fcr den definierten Tunnel<\/li>\n
- Client Routes: Diese Netze in der Zentrale sind f\u00fcr den Client (Au\u00dfenstelle) durch den Tunnel erreichbar.<\/li>\n
- Server Routes: Diese Netze am Au\u00dfenstandort (Client), sind von der Zentrale durch den Tunnel erreichbar.<\/li>\n
- Add this tunnel to the BOVPN-Allow policies: Erstellt automatisch eine BOVPN Policy, damit die Firewall den Traffic des Tunnels akzeptiert.
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls4.png\")
<\/li>\n<\/ul>\n<\/li>\n - Unter Advanced k\u00f6nnen Sie die Verschl\u00fcsselung und den IP Address Pool konfigurieren. Der IP Address Pool dient als Transportnetz f\u00fcr die VPN Clients und wird ebenfalls f\u00fcr Mobile User SSL VPN verwendet. \u00c4nderungen an Verschl\u00fcsselung oder der IP-Range wirken sich also ebenfalls auf den SSL User VPN aus!
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls5.png\")
<\/li>\n - Nach Abschluss der BOVPN over TLS Konfiguration werden durch den Haken \u201eAdd this tunnel to the BOVPN-Allow policies\u201c (siehe Punkt 4) folgende Policies automatisch erstellt\/erg\u00e4nzt
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls6.png\")
\nSie m\u00fcssen hier f\u00fcr sich abw\u00e4gen, ob Sie diese automatischen Policies verwenden m\u00f6chten oder lieber manuell gezielte Regeln erstellen.<\/li>\n<\/ol>\nKonfiguration Remote T15 (WSM)<\/h5>\n
- \n
- \u00d6ffnen Sie den WatchGuard System Manager und verbinden sich mit \u201eT15 REMOTE\u201c<\/li>\n
- Navigieren Sie zu \u201eVPN\u201c -> \u201eBOVPN Over TLS\u201c und aktivieren Sie BOVPN over TLS im Client Mode
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls7.png\")
<\/li>\n - Klicken Sie auf \u201eADD\u201c und f\u00fcllen die Felder entsprechend der Server-Box aus
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls8.png\")
<\/li>\n - Mit einem Klick auf \u201eEdit\u2026\u201c im Unterpunkt \u201eAdvanced Options\u201c k\u00f6nnen noch die Verschl\u00fcsselungseinstellungen angeglichen werden
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls9.png\")
<\/li>\n - Durch den in Punkt 3 gesetzten Haken bei \u201eAdd this tunnel to the BOVPN-Allow policies\u201c wird auch auf dem Client Ger\u00e4t die automatische Anpassung der Firewall Regeln vorgenommen. Je nach Wunsch kann das nat\u00fcrlich h\u00e4ndisch spezieller definiert werden.<\/li>\n<\/ol>\n
\u00dcberpr\u00fcfung der Verbindung im Firebox System Manager<\/h5>\n
\u00dcber den FSM k\u00f6nnen Sie den aktiven Tunnel sehen und mittels eines PINGs pr\u00fcfen. Es werden ebenfalls die entsprechenden Routen angezeigt.<\/p>\n
- \n
- T15W Remote
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls10.png\")
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls11.png\")
<\/li>\n - T35-W Zentrale
\n![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls12.png\")
![\"\"](\"https:\/\/www.boc.de\/watchguard-info-portal\/wp-content\/uploads\/2019\/06\/bovpn-over-tls13.png\")
<\/li>\n<\/ol>\nZusammenfassung<\/h4>\n
BOVPN over TLS ist eine einfache M\u00f6glichkeit um Standorte zu vernetzen. Seine St\u00e4rken spielt diese Technik besonders da aus, wo IP-SEC durch NAT oder dynamischen IPs nur schwer oder gar nicht umzusetzen sind.<\/p>\n
Beachten Sie:<\/p>\n
- \n
- BOVPN over TLS teilt sich die concurrent Lizenzen mit \u201eMobile SSL VPN Users\u201c<\/li>\n
- Die Performance gegen\u00fcber IP-SEC ist etwas geringer<\/li>\n
- Achten Sie bei der Wahl des Virtual IP Address Pool darauf, dass diese Range weder bei Client- noch bei Server-WatchGuard an einer anderen Stelle verwendet wird.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"
Seit Fireware 12.1 bietet WatchGuard die M\u00f6glichkeit, eine Standortvernetzung bequem \u00fcber TLS umzusetzen. Das Server-Client Modell spielt seine St\u00e4rken besonders dann aus, wenn keine statischen IP-Adressen vorhanden oder IP-SEC durch vorgelagerte Router nicht m\u00f6glich ist. Sie k\u00f6nnen also eine vorkonfigurierte Firewall an einen entsprechenden Au\u00dfenstandort liefern lassen und unabh\u00e4ngig vom ISP ben\u00f6tigt das Remote-Device nur eine WAN Verbindung via Port 443.<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[362],"tags":[11,148,273],"class_list":["post-7212","post","type-post","status-publish","format-standard","hentry","category-howto","tag-bovpn","tag-tls","tag-vpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/7212"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=7212"}],"version-history":[{"count":9,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/7212\/revisions"}],"predecessor-version":[{"id":7277,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/7212\/revisions\/7277"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=7212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=7212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=7212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- T15W Remote