Tutorial:
Per Smartphone via VPN-Tunnel auf ein Web-IO
Standortübergreifender Zugriff, sichere Verbindung, einfache Konfiguration: In diesem Tutorial werden Sie Schritt für Schritt durch die Konfigurationen geleitet, die notwendig sind, um mit einem Smartphone auf ein Web-IO zuzugreifen.
Voraussetzungen:
-
Die Microwall und das Web-IO sind komplett im Kunden-LAN bzw. der Web-IO-Insel mit den oben angegebenen Adressen in Betrieb genommen.
-
Das Web-Based-Management der Microwall ist im Unternehmensnetz des Kunden erreichbar.
-
Auf dem Android-Smartphone ist die Wireguard-App installiert (Die App findet man mit der Suche nach "wireguard" im Google Play Store - für Apple-Geräte auch im App Store verfügbar).
In dem hier beschriebenen Beispiel erfolgt zugunsten der Einfachheit die Konfiguration des VPN-Clients durch die Microwall. Enthalten ist hierbei auch der sensible Private-Key, welcher den Client authentifiziert. Für Umgebungen mit erhöhten Sicherheitsanforderungen sollte die Erzeugung des Keys daher auf dem Client selbst erfolgen und nur der unkritische Public-Key an die Microwall übergeben werden.
Die nötigen Schritte im Überblick:
1. VPN-Konfiguration von Microwall und Smartphone
-
Starten Sie im Kunden-LAN einen Browser, öffnen per https eine Verbindung zur Microwall und loggen sich ein.
-
Navigieren Sie zur Seite "Home", zu "VPN-Server" und zu "VPN-Umgebung".
-
Die “Virtuelle IP” des VPN-Servers bzw. der IP-Bereich des VPN-Tunnels ist weitestgehend frei wählbar. Sofern kein Konflikt mit den IP-Bereichen des Unternehmensnetz oder der Web-IO-Insel besteht, kann die Vorgabe der Microwall übernommen werden.
-
Auf dem angegebenen UDP-Listenport erwartet der VPN-Server eingehende Verbindungen der VPN-Clients. Für die hier verwendete Port-Nummer muss am Perimeter-Router ein Adress-/Port-Forwarding auf die IP-Adresse der Microwall eingerichtet werden.
-
Speichern Sie die Änderungen und navigieren Sie über "Home" und "VPN-Client" zu "Client-Inventar".
-
Für die Einrichtung eines neuen VPN-Clients klicken Sie zunächst auf das Plus-Symbol. Für die hier beschriebene vereinfachte Inbetriebnahme, bei welcher die Client-Konfigurationsdatei von der Microwall erzeugt wird, aktivieren Sie den Schiebeschalter “Erweiterte Konfiguration” 1.
-
Vergeben Sie die IP-Adresse des VPN-Clients aus dem Bereich des VPN-Tunnels 2 und wählen Sie einen Namen für den Client.
-
Klicken Sie auf “KEYS ERZEUGEN” 3. Die Microwall erzeugt ein Public-/Private-Key-Paar für den VPN-Client. Der sensible Private-Key wird von der Microwall ausschließlich für die Erzeugung der Konfigurationsdatei des VPN-Clients verwendet und nur in diesem Dialog angezeigt. Er wird nicht gespeichert.
-
Unter “Endpunkt (VPN Server)” 4 geben Sie die IP-Adresse und Portnummer an, unter welcher der VPN-Server aus dem Internet heraus erreichbar ist. Verfügt der Perimeter-Router des Kunden-LANs über eine statische öffentliche IP-Adresse, wird diese hier verwendet. Andernfalls muss der über einen dynamischen DNS-Anbieter reservierte Hostname angegeben werden.
Alle übrigen Eingaben sind für diese Schnellinbetriebnahme bereits von der Microwall vorausgefüllt und müssen nicht geändert werden. -
Durch einen Klick auf den Button “QR-Code anzeigen” 5 wird die Konfigurationsdatei des VPN-Clients in Form eines QR-Codes auf dem Bildschirm angezeigt.
-
Starten Sie auf dem Smartphone die WireGuard-App, betätigen den Plus-Button und wählen dann “VON QR-CODE SCANNEN”. Wenn der QR-Code gelesen wurde, vergeben Sie eine Namen für die Verbindung und klicken “Tunnel erstellen”.
-
Schließen Sie den QR-Code auf der Microwall und klicken dann “Hinzufügen” 6, um die Erstellung des VPN-Clients abzuschließen. Zum Speichern klicken Sie in der folgenden Übersicht der VPN-Clients “Speichern”.
2. Freigabe der VPN-Verbindung am Perimeter-Router
-
Zur Weiterleitung der vom Smartphone eingehenden VPN-Verbindung an die Mircrowall muss am Perimeter-/DSL-Router eine entsprechende Freigabe-Regel konfiguriert werden. Hierdurch werden aus dem Internet eingehende UDP-Pakete auf dem hier verwendeten Port 4444 an die Intranet-Adresse 192.168.10.200 der Mircorwall weitergeleitet.
-
Beispiel FritzBox 7590:
Unter “Internet", "Freigaben" und "Portfreigaben” klicken Sie “Gerät für Freigabe hinzufügen". Wählen Sie die Microwall mit der IP-Adresse 192.168.10.200 aus und klicken dann “Neue Freigabe”. Klicken Sie auf “OK” und dann auf “Übernehmen”, um die neue Freigabe in der FritzBox zu speichern.
3. Firewall-Regel in der Microwall
-
Navigieren Sie über die Home-Seite und "VPN-Server" zu "VPN-Regeln". Für die Einrichtung einer neuen Freigabe-Regel klicken Sie zunächst auf das Plus-Symbol.
-
Vergeben Sie einen frei wählbaren Namen für die Regel.
-
Durch eine Klick auf die Richtungspfeile legen Sie fest, dass es sich um eine in die Web-IO-Insel eingehende Verbindung handelt.
-
Unter “Quell-IP” wählen Sie das Smartphone aus. Unter Quell-Port tragen Sie “any” ein, da dieser Client-seitig vom System dynamisch bestimmt wird und nicht festgelegt werden kann.
-
Unter “Ziel-IP” geben Sie die IP-Adresse des Web-IO ein (10.110.10.2). Als “Ziel-Port” geben Sie 80 als Default-Port für die Webseite des Web-IO an.
-
Alle übrigen Einstellungen bleiben in diesem Beispiel auf den Standard-Vorgaben. Zum Beenden des Dialoges klicken Sie “Hinzufügen” und dann in der Inventarliste auf “Speichern”.
4. Test der VPN-Verbindung
-
Klicken Sie in der WireGuard-App auf dem Smartphone auf den neu angelegten VPN-Tunnel und aktivieren die Verbindung über den Schiebeschalter. In der Zeile “Transfer” wird die Anzahl empfangener und gesendeter Daten angezeigt.
-
Starten Sie einen Browser auf dem Smartphone. Über die Adresse http://10.110.10.2 gelangen Sie auf die Webseite des Web-IO.
-
Probieren geht über Studieren!
Gerne stellen wir Ihnen für den Zeitraum von vier Wochen eine Microwall kostenfrei zur Verfügung.
Testgerät anfordern -
Thomas Clever
t.clever@wut.de
Sie erreichen unsere Techniker telefonisch unter 0202/2680-110 (Mo-Fr. 8-17 Uhr)