Per Smartphone via VPN-Tunnel auf ein Web-IO

Standortübergreifender Zugriff, sichere Verbindung, einfache Konfiguration: In diesem Tutorial werden Sie Schritt für Schritt durch die Konfigurationen geleitet, die notwendig sind, um mit einem Smartphone auf ein Web-IO zuzugreifen.

Voraussetzungen:

• Die Microwall und das Web-IO sind komplett im Kunden-LAN bzw. der Web-IO-Insel mit den oben angegebenen Adressen in Betrieb genommen.

• Das Web-Based-Management der Microwall ist im Unternehmensnetz des Kunden erreichbar.

• Auf dem Android-Smartphone ist die Wireguard-App installiert (Die App findet man mit der Suche nach "wireguard" im Google Play Store - für Apple-Geräte auch im App Store verfügbar).

In dem hier beschriebenen Beispiel erfolgt zugunsten der Einfachheit die Konfiguration des VPN-Clients durch die Microwall. Enthalten ist hierbei auch der sensible Private-Key, welcher den Client authentifiziert. Für Umgebungen mit erhöhten Sicherheitsanforderungen sollte die Erzeugung des Keys daher auf dem Client selbst erfolgen und nur der unkritische Public-Key an die Microwall übergeben werden.

Die nötigen Schritte im Überblick:

1. VPN-Konfiguration von Microwall und Smartphone
2. Freigabe der VPN-Verbindung am Perimeter-Router
3. Firewall-Regel in der Microwall
4. Test der VPN-Verbindung

1. VPN-Konfiguration von Microwall und Smartphone

• Starten Sie im Kunden-LAN einen Browser, öffnen per https eine Verbindung zur Microwall und loggen sich ein.

• Navigieren Sie zur Seite "Home", zu "VPN-Server" und zu "VPN-Umgebung".

• Die “Virtuelle IP” des VPN-Servers bzw. der IP-Bereich des VPN-Tunnels ist weitestgehend frei wählbar. Sofern kein Konflikt mit den IP-Bereichen des Unternehmensnetz oder der Web-IO-Insel besteht, kann die Vorgabe der Microwall übernommen werden.

  

• Auf dem angegebenen UDP-Listenport erwartet der VPN-Server eingehende Verbindungen der VPN-Clients. Für die hier verwendete Port-Nummer muss am Perimeter-Router ein Adress-/Port-Forwarding auf die IP-Adresse der Microwall eingerichtet werden.

• Speichern Sie die Änderungen und navigieren Sie über "Home" und "VPN-Client" zu "Client-Inventar".

• Für die Einrichtung eines neuen VPN-Clients klicken Sie zunächst auf das Plus-Symbol. Für die hier beschriebene vereinfachte Inbetriebnahme, bei welcher die Client-Konfigurationsdatei von der Microwall erzeugt wird, aktivieren Sie den Schiebeschalter “Erweiterte Konfiguration” 1.

  

• Vergeben Sie die IP-Adresse des VPN-Clients aus dem Bereich des VPN-Tunnels 2 und wählen Sie einen Namen für den Client.

• Klicken Sie auf “KEYS ERZEUGEN” 3. Die Microwall erzeugt ein Public-/Private-Key-Paar für den VPN-Client. Der sensible Private-Key wird von der Microwall ausschließlich für die Erzeugung der Konfigurationsdatei des VPN-Clients verwendet und nur in diesem Dialog angezeigt. Er wird nicht gespeichert.

• Unter “Endpunkt (VPN Server)” 4 geben Sie die IP-Adresse und Portnummer an, unter welcher der VPN-Server aus dem Internet heraus erreichbar ist. Verfügt der Perimeter-Router des Kunden-LANs über eine statische öffentliche IP-Adresse, wird diese hier verwendet. Andernfalls muss der über einen dynamischen DNS-Anbieter reservierte Hostname angegeben werden.
  Alle übrigen Eingaben sind für diese Schnellinbetriebnahme bereits von der Microwall vorausgefüllt und müssen nicht geändert werden.

• Durch einen Klick auf den Button “QR-Code anzeigen” 5 wird die Konfigurationsdatei des VPN-Clients in Form eines QR-Codes auf dem Bildschirm angezeigt.

• Starten Sie auf dem Smartphone die WireGuard-App, betätigen den Plus-Button und wählen dann “VON QR-CODE SCANNEN”. Wenn der QR-Code gelesen wurde, vergeben Sie eine Namen für die Verbindung und klicken “Tunnel erstellen”.

• Schließen Sie den QR-Code auf der Microwall und klicken dann “Hinzufügen” 6, um die Erstellung des VPN-Clients abzuschließen. Zum Speichern klicken Sie in der folgenden Übersicht der VPN-Clients “Speichern”.

  

2. Freigabe der VPN-Verbindung am Perimeter-Router

• Zur Weiterleitung der vom Smartphone eingehenden VPN-Verbindung an die Mircrowall muss am Perimeter-/DSL-Router eine entsprechende Freigabe-Regel konfiguriert werden. Hierdurch werden aus dem Internet eingehende UDP-Pakete auf dem hier verwendeten Port 4444 an die Intranet-Adresse 192.168.10.200 der Mircorwall weitergeleitet.

• Beispiel FritzBox 7590:
  Unter “Internet", "Freigaben" und "Portfreigaben” klicken Sie “Gerät für Freigabe hinzufügen". Wählen Sie die Microwall mit der IP-Adresse 192.168.10.200 aus und klicken dann “Neue Freigabe”. Klicken Sie auf “OK” und dann auf “Übernehmen”, um die neue Freigabe in der FritzBox zu speichern.

  

3. Firewall-Regel in der Microwall

• Navigieren Sie über die Home-Seite und "VPN-Server" zu "VPN-Regeln". Für die Einrichtung einer neuen Freigabe-Regel klicken Sie zunächst auf das Plus-Symbol.

• Vergeben Sie einen frei wählbaren Namen für die Regel.

  

• Durch eine Klick auf die Richtungspfeile legen Sie fest, dass es sich um eine in die Web-IO-Insel eingehende Verbindung handelt.

• Unter “Quell-IP” wählen Sie das Smartphone aus. Unter Quell-Port tragen Sie “any” ein, da dieser Client-seitig vom System dynamisch bestimmt wird und nicht festgelegt werden kann.

• Unter “Ziel-IP” geben Sie die IP-Adresse des Web-IO ein (10.110.10.2). Als “Ziel-Port” geben Sie 80 als Default-Port für die Webseite des Web-IO an.

• Alle übrigen Einstellungen bleiben in diesem Beispiel auf den Standard-Vorgaben. Zum Beenden des Dialoges klicken Sie “Hinzufügen” und dann in der Inventarliste auf “Speichern”.

4. Test der VPN-Verbindung

• Klicken Sie in der WireGuard-App auf dem Smartphone auf den neu angelegten VPN-Tunnel und aktivieren die Verbindung über den Schiebeschalter. In der Zeile “Transfer” wird die Anzahl empfangener und gesendeter Daten angezeigt.

• Starten Sie einen Browser auf dem Smartphone. Über die Adresse http://10.110.10.2 gelangen Sie auf die Webseite des Web-IO.