Your browser either does not support JavaScript or you have turned JavaScript off.

Einfache VPN-Konfiguration über Shell-Script

KB-3238   |   Konfigurationsbeispiel   |   Erstellt am 05.05.2011   |   Letzte Aktualisierung: 14.09.2018

Die Arbeit von zu Hause aus bietet viele Vorteile, erfordert aber eine funktionierende IT-Infrastruktur, die den sicheren Zugriff auf wichtige Geschäftsdaten gewährleistet. Die Zyxel ZyWALL USG-Serie ermöglicht dank automatisch generierter Shell-Scripts die komfortable Übertragung von VPN-Einstellungen auf die Firewall im Home-Office.

VPN-Einrichtung mit Wizard

Mit Hilfe des Wizards gelingt das Einrichten der VPN-Regel auf der Geschäfts-Firewall auf Anhieb. Die meisten Mitarbeitenden im Home- Office nutzen einen normalen Internetzugang mit dynamisch zugewiesener WAN-IP. Auf der Geschäfts-Firewall bietet sich daher die Option «Remote Access (Server Role)» des Wizards an. Bei dieser Variante wird nur eine einzige VPN-Regel für alle externen Heimnetzwerke benötigt.

 

XX vpn wizard setup jpg

 

In einem zweiten Konfigurationsschritt fragt die Firewall nach weiteren Netzwerkinformationen. Die «Local Policy» entspricht dem lokalen Firmennetzwerk und defi niert später auf der Firewall im Heimnetzwerk das Zielnetz, welches über den VPN-Tunnel erreichbar ist. Die «Remote Policy» muss nicht näher defi niert werden. Der VPN-Tunnel akzeptiert so Verbindungsanfragen unabhängig vom gewählten Subnetz im Heimnetzwerk. Die einzige Bedingung ist, dass jedes Heimnetzwerk ein anderes Subnetz verwendet.

Automatisch generiertes VPN-Script

Im nächsten Schritt zeigt der Wizard eine Zusammenfassung der Einstellungen sowie ein Textfeld mit einem Script für die Konfiguration der Firewall auf der Gegenseite. Die im Script aufgeführten Befehle entsprechen exakt den Kommandozeilen-Eingaben, welche für das manuelle Einrichten einer VPN-Verbindung über das CLI erforderlich wären.

Die Zeile «PLEASE REMOVE THIS LINE» verhindert ein versehentliches Ausführen der Datei und kann vor dem Übernehmen auf der Gegenstelle entfernt oder mit einem vorangestellten # als Kommentar markiert werden. Damit die Firewall die Datei als Script erkennt, muss sie mit der Dateiendung .zysh vorliegen.

VPN-Konfiguration per Script

Um das angepasste Script im Home-Office auszuführen, wird die Datei über das Menü Maintenance > File Manager > Shell Script > Upload Shell Script geladen. Nach dem Markieren der Datei führt ein Klick auf «Apply» das Script aus. Dieses wird nun im Hintergrund Zeile für Zeile ausgeführt und erstellt so sämtliche Adress-Objekte und VPN-Einstellungen. Der Log-Eintrag gibt dabei Auskunft über die korrekte Ausführung.

Das Home-Office ist nun für den direkten Zugriff auf das Firmennetzwerk eingerichtet. Ein Ping auf eine bekannte Adresse im Netzwerk gibt an, ob die Verbindung erfolgreich hergestellt werden kann. Ist die Verbindung erfolgreich, hat ein Notebook im Home-Office nun den gleichen Zugriff wie ein Rechner, der direkt ans Firmennetzwerk angeschlossen ist.