Einrichtung WatchGuard SSL-VPN Client

Die WatchGuard Mobile VPN-SSL-Software erlaubt es dem Benutzer, eine verschlüsselte Verbindung zur vorkonfigurierten WatchGuard Firebox aufzubauen, zu trennen und Informationen über die Verbindung anzuzeigen. Der WatchGuard Mobile VPN mit SSL-Client fügt ein Icon in der Taskleiste von Windows oder ein Symbol in der Menüleiste des Mac OS X hinzu. Benutzen Sie dieses Symbol um die Client-Software zu steuern.

Um den Mobile SSL-VPN Client zu verwenden , müssen Sie:
1. Die Systemanforderungen überprüfen
2. Die Client-Software laden
3. Die Client-Software installieren
4. Die Verbindung zu Ihrem privaten Netzwerk aufbauen.

Wenn ein Benutzer sich nicht an der WatchGuard Firebox anmelden darf, oder die Installationsdatei nicht downloaden kann, können Sie die Mobile VPN mit SSL-Client-Software und die Konfigurationsdatei manuell verteilen und installieren.

Dies ist eine Anleitung zur Installation der Clientsoftware auf Benutzer-Arbeitsplätzen mit Windows, MacOS oder Android und hat erst einmal NICHTS mit Site-to-Site VPN-Verbindungen zu tun, obwohl diese auch per SSL-VPN möglich sind. Es beschreibt auch nicht die Einrichtung einer MUVPN-Verbindung auf der Watchguard Firebox. Für eine Beratung zu den unzähligen Möglichkeiten VPN Tunnels zwischen zwei Firewalls oder den verschiedenen Möglichkeiten Movile-User-VPN wie SSL-VPN, L2TP, IKEv2 aufzubauen, kontaktieren Sie bitte unseren Watchguard-Support Tel 08382/9479825. Hier legen wir gemeinsam mit Ihnen die optimale Methode für Ihre Site-to-Site- oder Mobile-User-VPN-Verbindungen fest und richten diese per TeamViewer zusammen ein.

1. Anforderungen an den Client-Computer

Sie können die SSLVPN-Client-Software auf Computern mit diesen Betriebssystemen benutzen:
■ Microsoft Windows 11, 10, 8, 7 (eingeschränkt auch mit Vista, XP)
■ OSX / MacOS 10.6 Snow Leopard - 10.13 High Sierra

Wenn der Client-Computer Windows Vista oder Windows XP installiert hat, müssen Sie sich mit einem Konto mit Administratorrechten an der SSLVPN-Client-Software anmelden. Es sind keine Administratorrechte erforderlich, um eine Verbindung aufzubauen, nachdem SSL-Client installiert und konfiguriert wurde. In Windows XP Professional, muss der Benutzer ein Mitglied der Gruppe Netzwerkkonfigurations-Operatoren sein.

Wenn der Client-Computer Mac OS X installiert hat, sind Administratorrechte erforderlich zur Installation oder zur Verbindung über den SSL-Client notwendig.

2. Laden Sie die Client-Software herunter

1. Verbinden Sie zur Firewall-Adresse mit einem Webbrowser:
https://IP-Adresse-Firebox/sslvpn.html. Zum Beispiel auf der externen IP-Adresse 50.50.50.50 laden Sie den Client wie folgt herunter: https://50.50.50.50/sslvpn.html

Wenn Sie SSL-VPN im Firebox System Manager über einen anderen Port als den Standard-Port 443 konfigurieren haben, (weil auf dem Port z.B. schon MS OWA läuft), geben Sie zusätzlich einen Doppelpunkt und die Port-Nummer ein. Zum Beispiel den Port 446 auf der externen IP-Adresse 50.50.50.50.laden Sie den Client wie folgt herunter: https://50.50.50.50:446/sslvpn.html

2. Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich bei der Firebox zu authentifizieren.
Die SSL-VPN-Client-Download-Seite erscheint.

3. Klicken Sie auf den Download-Button für die Installation, welche Sie verwenden möchten. Es gibt drei Versionen: Eine für Windows (WG-MVPN-ssl_version.exe), eine für Mac OS X (WG-MVPN-SSL_version.dmg) und ein Mobile VPN with SSL client profile, eine .ovpn Einstellungsdatei für Open VPN Clients.

4.Speichern Sie die jeweils benötigte Datei auf Ihrem Desktop oder in einen anderen Ordner Ihrer Wahl.

3. Installieren Sie die Client-Software

Für Microsoft Windows:

1. Doppelklicken Sie auf die herutergeladene "WG-MVPN-ssl.exe"-Datei. Die Mobile VPN mit SSL-Client-Setup-Assistent wird gestartet.
2. Übernehmen Sie die Standard-Einstellungen für jedes Fenster des Assistenten.
3. Wenn Sie ein Desktop-Symbol oder ein Quick Launch Icon hinzufügen möchten, aktivieren Sie das Kontrollkästchen im Assistenten. Ein Desktop- oder Quick Launch icon ist jedoch nicht unbedingt erforderlich.
4. Klicken Sie auf "Finish" und den Assistenten beenden.

Für Mac OS X:

1. Doppelklicken Sie auf "WG-MVPN-SSL.dmg". Ein Volume mit dem Namen "WatchGuard Mobile VPN" wird auf dem Desktop erstellt.
2. Im "WatchGuard Mobile VPN" Volumen, doppelklicken Sie auf "WatchGuard Mobile VPN mit SSL Installer V15.mpkg". Das Client-Installationsprogramm wird gestartet.
3. Übernehmen Sie die Standardeinstellungen auf jedem Bildschirm des Installers.
4. Klicken Sie auf "Finish" und beenden Sie das Installationsprogramm.

Nach dem Herunterladen und Installieren der Client-Software, stellt die Mobile VPN Client-Software automatisch eine Verbindung zum Firebox oder XTM-Gerät her. Jedes Mal, wenn Sie eine Verbindung zu der Firebox oder XTM herstellen, prüft die Client-Software auf Konfigurations-Updates.

4. Verbinden Sie in Ihr privates Netzwerk

Für Microsoft Windows:

1. Klicken Sie auf:
"Start-Menü" > "Alle Programme" > "WatchGuard"> "Mobile VPN mit SSL-Client" > "Mobile VPN mit SSL-Client"

2. Geben Sie die IP-Adresse oder den Hostnamen, für das Gerät mit dem Sie eine Verbindung herstellen möchten, an und geben Sie den Benutzernamen (evtl mit dem benutzten Authentifizierungs-Server wenn die Benutzer nicht in der SSLVPN-Users Gruppe ist) und das Kennwort ein.
Der Server ist die IP-Adresse der primären externen Schnittstelle der Firewall. Wenn Sie Mobile VPN mit SSL, konfigurieren haben, um einen anderen Port als den Standard-Port 443 zu verwenden (weil auf dem Port z.B. schon MS OWA läuft), geben Sie zusätzlich einen Doppelpunkt und die Port-Nummer ein. Zum Beispiel, wenn Mobile VPN mit SSL konfiguriert ist, den Port 446 nutzen, und die primäre externe IP-Adresse 50.50.50.50.lautet, so ist der Server 50.50.50.50:446.

3. Geben Sie (ab Version 11.7) an, ob diese Verbindung gespeichert werden soll. Bedenken Sie dabei, dass es einerseits sehr bequem ist, die Verbindung nicht neu eingeben zu müssen, andererseits ist es aber, gerade bei mobilen Geräten, sehr gefährlich.

4. Klicken Sie auf "Connect".

Für Mac OS X:

1. Öffnen Sie ein Finder-Fenster. Gehen Sie zu "Anwendungen"> "WatchGuard" und doppelklicken Sie auf die "WatchGuard Mobile VPN mit SSL"-Anwendung.
2. Klicken Sie auf das Symbol in der Menüleiste und wählen Sie Connect.
3. Geben Sie die Informationen für die Firewall, zu der Sie eine Verbindung herstellen möchten an, so wie den Benutzernamen und das Kennwort.
Der Server ist die IP-Adresse der primären externen Schnittstelle der Firewall. Wenn Sie Mobile VPN mit SSL, konfigurieren haben, um einen anderen Port als den Standard-Port 443 zu verwenden, geben Sie zusätzlich einen Doppelpunkt und die Port-Nummer ein. Zum Beispiel, wenn Mobile VPN mit SSL konfiguriert ist, den Port 446 nutzen, und die primäre externe IP-Adresse 50.50.50.50 lautet, so ist der Server 50.50.50.50:446.
4. Klicken Sie auf Connect.

Die SSL-Client-Benutzer müssen ihre Anmeldeinformationen eingeben. Mobile VPN mit SSL unterstützt keine Single Sign-On (SSO) Dienste. Wenn die Verbindung zwischen dem SSL-Client und der Firewall vorübergehend verloren geht, versucht der SSL-Client die Verbindung wieder herzustellen.

Mobile VPN mit SSL Client Steuerung

Wenn der Mobile SSL-VPN Client läuft, erscheint das WatchGuard SSL-VPN-Symbol in der Taskleiste (Windows) oder auf der rechten Seite der Menüleiste (Mac OS X). Der VPN-Verbindungsstatus wird durch die Farbe des Lupen-Symbols angezeigt.
schwarz: Die VPN-Verbindung ist nicht aufgebaut.
dunkelgrün: Die VPN-Verbindung ist hergestellt. Sie können sicher auf Ressourcen hinter der Firewall zugreifen.
hellgrün: Verbindungsaufbau oder -trennung.

Um die Client-Steuerelemente zu sehen, klicken Sie mit der rechten Maustaste auf das Mobile SSL-VPN Symbol . Sie können die folgenden Aktionen auswählen:

Connect/Disconnect (Verbinden / Trennen)
Starten oder Stoppen des SSL VPN-Verbindung.

View Logs (Protokolle anzeigen)
Öffnen der Verbindungs-Protokoll-Datei. Das ist sehr hilfreich bei der Fehlersuche.

Properties (Eigenschaften)
Zeigt Informationen über die SSL-VPN-Verbindung und Details zu den Protokoll-Dateien

About (Über)
Das WatchGuard Mobile VPN Statusfeld mit Informationen über die Client-Software.

Exit/Quit (Beenden)
Trennt die Verbindung mit der Firewall und schaltet den Client ab.

Problembehebung

In der WatchGuard Konfigurationsdatei, und insbesondere bei Passwörtern, Pre-Shared Keys etc. darf nur der Zeichensatz US-ASCII 7 bestehend aus Buchstaben, Zahlen und den Sonderzeichen !#$%&()*+,-.:;<=>@[\]_{} benutzt werden, insbesondere ist auf die Verwendung von ä,ö,ü,ß und Sonderzeichen wie €, ~ oder § zu verzichten.
Wenn Benutzer-Authentifizierung gegenüber Active Directory verwendet wird, muss diese Regel auch beim Anlegen der AD/Windows-Kennwörter angewandt werden.
Der WatchGuard SSLVPN-Client in der Version 11.x funktioniert nicht mit einer Fireware der Version 10.x. Der automatische Download des Config-Files funktioniert ebenfalls nicht, da sich in der Fireware XTM 11.x Datei-Pfade geändert haben. Allen Benutzern, die einen 11.x Client benutzen wollen, müssen auf der WatchGuard Firebox auch eine Fireware 11.x einsetzen.
Nach dem Update von XTM v11.1 auf 11.2 können teilweise mobile SSL-Benutzer keine Verbindung mehr über den WatchGuard SSL VPN Client 11.1 aufbauen. Es erscheint die Fehlermeldung: "Could not download the configuration file". Hier sind neben den "signed"-SSLVPN-Zertifikaten noch hängige Zertifikate mit dem Status "pending" aufgelistet, welche die gültigen Zertifikate blockieren. Die "pending" Zertifikate werden gelöscht indem man im "Firebox System Manager" unter "View -> Certificates..." die Pending-Zertifikate anklicken und mit "Delete" entfernt. Anschließend muss die Firewall neu gestartet werden.
In seltenen Fällen kann nach dem Upgrade der Firewall XTM Firmware ebenfalls der Fehler "Could not download the configuration file" auftreten. In der "Authentication List" der Firewall steht dann eine IP-Adresse von 0.0.0.0. Hier hilft eine Deinstallation des Clients. Eine komplette Löschung des Client-Verzeichnisses und eine Neuinstallation des Clients.

Verbindung von Android mit OpenVPN an WatchGuard SSLVPN

Die SSLVPN Verbindung zur WatchGuard funktioniert wunderbar, da OpenVPN ausgereift ist und voll angenommen wird.

Das Setup ist nachfolgend aufgeführt - und kann je nach Konfiguration und Einstellungen etwas variieren:

Ausgegangen wird von einer WatchGuard Firebox mit einer Fireware-XTM Version ab 11.6.3
Ein WatchGuard SSL VPN Client ist bereits konfiguriert und arbeitet unter Windows 7, 8 oder 10.

"Mobile VPN with SSL"-Einstellungen auf der WatchGuard Firebox Firewall:

SHA256-Authentifizierung
AES-256-Verschlüsselung
TCP-Protokoll
Port 443
Routed VPN traffic (Bridged Traffic wird unter Android nicht unterstützt)

Android Voraussetzungen:

Mindestens Version 4.1
Laden Sie die OpenVPN für Android aus dem Play Store herunter und installieren Sie diesen. (keine root erforderlich)

Laden Sie das Mobile VPN with SSL client profile, als .ovpn Einstellungsdatei für Open VPN Clients von der Firebox herunter, wie oben beschrieben.

OpenVPN für Android .ovpn Import Öffnen Sie OpenVPN für Android und tippen Sie im Hauptmenü auf das (+) um ein SSL Client Profil zu importieren. Tippen Sie auf "Import" und wählen Sie Ihr .ovpn-File aus. Geben Sie einen sinnvollen Namen für die Verbindung für das Profil an. (z.B. Meine-Firma-VPN) Mit diesem Namen wird dann Ihre Verbindung im Hauptmenü angezeigt. Durch das .ovpn-File werden alle notwendigen Einstellungen und das Zertifikat importiert.

Tippen Sie auf "Zuück" und Ihre neue Verbindung wird angezeigt. Tippen Sie auf die Verbindung und geben Sie Ihren Benutzernamen und Ihr Passwort ein. Wenn alles gut geht, laufen die Verbindungs-Protokolle über den Bildschirm und Sie werden am Ende eine Benachrichtigung erhalten, dass die VPN Verbindung aufgebaut ist.

Wenn die Verbindung schief geht, aktivieren Sie einen erhöhten "LogDetailLevel" unter "Erweitert" und konfigurieren Sie im Firebox System Manager unter "Setup" -> "Logging" -> "Diagnostic Log level" -> "VPN" -> "SSL" einen Debug Log Level. Mit den auf beiden Seiten erhaltenen Logs kommt man normalerweise ziemlich schnell auf die fehlerhafte Einstellung.

Mobile-User-VPN Einrichtungs-Support für die Watchguard Firebox

Für eine Unterstützung bei der Einrichtung auf der Watchguard Firebox kontaktieren Sie bitte unseren Support Tel 08382/9479825. Hier legen wir gemeinsam mit Ihnen die optimale Methode für Ihre VPN-Verbindungen fest und richten diese per TeamViewer zusammen ein.

GepaNet GmbH: Ihr WatchGuard Gold Partner

GepaNet GmbH ist einer von 19 WatchGuard Gold Partnern in ganz Deutschland. Die WatchGuard Gold Partnerschaft ist die höchste Qualifizierungsstufe, die ein WatchGuard Authorized Reseller bei WatchGuard erreichen kann. Wir konfigurieren und implementieren täglich WatchGuard-Produkte (und eine Vielzahl anderer Firewalls unterschiedlicher Hersteller) bei unseren mittelständischen und großen, internationalen Kunden. Deshalb können wir ein sehr breites Spektrum an Know-how vorweisen. Bestätigte Referenzen aus einer Vielzahl erfolgreicher Firewall- und WLAN-Projekte aller Größen nennen wir Ihnen gerne auf Anfrage. Werden auch Sie ein zufriedener WatchGuard-Kunde bei GepaNet GmbH.

Mit unserem umfangreichen Schulungs-Angebot zum Thema „Sicherheit“ bereiten wir IT-Profis auf mögliche Gefahren und Angriffe im Web vor und bieten zahlreiche bewährte Lösungsmodelle an. Die Kurse fangen mit der Grundkonfiguration der WatchGuard Firewalls und der Fireware XTM an und führen bis in Detail mit erweiterten Funktionen wie Multi-WAN, VLAN, FireCluster, AD-Authentifizierung, Managementserver, AccessPoint-Einbindung und VPN ein. Die Kurse bestehen aus Theorie-Teilen gefolgt von „Hands-On“ Elementen die das vermittelte Wissen vertiefen. Alle WatchGuard Schulungen und Workshops, führten wir auch ganz individuell in Ihren eigenen Räumen, einem Hotel oder Veranstaltungsraum in Ihrer Nähe durch. Wir stellen dazu nach Absprache auch WatchGuard AccessPoints oder Firebox Firewalls für Hands-On-Training und die erforderliche Präsentationstechnik zur Verfügung. Im Rahmen der Workshops kann individuell auf Ihre bestehende oder geplante Netzwerk-Infrastruktur eingegangen werden. Viele Kunden haben bereits eine ein- bis dreitägige Individual-Schulung gebucht, bei der dann die neu gekaufte WatchGuard Firebox Infrastruktur inklusive AccessPoint Struktur für den Produktivbetrieb vorbereitet und in Betrieb genommen wurde.

WatchGuard Firewall		Beschreibung
WatchGuard Firebox T20 -W WatchGuard Firebox T40 -W		WatchGuard Firebox T20 5 Benutzer 154 Mbps UTM WatchGuard Firebox T40 20 Benutzer 300 Mbps UTM Die -W Modelle unterstützen Wireless 802.11 a/b/g/n
WatchGuard Firebox T80		WatchGuard Firebox T80 50 Benutzer 631 Gbps UTM optionaler SFP+ Moduleinschub für 10GbE
WatchGuard Firebox M270 WatchGuard Firebox M370 WatchGuard Firebox M470 WatchGuard Firebox M570 WatchGuard Firebox M670		WatchGuard Firebox M270 70 Benutzer 1,6 Gbps UTM WatchGuard Firebox M370 200 Benutzer 2,6 Gbps UTM WatchGuard Firebox M470 400 Benutzer 3,1 Gbps UTM WatchGuard Firebox M570 750 Benutzer 4,4 Gbps UTM WatchGuard Firebox M670 1000 Benutzer 5,4 Gbps UTM
WatchGuard Firebox M290 WatchGuard Firebox M390 WatchGuard Firebox M590 WatchGuard Firebox M690		WatchGuard Firebox M290 75 Benutzer 1,1 Gbps UTM WatchGuard Firebox M390 250 Benutzer 2,4 Gbps UTM WatchGuard Firebox M590 500 Benutzer 3,3 Gbps UTM WatchGuard Firebox M690 850 Benutzer 4,6 Gbps UTM
WatchGuard Firebox M4800 WatchGuard Firebox M5800		WatchGuard Firebox M4800 2500 Benutzer 50Gbps FW WatchGuard Firebox M5600 10000 Benutzer 60 Gbps FW
WatchGuard FireboxV WatchGuard Firebox Cloud		WatchGuard FireboxV virtuelle Firewall für VMware, MS Hyper-V oder KVM Hypervisor. WatchGuard Firebox Cloud für Ihre AWS und Azure Cloud.
WatchGuard WiFi 5 APs WatchGuard AP1255 WatchGuard AP225W WatchGuard AP325 WatchGuard AP420		Unter WSM zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP125, AP225W, AP325, AP420: die sichersten 802.11ac Wave2 AccessPoints.
WatchGuard WiFi 6 APs WatchGuard AP130 WatchGuard AP330 WatchGuard AP430CR		Unter WatchGuard Cloud zentral administrierbare WatchGuard WLAN Access Points mit hoher Firewall-Sicherheit. WatchGuard AP130, AP330, AP430CR: die schnellsten und sichersten WiFi 6 AccessPoints.
WatchGuard Promo Trade-Up Programm Trade-In Programm		Sie möchten ein größeres Modell? Oder einen anderen Hersteller wie Fortinet, Sophos, Sonicwall,... ablösen und mit WatchGuard Trade-In zur supergünstigen Firewall?
GepaNet WatchGuard Dienstleistungen
WatchGuard Schulung WatchGuard Training		Training, Schulung, Einrichtungs-Workshops, Zertifizierungs-Kurse mit zugelassenen WatchGuard Trainern. WatchGuard Certified Training Partner (WCTP)
WatchGuard Support		Sicherheitsberatung, Inbetriebnahme, Regeländerungen und Problembehebung durch ausgebildete, technische WatchGuard-Supporter
Managed Security Service MSSP		Zentrale Verwaltung durch GepaNet MSSP. Administration, Regeländerungen, Pflege der VPN Struktur, Installation von Security Hotfixes, Update Service, Logging, Log-Auswertung, Reporterstellung, Backup, Restore, Hardwareservice, usw.
WatchGuard Subscription Services
WatchGuard FireCluster		Hochverfügbarkeit durch zweite Cluster-Firewall mit HA-Promo.
WatchGuard Lizenzen		WatchGuard Subscription Services; Standard Support, Basic Security Suite, Total Security Suite und Software-Updates.
WatchGuard APT Blocker		WatchGuard APT: Abwehr von Advanced Persistent Threats und unbekannter Malware.
WatchGuard Mobile Security		Mobile Security: Schutz für Android und iOS.
WatchGuard Dimension		WatchGuard Dimension: Visualisierung und optionale Verwaltung über Dimension Command.
WatchGuard TDR		TDR: Bedrohungsanalyse und Abwehrkorrelation zwischen Firewall und Endpoints.
WatchGuard DNSwatch		DNSWatch verringert Infektionen durch Schadsoftware, indem bösartige DNS-Anforderungen blockiert werden.
WatchGuard AccessPortal		Zentraler Zugangspunkt für gehostete Anwendungen und sicherer, clientloser Zugriff auf interne Ressourcen.
WatchGuard IntelligentAV		Signaturlose Anti-Malware mit künstlicher Intelligenz zur automatischen Erkennung von Zero-Day-Schadsoftware.
WatchGuard AuthPoint		Multifaktor Authentifizierung: Push, OTP oder QR-Code.
WatchGuard System Manager (WSM)		Zentrale Firewall-Verwaltung. Die Konfiguration und VPN Struktur wird zentral, einfach verwaltet und verteilt.
Panda Security		100% Malware Erkennung und Beseitigung.
WatchGuard Endpoint Security		WatchGuard Endpoint Security: Schützt Sie vor jedem endpoint Angriff von bekannter und unbekannter Malware.

_{GepaNet GmbH >>
Services >>
Tipps und Tricks >>
WatchGuard SSL VPN
Client}