Vor ein paar Tagen rief mich ein Kollege (Grüße in den Norden) an, der sich gerade in Vorbereitung auf seine Securepoint UTM-Schulung samt Zertifizierung befindet. Da es ihm an Erfahrung mit diesem Produkt fehlt kamen solche Fragen wie z.B. “Wie kann ich das nun konfigurierte SSL-VPN testen?” auf.

Der (imho) einfachste Weg für solche und andere Tests mit überschaubarem Aufwand besteht darin, das Ganze mit virtuellen Maschinen zu machen. Dem zugute kommt, das man eine UTM-Lizenz sowohl auf realem Blech sowie als VM nutzen kann. Als Securepoint -Partner kann man dazu auf seine NFR zurückgreifen oder sich eine Demo- oder Notfall-Lizenz ausstellen (lassen). Möchte man das Ganze mit Hardware aufbauen, benötigt man neben einer physikalisch-vorhandenen UTM auch noch entsprechend viele PCs bzw. Server.

Das Thema kommt mir gerade sehr gelegen, da ich ebenfalls eine Test-Umgebung für meine kleine VPN-Serie (guckst du hier & hier) aufbauen muss. Daher nachfolgend (m)ein Konfigurationsbeispiel unter VirtualBox.

Der Testnetz-Aufbau

Bevor man drauflos installiert sollte man sich kurz Gedanken über den Aufbau machen. Für dieses Vorhaben werden drei virtuelle Maschinen benötigt:

  • 1x Securepoint UTM
  • 1x Virtueller Computer vor der UTM (in deren WAN-Netz)
  • 1x Virtueller Computer hinter der UTM (in deren LAN-Netz)

Das WAN der UTM sellt dabei das normale LAN, also das eigene Heim-/Firmennetz dar. Nachfolgend eine kleine Skizze dazu:

Selbstverständlich könnte man auch einen vorhandenen realen PC aus dem Heim-/Firmennetz für Zugriffsversuche via Port-Weiterleitungen und SSL-VPN nutzen. Damit man allerdings vor etwaigien Routing- oder sonstigen Problemen geschützt ist, bevorzuge ich einen virtuellen Test-PC. So kann bei all den Experimenten nichts schiefgehen.

Ein solcher hier skizzierter Aufbau ist nicht auf Securepoint’s UTM begrenzt. Im Grunde lassen sich so oder so ähnlich für alle virtualisierbaren Router Test-Umgebungen erstellen.

Securepoint UTM VM anlegen und konfigurieren

Zunächst erstellt man eine neue virtuelle Maschine für die UTM. Die Mindestanforderungen lauten:

  • CPU: min. 1 GHz / 1 Core
  • RAM: min. 1 GB
  • Massenspeicher: min. 4 GB

Dies ist allerdings nur das absolute Minimum das bereits mit Einschränkungen z.B. bei der Anzahl der nutzbaren Virenscanner einhergeht. Zum Thema Sizing kann man das Hersteller-Wiki konsultieren:

Securepoint – Wiki – UTM – Unterstützte Hardware

Die Firmware basiert auf Linux, daher bei “Typ” “Linux” und bei “Version” dann “Linux 2.6 / 3.x / 4.x (64-bit)” auswählen.

Für die geplante Netzwerkinfrastruktur werden zudem zwei virtuelle Netzwerkkarten benötigt:

  • 1x Netzwerkbrücke ins Heim-/Firmennetz (für die WAN-Schnittstelle der UTM, eth0)
  • 1x Internes Netz (das LAN der UTM, eth1).

Aus dem Reseller-Portal lädt man die “UTM v11 – Interaktive Installation ISO” herunterladen und “legt” dieses in die virtuelle Maschine ein.

Nun kann man die virtuelle Maschine starten und die Securepoint OS-Installation durchführen:

Securepoint – Wiki – UTM – Installation

Virtueller Test-Server einrichten

Damit man die UTM konfigurieren kann, ist mindestens ein Computer in deren LAN, also im internen Netz mit gleichem Namen notwendig. In diesem Szenario dient eine weitere virtuelle Maschine sowohl als Admin-PC als auch später als Ziel für z.B. eine Port-Weiterleitung zu einem Webserver oder als RDP-Endpunkt bei Nutzung von SSL- oder Clientless-VPN. Das dort verwendete Betriebssystem spielt keine wesentliche Rolle, lediglich das ein moderner aktueller Browser vorhanden sein sollte ist wichtig.

Per Vorgabe verwendet die UTM als IP-Adresse

192.168.175.1

Zu erreichen ist die Verwaltungsoberfläche mit einem Browser unter der URL

https://192.168.175.1:11115

Sozusagen ab Werk ist kein DHCP-Server in der UTM aktiv, daher ist es notwendig, dem virtuellen Test-Server bzw. Admin-PC eine feste IP-Adresse zu geben.

Die Securepoint UTM-Ersteinrichtung

Für die Erst-Einrichtung der UTM ist neben der IP-Adresse wichtig, die Lizenz in Form einer Datei zur Hand zu haben, denn ohne geht es nicht weiter!

Nach dem Lizenzteil startet man den Einrichtungsassistenten und folgt den Dialogen. Speziell für unsere Test-Umgebung hat man bei “Schritt 4 – Internet” nun die Wahl zwischen

  • “Ethernet mit statischer IP” (meine Empfehlung) oder
  • “Kabelmodem mit DHCP”.

Sobald die Erst-Einrichtung abgeschlossen und die UTM einmal durchgestartet ist kann man seine Wunsch-Konfiguration vornehmen und alles testen was man möchte.

An dieser Stelle sei jedem das Wiki des Herstellers ans Herz gelegt, da es viele Anleitungen und Erklärungen bietet und zudem übersichtlich sowie verständlich gestaltet ist:

Securepoint – Wiki – UTM

Das eine oder andere Thema findet sich zudem hier im Blog und für alles andere gibt es das Hersteller-eigene Support-Forum, die Kommentarfunktion hier, den Support und einen YouTube-Kanal.