Versionen im Vergleich

Alte Version 32

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Kommentar: zurückgeholt von v. 31

...

Info

Wenn der Unified Firewall ein LANCOM Router vorgeschaltet ist, welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die UDP-Ports 500 und 4500 auf die WAN-IP-Adresse der Unified Firewall eingerichtet werden. Handelt es sich um einen Router eines anderen Herstellers, muss zusätzlich das Protokoll ESP an die Unified Firewall weitergeleitet werden.

Beispiel-Szenario zur Konfiguration einer Site-to-Site VPN Verbindung mit Unifed FirewallsImage Modified


Vorgehensweise:

...

1.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.

Aufruf des Menüs zur Konfiguration der IPSec-EinstellungenImage Modified

1.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.

IPSec-Funktion in den Einstellungen aktivierenImage Modified

1.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Dialog zur Erstellung einer neuen VPN-Verbindung aufrufenImage Modified

1.1.4 Passen Sie die folgenden Parameter an:

...

Hinweis

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.

Neue IPSec VPN-Verbindung zur Filiale konfigurierenImage Modified

1.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Filiale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.100.0/24    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Zentrale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.200.0/24    .

Festlegen von lokalen und entfernten Netzwerken in der VPN-VerbindungImage Modified

1.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:

...

Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!

Festlegen der Authentifizierungs-Parameter in der VPN-VerbindungImage Modified

1.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Erstellen.

Festlegen des Routings in der VPN-VerbindungImage Modified


1.2 Erstellen des Routing-Eintrags für die VPN-Verbindung: 

...

1.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.

Dialog zum Erstellen eines Routing-Eintrags öffnenImage Modified

1.2.2 Klicken Sie auf das "Plus-Symbol", um einen neuen Routing-Eintrag zu erstellen.

Hinzufügen eines neuen Routing-Eintrags zum lokalen Netzwerk der FilialeImage Modified

1.2.3 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Ziel: Tragen Sie das Ziel-Netzwerk der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.200.0/24).

Erstellen eines neuen Routing-Eintrags zum lokalen Netzwerk der FilialeImage Modified

1.2.4 Klicken Sie auf Speichern.

Speichern des neuen Routing-EintragsImage Modified

1.2.5 Bestätigen Sie die Warnmeldung mit einem Klick auf Dennoch Speichern.

Bestätigen der Warnmeldung beim Speichern des neuen Routing-EintragsImage Modified


1.3 Erlauben der Kommunikation mittels Firewall-Regeln:

1.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Neues VPN-Netzwerk auf Desktop-Oberfläche der Firewall erstellenImage Modified

1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder bestimmte Netzwerke verwendet werden sollen.

Dialog zur Erstellung eines neuen VPN-NetzwerksImage Modified

1.3.3 Klicken Sie in dem in Schritt 1.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.

Info
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, das über die VPN-Verbindung kommunizieren soll.

Desktop-Oberfläche mit VPN-Netzwerk IconImage Modified

1.3.4 Weisen Sie über die "Plus-Symbole" die erforderlichen Protokolle der Verbindung zu und klicken auf Erstellen.

Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Konfiguration der VPN-Verbindung zwischen Zentrale und FilialeImage Modified Auswahl der erlaubten Dienste und ProtokolleImage Modified

1.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Aktivieren der geänderten Konfiguration im Desktop der FirewallImage Modified

1.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.

...

2.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.

Aufruf des Menüs zur Konfiguration der IPSec-EinstellungenImage Modified

2.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.

Aktivieren der IPSec-Funktion in den EinstellungenImage Modified

2.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Dialog zur Erstellung einer neuen VPN-Verbindung aufrufenImage Modified

2.1.4 Passen Sie die folgenden Parameter an:

...

Hinweis

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.

Neue IPSec VPN-Verbindung zur Zentrale konfigurierenImage Modified

2.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Zentrale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.200.0/24    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Filiale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.100.0/24    .

 Festlegen von lokalen und entfernten Netzwerken in der VPN-VerbindungImage Modified

2.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:

...

Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!

Festlegen der Authentifizierungs-Parameter in der VPN-VerbindungImage Modified

2.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Erstellen.

Festlegen des Routings in der VPN-VerbindungImage Modified


2.2 Erstellen des Routing-Eintrags für die VPN-Verbindung:

2.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.

Dialog zum Erstellen eines Routing-Eintrags öffnenImage Modified

2.2.2 Klicken Sie auf das "Plus-Symbol", um einen neuen Routing-Eintrag zu erstellen.

Hinzufügen eines neuen Routing-Eintrags zum lokalen Netzwerk der ZentraleImage Modified

2.2.3 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die in Schritt 2.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
  • Ziel: Tragen Sie das Ziel-Netzwerk in der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.100.0/24).

Erstellen eines neuen Routing-Eintrags zum lokalen Netzwerk der ZentraleImage Modified

2.2.4 Klicken Sie auf Speichern.

Speichern des neuen Routing-EintragsImage Modified

2.2.5 Bestätigen Sie die Warnmeldung mit einem Klick auf Dennoch Speichern.

Bestätigen der Warnmeldung beim Speichern des neuen Routing-EintragsImage Modified


2.3 Erlauben der Kommunikation mittels Firewall-Regeln:

2.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Neues VPN-Netzwerk auf Desktop-Oberfläche der Firewall erstellenImage Modified

2.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
  • Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.1 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder bestimmte Netzwerke verwendet werden sollen.

Dialog zur Erstellung eines neuen VPN-NetzwerksImage Modified 

2.3.3 Klicken Sie in dem in Schritt 2.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.

Info

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

Desktop-Oberfläche mit VPN-Netzwerk IconImage Modified

2.3.4 Weisen Sie über die "Plus-Symbole" die erforderlichen Protokolle der Verbindung zu und klicken auf Erstellen.

Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Konfiguration der VPN-Verbindung zwischen Filiale und ZentraleImage Modified Auswahl der erlaubten Dienste und ProtokolleImage Modified

2.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Aktivieren der geänderten Konfiguration im Desktop der FirewallImage Modified

2.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.

...