...
Info |
---|
Wenn der Unified Firewall ein LANCOM Router vorgeschaltet ist, welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die UDP-Ports 500 und 4500 auf die WAN-IP-Adresse der Unified Firewall eingerichtet werden. Handelt es sich um einen Router eines anderen Herstellers, muss zusätzlich das Protokoll ESP an die Unified Firewall weitergeleitet werden. |
Vorgehensweise:
...
1.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.
1.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.
1.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
1.1.4 Passen Sie die folgenden Parameter an:
...
Hinweis |
---|
Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen. |
1.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Filiale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.100.0/24. - Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Zentrale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.200.0/24.
1.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:
...
Hinweis |
---|
Der Local und Remote Identifier dürfen nicht übereinstimmen! |
1.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Erstellen.
...
1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
- Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
- IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus.
- Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder bestimmte Netzwerke verwendet werden sollen.
1.3.3 Klicken Sie in dem in Schritt 1.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.
Info |
---|
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, das über die VPN-Verbindung kommunizieren soll. |
1.3.4 Weisen Sie über die "Plus-Symbole" die erforderlichen Protokolle der Verbindung zu und klicken auf Erstellen.
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
1.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.
...
2.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.
2.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.
2.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
2.1.4 Passen Sie die folgenden Parameter an:
...
Hinweis |
---|
Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen. |
2.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Zentrale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.200.0/24. - Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Filiale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.100.0/24.
2.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:
...
Hinweis |
---|
Der Local und Remote Identifier dürfen nicht übereinstimmen! |
2.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Erstellen.
2.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
- Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
- IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.1 erstellte VPN-Verbindung aus.
- Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder bestimmte Netzwerke verwendet werden sollen.
2.3.3 Klicken Sie in dem in Schritt 2.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.
Info |
---|
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll. |
2.3.4 Weisen Sie über die "Plus-Symbole" die erforderlichen Protokolle der Verbindung zu und klicken auf Erstellen.
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
2.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
2.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.
...