Versionen im Vergleich

Alte Version 3

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Seiteneigenschaften


Description:

Unified Firewalls verwenden immer die IP-Adresse auf dem ersten aktiven Interface (in der Regel eth0) als Absende-Adresse, um mit einem internen Dienst mit einem per IKEv2-Verbindung angebundenen Gerät zu kommunizieren. Wenn auf dem ersten aktiven Interface eine IP-Adresse vergeben ist, welche nicht Teil der VPN-Regeln ist (häufig ist auf eth0 z.B. die Internet-Verbindung eingerichtet), können die Daten nicht über die VPN-Verbindung geschickt werden und die Kommunikation ist nicht möglich.

Damit die Kommunikation zu dem externen Gerät funktioniert, müssen die für das externe Gerät bestimmten Pakete auf der Unified Firewall mit einer IP-Adresse maskiert werden, welche Teil der VPN-Regeln ist.

always use the IP address of the first active interface (usually eth0) as the sender address when using an internal service to communicate with a device connected via IKEv2. If the IP address assigned to the first active interface is not included in the VPN rules (e.g. the Internet connection is often set up on eth0), data cannot be sent over the VPN connection and communication is not possible.

In order to enable communications with the external device, the Unified Firewall must mask the packets intended for the external device with an IP address that is included in the VPN rules.

This article describes how to set up masking to the external device and so enable communications againIn diesem Artikel wird beschrieben, wie die Maskierung zum externen Gerät eingerichtet wird, damit die Kommunikation wieder möglich ist.


Requirements:

  • LANCOM R&S®Unified Firewall ab as of LCOS FX 10.12
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
  • Bereits eingerichtete und funktionsfähige IKEv2-Verbindung
  • A configured and functional Internet connection on each Unified Firewall
  • Functional IKEv2 connection
  • Web browser for configuring the Unified Firewall.

    The following browsers are supportedWeb-Browser zur Konfiguration der Unified Firewall.
    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

Scenario:

Zwei Two Unified Firewalls sind per IKEv2-Verbindung miteinander verbunden:are interconnected via an IKEv2 connection:

  • The local network at the headquarters has the IP address range Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.100.0/24.
  • Das lokale Netzwerk der Filiale hat den IP-Adressbereich The local network at the branch office has the IP address range 192.168.200.0/24 mit der IP-Adresse including the IP address 192.168.200.254.
  • In der Zentrale gibt es einen Syslog-Server mit der IP-Adresse At the Headquarters, there is a syslog server with the IP address 192.168.100.100.
  • Die Unified Firewall in der Filiale soll ihre Syslog-Daten an den Syslog-Server in der Zentrale senden.
  • The Unified Firewall at the branch office should send its syslog data to the syslog server at the headquarters.
  • To enable communications between the Unified Firewall at the branch office and the syslog server, the packets sent to the syslog server must be masked behind the local IP address of the Unified Firewall at the branch office Damit die Kommunikation zwischen der Unified Firewall in der Filiale und dem Syslog-Server funktioniert, müssen die Pakete in Richtung des Syslog-Servers hinter der lokalen IP-Adresse der Unified Firewall in der Filiale (192.168.200.254) maskiert werden.


Image RemovedImage Added

...


Procedure:

1. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum ) In the menu bar for the desktop objects, click on the icon to create a new network.

2. Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Create:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk-Objekt (in diesem Beispiel Enter a descriptive name for the network object (in this example Unified-Firewall).
  • Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das tatsächlich verwendete erste aktive Interface in jedem Szenario anders sein kannFrom the drop-down menu, select the option any. This makes sense because the actual first active interface may be different.
  • Network IP: Tragen Sie die Adresse 0.Enter the address 0.0.0/0 ein. Dies ist sinnvoll, da die IP-Adresse des ersten aktiven Interfaces gegebenenfalls dynamisch zugewiesen wird (DHCP bzw. . This makes sense because the IP address of the first active interface may be assigned dynamically (DHCP or PPPoE).

3. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum ) In the menu bar for the desktop objects, click on the icon to create a new host.

4. Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Create:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Host-Objekt (in diesem Beispiel Enter a descriptive name for the host object (in this example Syslog-Server).
  • Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das Interface, dem das lokale Netzwerk zugewiesen ist (für welches auch VPN-Regeln existieren) in jedem Szenario anders sein kannFrom the drop-down menu, select the option any. This makes sense because the interface that the local network is assigned to (for which VPN rules also exist) can differ between scenarios.
  • Network IP: Tragen Sie die IP-Adresse des Gerätes ein, mit dem die Unified Firewall über den VPN-Tunnel kommunizieren soll (in diesem Beispiel Enter the IP address of the device that the Unified Firewall should communicate with via the VPN tunnel(in this example 192.168.100.100).

5. Wechseln Sie in das Menü Desktop → ) Change to the menu Desktop → Services → User-defined Services und klicken auf das "Plus-Symbol", um einen benutzerdefinierten Dienst zu erstellenServices and click on the “+” icon to create a user-defined service.

6. Vergeben Sie einen aussagekräftigen Namen für den Dienst und klicken auf das "Plus-Zeichen", um dem Dienst Ports und Protokolle zuzuweisen) Assign a descriptive name for the service and click on the "+” icon to assign ports and protocols to the service.

7. Tragen Sie bei Port From bzw. To den Port oder einen Port-Bereich ein und wählen bei Protocols das Protokoll aus. Klicken Sie anschließend auf ) Use Port From and To to set the port or range of ports, and use Protocols to set the protocol. Then click OK.

Info

In diesem Beispiel wird der UDP-Port 514 verwendet (Syslog). Sie können einem Dienst aber auch mehrere Ports oder auch verschiedene Protokolle zuweisenFor this example we are using UDP port 514 (syslog). You can assign multiple ports and various protocols to a service.

8. Klicken Sie auf ) Click on Create.

9. Klicken Sie auf dem Desktop auf das in Schritt 2. erstellte Netzwerk-Objekt, wählen das "Verbindungswerkzeug" aus und klicken auf das in Schritt 4. erstellte Host-Objekt.

Image Removed

10. Fügen Sie über das "Plus-Symbol" den in Schritt 7. erstellten benutzerdefinierten Dienst hinzu.

Image Removed Image Removed

11. Klicken Sie bei dem Dienst unter Options auf None, um in die erweiterten Einstellungen zu gelangen.

Image Removed

12. Passen Sie die folgenden Parameter an und klicken auf OK:

) On the desktop, click the network object created in step 2, select the “connection tool”, and click the host object created in step 4.

Image Added

10) Use the “+” icon to add the user-defined service created in step 7.

Image Added Image Added

11) Under the Options for the service, click None to access the advanced settings.

Image Added

12) Modify the following parameters and then click OK:

  • For NAT, select the option Use Service Specific Settings.
  • Set the NAT / Masquerading to the option left-to-right.
  • Wählen Sie bei NAT die Option Use Service Specific Settings aus.
  • Wählen Sie unter NAT / Masquerading die Option left-to-right aus.
  • Tragen Sie in dem Feld NAT Source IP die IP-Adresse der Unified Firewall im lokalen Netzwerk ein (in diesem Beispiel In the NAT Source IP field, enter the IP address of the Unified Firewall in the local network (in this example 192.168.200.254). Diese IP-Adresse muss in den VPN-Regeln enthalten sein. Die Unified Firewall wird die Kommunikation zu dem per VPN angebundenen Gerät dann hinter dieser IP-Adresse maskierenThis IP address must be included in the VPN rules. The Unified Firewall will then use this IP address to mask communication to the device connected via VPN.

13. Klicken Sie auf ) Click on Create.

14. Klicken Sie abschließend auf Activate, um die vorgenommenen Einstellungen umzusetzen) Finally, implement the changes by clicking Activate.