Versionen im Vergleich

Alte Version 6

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 27

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Info

Die Einrichtung einer Policy-based IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls ist in dem folgenden Knowledge Base Artikel beschrieben:

Einrichtung einer Policy-based IKEv2 VPN-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4)


Die Unterschiede zwischen Policy-based und Route-based IPSec sind in dem folgenden Knowledge Base Artikel beschrieben:

Unterschiede zwischen Policy-based und Route-based IPSec bei LANCOM R&S®Unified Firewalls

Voraussetzungen:

  • LANCOM R&S®Unified Firewall ab LCOS FX 10.

    4

    12

  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls

  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:

    • Google Chrome

    • Chromium

    • Mozilla Firefox

Szenario:

Die Unified Firewalls sind direkt mit dem Internet verbunden und verfügen über eine öffentliche IPv4-Adresse:

  • Ein Unternehmen möchte seine Filiale, in welcher eine LANCOM R&S®Unified Firewall vorhanden ist, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden, in welcher ebenfalls eine LANCOM R&S®Unified Firewall verwendet wird.

  • Die

    Filiale

    Zentrale verfügt über eine Internetverbindung mit der festen öffentlichen IP-Adresse

    81

    82.

    81

    82.

    81

    82.1.

    Die Zentrale

  • Die Filiale verfügt über eine Internetverbindung mit der festen öffentlichen IP-Adresse

    82

    81.

    82

    81.

    82

    81.

    2

    1.

  • Die Unified Firewall in der Zentrale soll die VPN-Verbindung zur Filiale aufbauen.

  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.100.0/24.

  • Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.200.0/24.

Info

Wenn der Unified Firewall ein ( LANCOM ) Router vorgeschaltet ist, welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die UDP-Ports 500 und 4500 und 500 auf die LANWAN-IP-Adresse der Unified Firewall eingerichtet werden. Handelt es sich um einen Router eines anderen Herstellers, muss zusätzlich das Protokoll ESP an die Unified Firewall weitergeleitet werden.

TesteraltImage Added


Vorgehensweise:

1. Konfigurationsschritte auf der Unified Firewall in der Zentrale:

...

1.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.

VPNImage Modified

1.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.

...

1.1.4 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Sicherheits-Profil: Wählen Sie ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2).
  • Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
  • Remote-Gateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein (in diesem Beispiel 81.81.81.1).
  • Verbindung aufbauen: Aktivieren Sie diese Option, damit die Unified Firewall in der Zentrale die VPN-Verbindung aufbaut.
Info

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden.

...

1.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Filiale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.100.0/24    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Zentrale erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.200.0/24    .

Image Modified

1.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:

  • Authentifizierungstyp: Wählen Sie im Dropdown-Menü die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
  • Lokaler Identifier: Vergeben Sie die Lokale Identität (in diesem Beispiel UF@Zentrale).
  • Remote Identifier: Vergeben Sie die Entfernte Identität (in diesem Beispiel UF@Filiale).
Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!

Image Modified

1.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Erstellen.

Image Modified


1.2 Erstellen

...

des Routing-

...

Eintrags für die VPN-Verbindung: 

Info
Wiederholen Sie die folgenden Schritte für jedes weitere lokale bzw. entfernte Netzwerk.

1.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.

Image Modified

1.2.2 Klicken Sie auf

...

das "Plus-Symbol", um einen neuen Routing-Eintrag zu erstellen.

Image Modified

1.2.3 Passen Sie die folgenden Parameter an und klicken

...

auf OK:

  • Interface: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Ziel: Tragen Sie das Ziel-Netzwerk der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.200.0/24

...

  • ).

Image Modified

1.2.4 Klicken Sie

...

auf Speichern.

Image Modified

1.2.5 Bestätigen Sie die Warnmeldung mit einem Klick

...

auf Dennoch Speichern.

Image Modified


1.3 Erlauben der Kommunikation

...

mittels Firewall-Regeln:

1.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Image Modified

1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke

...

  • oder

...

  • bestimmte Netzwerke verwendet werden sollen.

Image Modified

1.3.3 Klicken Sie in dem in Schritt 1.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.

Info
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, das über die VPN-Verbindung kommunizieren soll.

Image Modified

1.3.4 Weisen Sie über die "Plus-

...

Symbole" die erforderlichen Protokolle

...

der Verbindung zu und klicken auf Erstellen.

Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Image Modified Image Modified

1.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Image Modified

1.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.



2. Konfigurationsschritte auf der Unified Firewall in der Filiale:

...

2.1.4 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN

...

  • -Verbindung (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
  • Sicherheits-Profil: Wählen Sie ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2).
  • Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
  • Remote-Gateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der

...

  • Zentrale ein (in diesem Beispiel 82.82.82.1).
Info

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden.

...

2.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der

...

  • Zentrale erreicht werden sollen. In diesem Beispiel

...

  • das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.200.0/24    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der

...

  • Filiale erreicht werden sollen. In diesem Beispiel

...

  • das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.100.0/24    .

 Image Modified

2.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:

  • Authentifizierungstyp: Wählen Sie die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
  • Lokaler Identifier: Vergeben Sie die Lokale Identität (in diesem Beispiel UF@Filiale).
  • Remote Identifier: Vergeben Sie die Entfernte Identität (in diesem Beispiel UF@Zentrale).
Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!

...

2.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Speichern Erstellen.


2.2 Erstellen der des Routing-Einträge Eintrags für die VPN-Verbindung:

2.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.

...

2.2.2 Klicken Sie auf das "Plus-ZeichenSymbol", um einen neuen Routing-Eintrag zu erstellen.

...

2.2.3 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die in Schritt

...

  • 2.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
  • Ziel: Tragen Sie das Ziel-Netzwerk in der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.100.0/24).

...

Image Modified

...


2.2.4 Klicken Sie

...

auf Speichern.

Image Modified

...


2.2.5 Bestätigen Sie die Warnmeldung mit einem Klick

...

auf Dennoch Speichern.

Image Modified


2.3 Erlauben der Kommunikation

...

mittels Firewall-Regeln:

2.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Image Modified

2.3.2 Passen Sie die folgenden Parameter an und klicken

...

auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Zentrale).
  • Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.1 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder

...

  • bestimmte Netzwerke verwendet werden sollen.

Image Modified 

2.3.3 Klicken Sie in dem

...

in Schritt 2.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.

Info

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

2.3.4 Weisen Sie über die die "Plus-ZeichenSymbole" die erforderlichen Protokolle dem VPN-Netzwerk der Verbindung zu und klicken auf Erstellen.

Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Image Modified Image Modified

2.3.5 Klicken Sie zuletzt in der Firewall

...

auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Image Modified

2.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.