...
Info |
---|
Wenn der Unified Firewall ein (LANCOM) Router vorgeschaltet ist, welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die Ports 4500 und 500 auf die LAN-IP-Adresse der Unified Firewall eingerichtet werden. |
Vorgehensweise:
1. Konfigurationsschritte auf der Unified Firewall in der Zentrale:
1.1 Konfiguration der VPN-Verbindung auf der Unified Firewall in der Zentrale:
1.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das
...
Menü VPN → IPSec → IPSec-Einstellungen.
1.1.2 Aktivieren
...
Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.
1.1.3 Wechseln Sie
...
in das Menü VPN → IPSec
...
→ Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
1.1.4
...
Passen Sie
...
die folgenden Parameter an:
- Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung.
- Sicherheits-Profil: Wählen Sie z.B. das Sicherheitsprofil ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2 aus).
- Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
- Remote-GatewayGateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein (in diesem Beispiel 81.81.81.1).
- Verbindung aufbauen: Aktivieren Sie diese Option, damit Da die Unified Firewall in der Zentrale in diesem Konfigurationsbeispiel die VPN-Verbindung aufbauen soll, müssen Sie Verbindung aufbauen auswählenaufbaut.
Info |
---|
Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden. |
Hinweis |
---|
Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen. |
1.1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende passen die folgenden Parameter an:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.50100.0/2324. - Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.66200.0/24.
- Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
- PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
- Lokaler Identifier: Vergeben Sie die Lokale IdentitätIdentität (in diesem Beispiel UF@Zentrale).
- Remote Identifier: Vergeben Sie die Entfernte IdentitätIdentität (in diesem Beispiel UF@Filiale).
Hinweis |
---|
Der Local und Remote Identifier dürfen nicht übereinstimmen! |
- Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
- Verbindungstyp: Wählen Sie den Typ IPSecStellen Sie sicher, dass die Option IPSec ausgewählt ist.
- IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
- Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.
Info |
---|
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll. |
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
2. Konfigurationsschritte auf der Unified Firewall in der Filiale:
2.1 Konfiguration der VPN-Verbindung auf der Unified Firewall in der Filiale:
2.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.
1.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.
1.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
1.1.4 Passen Sie die folgenden Parameter an:
- Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung.
- Sicherheits-Profil: Wählen Sie ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2).
- Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
- Remote-Gateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein (in diesem Beispiel 81.81.81.1).
- Verbindung aufbauen: Aktivieren Sie diese Option, damit die Unified Firewall in der Zentrale die VPN-Verbindung aufbaut.
Info |
---|
Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden. |
Hinweis |
---|
Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen. |
1.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:
- Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.100.0/24. - Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.200.0/24.
- Authentifizierungstyp: Wählen Sie die Option PSK (Preshared Key) aus.
- PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
- Lokaler Identifier: Vergeben Sie die Lokale Identität (in diesem Beispiel UF@Zentrale).
- Remote Identifier: Vergeben Sie die Entfernte Identität (in diesem Beispiel UF@Filiale).
Hinweis |
---|
Der Local und Remote Identifier dürfen nicht übereinstimmen! |
- Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
- Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
- IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus.
- Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.
Info |
---|
Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll. |
1.
...
3.4 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Netzwerk zu und klicken auf Erstellen.
Info |
---|
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden. |
...