Versionen im Vergleich

Alte Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 3

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Info

Wenn der Unified Firewall ein (LANCOM) Router vorgeschaltet ist, welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die Ports 4500 und 500 auf die LAN-IP-Adresse der Unified Firewall eingerichtet werden.


Vorgehensweise:

1. Konfigurationsschritte auf der Unified Firewall in der Zentrale:

1.1 Konfiguration der VPN-Verbindung auf der Unified Firewall in der Zentrale:

1.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das

...

Menü VPN → IPSec → IPSec-Einstellungen.

Image Modified

1.1.2 Aktivieren

...

Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.

Image Modified

1.1.3 Wechseln Sie

...

in das Menü VPN → IPSec

...

Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Image Modified

1.1.4

...

Passen Sie

...

die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung.
  • Sicherheits-Profil: Wählen Sie z.B. das Sicherheitsprofil ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2 aus).
  • Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
  • Remote-GatewayGateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein (in diesem Beispiel 81.81.81.1).
  • Verbindung aufbauen: Aktivieren Sie diese Option, damit Da die Unified Firewall in der Zentrale in diesem Konfigurationsbeispiel die VPN-Verbindung aufbauen soll, müssen Sie Verbindung aufbauen auswählenaufbaut.
Info

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden.

Hinweis

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.

1.1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.50100.0/2324    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.66200.0/24    .

1.1.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende passen die folgenden Parameter an:
  • Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
  • Lokaler Identifier: Vergeben Sie die Lokale IdentitätIdentität (in diesem Beispiel UF@Zentrale).
  • Remote Identifier: Vergeben Sie die Entfernte IdentitätIdentität (in diesem Beispiel UF@Filiale).
Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!

1.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Speichern.

1.2 Erstellen der Routing-Einträge für die VPN-Verbindung: 
1.9.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.
1.102.2 Klicken Sie auf das "Plus-Zeichen", um einen neuen Routing-Eintrag zu erstellen.
1.11.2.3 Passen Sie die folgenden Parameter an und klicken auf OK:
  • Interface: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Ziel: Tragen Sie das Ziel-Netzwerk in der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.200.0/24).
  • Gateway: Tragen Sie die IP-Adresse der Unified Firewall im lokalen Netzwerk ein (in diesem beispiel 192.168.100.254).
1.12.2.4 Klicken Sie auf Speichern.
1.13.2.5 Bestätigen Sie die Warnmeldung mit einem Klick auf Dennoch Speichern.

1.3 Erlauben der Kommunikation über Firewall-Regeln:
1.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte 8 Klicken Sie auf das Symbol zum Erstellen eines neuen neuen VPN-Netzwerks.
1.8 Hinterlegen Sie folgende Parameter3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Verbindungstyp: Wählen Sie den Typ IPSecStellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.
1.9 3.3 Klicken Sie in dem in Schritt 1.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.
Info

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

Image Added
1.3.4 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Netzwerk zu und klicken auf Erstellen.
Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Image Added Image Added
1.3.5 Klicken Sie zuletzt in der Firewall auf Aktivieren, auf welches das Objekt (die eingerichtete Site-to-Site Verbindung) zugreifen können soll, damit die Firewall-Objekte geöffnet werden. damit die Konfigurations-Änderungen umgesetzt werden.
Image Added
1.3.6 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.



2. Konfigurationsschritte auf der Unified Firewall in der Filiale:

2.1 Konfiguration der VPN-Verbindung auf der Unified Firewall in der Filiale:

2.1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln in das Menü VPN → IPSec → IPSec-Einstellungen.

Image Added

1.1.2 Aktivieren Sie IPSec über den Schieberegler und klicken anschließend auf Speichern.

Image Added

1.1.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Image Added

1.1.4 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung.
  • Sicherheits-Profil: Wählen Sie ein Sicherheitsprofil aus (in diesem Beispiel LANCOM LCOS Default IKEv2).
  • Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
  • Remote-Gateways: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein (in diesem Beispiel 81.81.81.1).
  • Verbindung aufbauen: Aktivieren Sie diese Option, damit die Unified Firewall in der Zentrale die VPN-Verbindung aufbaut.
Info

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden.

Hinweis

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.


1.1.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
    192.168.100.0/24    .
  • Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
    192.168.200.0/24    .
 
1.1.6 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:
  • Authentifizierungstyp: Wählen Sie die Option PSK (Preshared Key) aus.
  • PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung (in diesem Beispiel Passwort123).
  • Lokaler Identifier: Vergeben Sie die Lokale Identität (in diesem Beispiel UF@Zentrale).
  • Remote Identifier: Vergeben Sie die Entfernte Identität (in diesem Beispiel UF@Filiale).
Hinweis

Der Local und Remote Identifier dürfen nicht übereinstimmen!


1.1.7 Wechseln Sie in den Reiter Routing und aktivieren die Option Routen-basiertes IPSec. Klicken Sie anschließend auf Speichern.


1.2 Erstellen der Routing-Einträge für die VPN-Verbindung: 
1.2.1 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Tabelle zu editieren.
Image Added
1.2.2 Klicken Sie auf das "Plus-Zeichen", um einen neuen Routing-Eintrag zu erstellen.
 
1.2.3 Passen Sie die folgenden Parameter an und klicken auf OK:
  • Interface: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Ziel: Tragen Sie das Ziel-Netzwerk in der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.200.0/24).
  • Gateway: Tragen Sie die IP-Adresse der Unified Firewall im lokalen Netzwerk ein (in diesem beispiel 192.168.100.254).
 
1.2.4 Klicken Sie auf Speichern.
 
1.2.5 Bestätigen Sie die Warnmeldung mit einem Klick auf Dennoch Speichern.
Image Added

1.3 Erlauben der Kommunikation über Firewall-Regeln:
1.3.1 Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.
Image Added
1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
  • Name: Vergeben Sie einen aussagekräftigen Namen für das VPN-Netzwerk (in diesem Beispiel IKEv2_S2S_UF-Filiale).
  • Verbindungstyp: Stellen Sie sicher, dass die Option IPSec ausgewählt ist.
  • IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.1 erstellte VPN-Verbindung aus.
  • Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.
 
1.3.3 Klicken Sie in dem in Schritt 1.3.2 erstellten VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt für das lokale Netzwerk, mit dem über die VPN-Verbindung kommuniziert werden soll.
Info

Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

Image Removed


1.

...

3.4 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Netzwerk zu und klicken auf Erstellen.

Info

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

...


1.3.11 5 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
1.3.12 6 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.