Beschreibung:

Unified Firewalls verwenden immer die IP-Adresse auf dem ersten aktiven Interface (in der Regel eth0) als Absende-Adresse, um mit einem internen Dienst mit einem per IKEv2-Verbindung angebundenen Gerät zu kommunizieren. Wenn auf dem ersten aktiven Interface eine IP-Adresse vergeben ist, welche nicht Teil der VPN-Regeln ist (häufig ist auf eth0 z.B. die Internet-Verbindung eingerichtet), können die Daten nicht über die VPN-Verbindung geschickt werden und die Kommunikation ist nicht möglich.

Damit die Kommunikation zu dem externen Gerät funktioniert, müssen die für das externe Gerät bestimmten Pakete auf der Unified Firewall mit einer IP-Adresse maskiert werden, welche Teil der VPN-Regeln ist.

In diesem Artikel wird beschrieben, wie die Maskierung zum externen Gerät eingerichtet wird, damit die Kommunikation wieder möglich ist.

Voraussetzungen:

  • LANCOM R&S®Unified Firewall ab LCOS FX 10.12
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
  • Bereits eingerichtete und funktionsfähige IKEv2-Verbindung
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox

Szenario:

Zwei Unified Firewalls sind per IKEv2-Verbindung miteinander verbunden:

  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.100.0/24.
  • Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.200.0/24 mit der IP-Adresse 192.168.200.254.
  • In der Zentrale gibt es einen Syslog-Server mit der IP-Adresse 192.168.100.100.
  • Die Unified Firewall in der Filiale soll ihre Syslog-Daten an den Syslog-Server in der Zentrale senden.
  • Damit die Kommunikation zwischen der Unified Firewall in der Filiale und dem Syslog-Server funktioniert, müssen die Pakete in Richtung des Syslog-Servers hinter der lokalen IP-Adresse der Unified Firewall in der Filiale (192.168.200.254) maskiert werden.


Vorgehensweise:

1. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen Netzwerks.

2. Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk-Objekt (in diesem Beispiel Unified-Firewall).
  • Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das tatsächlich verwendete erste aktive Interface in jedem Szenario anders sein kann.
  • Netzwerk-IP: Tragen Sie die Adresse 0.0.0.0/0 ein. Dies ist sinnvoll, da die IP-Adresse des ersten aktiven Interfaces gegebenenfalls dynamisch zugewiesen wird (DHCP bzw. PPPoE).

3. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen Hosts.

4. Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Host-Objekt (in diesem Beispiel Syslog-Server).
  • Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das Interface, dem das lokale Netzwerk zugewiesen ist (für welches auch VPN-Regeln existieren) in jedem Szenario anders sein kann.
  • Netzwerk-IP: Tragen Sie die IP-Adresse des Gerätes ein, mit dem die Unified Firewall über den VPN-Tunnel kommunizieren soll (in diesem Beispiel 192.168.100.100).

5. Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Symbol", um einen benutzerdefinierten Dienst zu erstellen.

6. Vergeben Sie einen aussagekräftigen Namen für den Dienst und klicken auf das "Plus-Zeichen", um dem Dienst Ports und Protokolle zuzuweisen.

7. Tragen Sie bei Port von bzw. Bis den Port oder einen Port-Bereich ein und wählen bei Protocols das Protokoll aus. Klicken Sie anschließend auf OK.

In diesem Beispiel wird der UDP-Port 514 verwendet (Syslog). Sie können einem Dienst aber auch mehrere Ports oder auch verschiedene Protokolle zuweisen.

8. Klicken Sie auf Erstellen.

9. Klicken Sie auf dem Desktop auf das in Schritt 2. erstellte Netzwerk-Objekt, wählen das "Verbindungswerkzeug" aus und klicken auf das in Schritt 4. erstellte Host-Objekt.

10. Fügen Sie über das "Plus-Symbol" den in Schritt 7. erstellten benutzerdefinierten Dienst hinzu.

11. Klicken Sie bei dem Dienst unter Optionen auf Keine, um in die erweiterten Einstellungen zu gelangen.

12. Passen Sie die folgenden Parameter an und klicken auf OK:

  • Wählen Sie bei NAT die Option Servicespezifische Einstellungen verwenden aus.
  • Wählen Sie unter NAT / Masquerading die Option Links-nach-rechts aus.
  • Tragen Sie in dem Feld NAT-Quell-IP die IP-Adresse der Unified Firewall im lokalen Netzwerk ein (in diesem Beispiel 192.168.200.254). Diese IP-Adresse muss in den VPN-Regeln enthalten sein. Die Unified Firewall wird die Kommunikation zu dem per VPN angebundenen Gerät dann hinter dieser IP-Adresse maskieren.

13. Klicken Sie auf Erstellen.

14. Klicken Sie abschließend auf Aktivieren, um die vorgenommenen Einstellungen umzusetzen.

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH