Einrichtung einer zertifikatsbasierten IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4 bis einschließlich LCOS FX 10.6)

Beschreibung:

In diesem Artikel wird beschrieben, wie eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.

Voraussetzungen:

• Zwei LANCOM R&S® Unified Firewalls mit LCOS FX ab Version 10.4 bis einschließlich Version 10.6
• Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den beiden Unified Firewalls
• Web-Browser zur Konfiguration der Unified Firewalls.
  
  Es werden folgende Browser unterstützt:
  • Google Chrome
  • Chromium
  • Mozilla Firefox

Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

• Es soll eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet werden (Zentrale und Filiale).
• Die Unified Firewall in der Zentrale hat das lokale Netzwerk 192.168.1.0/24.
• Die Unified Firewall in der Filiale hat das lokale Netzwerk 192.168.2.0/24.
• Die Unified Firewall in der Zentrale hat die feste öffentliche IP-Adresse 81.81.81.81.
• Die Unified Firewall in der Filiale hat die feste öffentliche IP-Adresse 80.80.80.80.

Diagramm einer VPN-Verbindung zwischen einer Zentrale und einer Filiale, darstellend öffentliche IP-Adressen und LAN-Netzwerke beider Standorte, verbunden durch das Internet.

2. Die Unified Firewall ist über einen vorgeschalteten Router mit dem Internet verbunden:

• Es soll eine zertifikatsbasierte IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet werden (Zentrale und Filiale).
• Die Unified Firewall in der Zentrale hat das lokale Netzwerk 192.168.1.0/24.
• Die Unified Firewall in der Filiale hat das lokale Netzwerk 192.168.2.0/24.
• Die Unified Firewall in der Zentrale ist mit einem Router verbunden, welcher die Internet-Verbindung herstellt. Dieser hat die feste öffentliche IP-Adresse 81.81.81.81.
• Die Unified Firewall in der Filiale ist mit einem Router verbunden, welcher die Internet-Verbindung herstellt. Dieser hat die feste öffentliche IP-Adresse 80.80.80.80.

Diagramm, das eine VPN-Verbindung zwischen einer Zentrale und einer Filiale mit LANCOM Routern und öffentlichen IP-Adressen zeigt.

Vorgehensweise:

Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).

1. Konfigurations-Schritte auf der Unified Firewall in der Zentrale:

1.1 Erstellen und Export der Zertifikate:

1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen. 

Die Abbildung zeigt eine technische Benutzeroberfläche für die Verwaltung von Sicherheitszertifikaten, Firewall-Einstellungen und Benutzerauthentifizierung mit verschiedenen Optionen und Bereichen wie HTTPS Proxy, Mail Proxy und OCSP/CRL Verwaltung.

1.1.2 Erstellen Sie als Erstes eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

• Zertifikatstyp: Wählen Sie im Dropdownmenü die Option CA für VPN-/Webserver-Zertifikat aus.
• Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
• Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
• Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
• Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
• Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort. Dieses dient dazu den Private Key der CA zu verschlüsseln.

Bildschirmaufnahme einer technischen Benutzeroberfläche zur Konfiguration eines Webserver-Zertifikats, einschließlich Optionen wie Zertifikatstyp, Private-Key-Details, Verschlüsselungseinstellungen und fortgeschrittene Einstellungen wie Subject Alternative Name und Certificate Authority Dienste.

1.1.3 Erstellen Sie anschließend ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

• Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
• Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
• Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
• Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
• Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale.
• Gültigkeit: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
• CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
• Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort.

Digitale Zertifikatkonfigurationsfenster mit Optionen für das Erstellen oder Ändern eines Zertifikats, einschließlich Feldern wie Private Key, Distinguished Name (DN), Common Name (CN), optionaler Stadt, Bundesland, Abteilung und Subject Alternative Name (SAN) mit E-Mail-Adresse.

1.1.4 Erstellen Sie abschließend ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen:

• Zertifikatstyp: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
• Signierende CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
• Private-Key-Verschlüsselung: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
• Private-Key-Größe: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
• Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale.
• Gültigkeit: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
• CA-Passwort: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
• Private-Key-Passwort: Vergeben Sie ein beliebiges Private-Key-Passwort.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von VPN-Zertifikaten mit Optionen für Verschlüsselung, Zertifikatstyp, CA-Passwort-Einstellungen und weiteren benutzerdefinierten Einstellungen wie Land und Organisation.

1.1.5 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Filiale auf die Schaltfläche zum Export.

Bildschirmanzeige einer technischen Konfigurationsmenü-Oberfläche mit Optionen für Firewall, Zertifikatsverwaltung, Monitoring, Netzwerkstatistiken, Benutzerauthentifizierung und verschiedene Initialisierungseinstellungen für Proxy- und Mail-Dienste.

1.1.6 Wählen Sie als Format die Option PKCS #12 aus, tragen die Passwörter ein und klicken auf Exportieren:

• Private-Key-Passwort: Tragen Sie das Private-Key-Passwort ein, welches Sie in Schritt 1.1.4 vergeben haben.
• Transport-Passwort: Tragen sie ein Passwort ein. Dieses wird beim Import des Zertifikates auf der Unified Firewall in der Filiale benötigt (siehe Schritt 2.1.2).

Ein Bildschirm zeigt die Einstellungen zum Export von Zertifikaten mit Optionen für den Export des öffentlichen Teils oder des gesamten Zertifikats, einschließlich des privaten Schlüssels, zur sicheren Einrichtung von Netzwerkverbindungen.

1.1.7 Klicken Sie in der Zertifikatsverwaltung bei dem Zertifikat der Zentrale auf die Schaltfläche zum Export.

Ansicht einer technischen Benutzeroberfläche mit verschiedenen Optionen für Netzwerkeinstellungen, darunter Firewall-Aktivierung, Zertifikatsverwaltung, Benutzerauthentifizierung und Monitoring-Statistiken.

1.1.8 Wählen Sie als Format die Option PEM aus und klicken auf Exportieren.

Screenshot eines Konfigurationsmenüs für den Export von Zertifikaten, das Optionen für den Export des öffentlichen Teils eines Zertifikats und des gesamten Zertifikats einschließlich des privaten Schlüssels zeigt, wobei Sicherheitshinweise zum Schutz vor unberechtigtem Zugriff gegeben werden.

1.2 Einrichtung der VPN-Verbindung:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.

Grafische Benutzeroberfläche eines Computersicherheitssystems mit Menüoptionen für Firewall, Monitoring-Statistiken, Netzwerkeinstellungen, Desktop-Konfigurationen, Benutzerauthentifizierung und IPsec-Einstellungen.

1.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern.

Bildschirmansicht der IPsec-Einstellungen mit Optionen für allgemeine Einstellungen, ausgenommene Interfaces und IP-Adressen, Proxy-Einstellungen und DHCP-Server-Konfigurationen, wobei einige Elemente aktiviert und mit Details wie IP-Adresse und Passwort versehen sind.

1.2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

Ein Bildschirm mit einer technischen Benutzeroberfläche zeigt verschiedene Netzwerkverbindungen und Sicherheitseinstellungen, einschließlich IPsec, Benutzerauthentifizierung und virtuelle IP-Pools.

1.2.4 Passen Sie die folgenden Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Filiale).
• Sicherheits-Profil: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
• Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
• Remote-Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Filiale an (in diesem Beispiel die IP-Adresse 80.80.80.80).

Screenshot einer technischen Konfigurations-Benutzeroberfläche für eine Netzwerkverbindung mit Optionen für Sicherheitsprofile, IP-Adresszuweisungen, Routing und eine Tunnelauthentifizierungseinstellung.

1.2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

• Lokale Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24). 
• Remote Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24). 

Bildschirmfoto einer technischen Benutzeroberfläche oder eines Konfigurationsmenüs zur Verwaltung von Sicherheitsprofilen und Netzwerkverbindungen, inklusive Optionen für Authentifizierung, Routing und virtuelle IP-Pools.

1.2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:

• Authentifizierungstyp: Stellen Sie sichder, dass im Dropdownmenü die Option Zertifikat ausgewählt ist.
• Lokales Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte Zertifikat für die Zentrale aus.
• Erweiterte Authentifizierung: Stellen Sie sicher, dass die Option Keine erweiterte Authentifizierung ausgewählt ist.
• Remote-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 1.1.4 erstellte Zertifikat für die Filiale aus.

Bildschirmfoto eines technischen Konfigurationsmenüs für eine Netzwerkschnittstelle, das Einstellungen wie Sicherheitsprofile, Authentifizierungstypen und Verbindungsdetails zeigt.

1.2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Netzwerks.

Bildschirmschnittstelle zeigt unklaren Text mit dem erkennbaren Wort Firewall.

1.2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

• Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Filiale).
• Verbindungstyp: Wählen Sie die Option IPSec aus.
• IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 1.2.4 - 1.2.6 erstellte VPN-Verbindung aus.

Grafische Darstellung eines Benutzer-Interface für Netzwerkeinstellungen mit verschiedenen Optionen zur Konfiguration von Remote-Netzwerken und Sicherheitsprotokollen wie IKEvZ Filiale vpn Netzwerk.

1.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

1.3.1 Klicken sie auf dem Desktop auf das in Schritt 1.2.8 erstellte VPN-Netzwerk, wählen das Verbindungswerkzeug aus und klicken auf das Netzwerk-Objekt, für welches die Kommunikation erlaubt werden soll.

Bildschirmanzeige eines technischen Konfigurationsmenüs mit Teiltext IKEvZFiliale a.

1.3.2 Wählen Sie auf der rechten Seite die erforderlichen Protokolle aus und fügen diese über die "Plus-Symbole" hinzu.

Screenshot einer technischen Benutzeroberfläche zur Verbindungskonfiguration mit Optionen für URL Content Filter, Application Filter und Application Based Routing, und einem Hinweis zum Hinzufügen von Einträgen durch Klicken auf das Pluszeichen.  Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen unklaren oder korrupten Textelementen und möglicherweise Einstellungen oder Bezeichnungen.

1.3.3 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Konfigurationseinstellungen, inklusive URL-Content-Filter, Application-Filter und Application-Based Routing, wobei bestimmte Änderungen bis zum Abbrechen des Dialogs oder Abmelden erhalten bleiben.

1.3.4 Die Konfiguration der Unified Firewall in der Zentrale ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die auf dem Desktop vorgenommenen Änderungen umgesetzt werden.

Grafische Darstellung einer Firewall mit verschiedenen Konfigurationseinstellungen auf einem technischen Benutzeroberflächen-Display.

2. Konfigurations-Schritte auf der Unified Firewall in der Filiale:

2.1 Import der Zertifikate:

2.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Filiale, wechseln in das Menü Zertifikatsverwaltung → Zertifikate und klicken auf das Symbol zum Import eines Zertifikates.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Verwaltung von Netzwerksicherheitszertifikaten, inklusive Firewall, Monitoring-Statistiken und HTTPS-Proxy-Konfigurationen.

2.1.2 Wählen Sie bei Zertifikatsdatei das Zertifikat der Filiale aus, geben die Passwörter an und klicken auf Importieren:

• Passwort: Tragen Sie das in Schritt 1.1.6 vergebene Transport-Passwort ein.
• Neues Passwort: Tragen Sie ein neues Passwort ein. Mit diesem wird der Private Key nach dem Import verschlüsselt.

Bildschirmansicht eines Technik-Interface zur Importierung eines Passwort-geschützten Zertifikats, welches Optionen zum Auswählen einer Zertifikatsdatei und Festlegen eines neuen Passworts anbietet.

2.1.3 Importieren Sie ein weiteres Zertifikat. Wählen sie bei Zertifikatsdatei das Zertifikat der Zentrale aus und klicken auf Importieren:

Benutzeroberfläche für den Import eines Zertifikats, einschließlich Felder für das Passwort, ein neues Passwort und eine Option, das neue Passwort anzuzeigen, wobei der private Schlüssel des Zertifikats nach dem Import durch das neue Passwort geschützt wird.

2.1.4 Die Zertifikatsverwaltung sieht nach dem Import der Zertifikate wie folgt aus.

Screenshot einer technischen Benutzeroberfläche zur Verwaltung von Netzwerksicherheit, einschließlich Firewall, Zertifikatsverwaltung, Benutzerauthentifizierung und verschiedenen Proxy-Initiierungen.

2.2 Einrichtung der VPN-Verbindung:

2.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Konfigurationsmenü-Optionen für Firewall, Netzwerküberwachung, Sicherheitsprofile, Benutzerauthentifizierung und IPsec-Einstellungen.

2.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern.

Screenshot einer technischen Benutzerschnittstelle für IPsec-Einstellungen mit Optionen für ausgenommene Interfaces und IP-Adressen, Details zu Proxy, DHCP-Server sowie Radius-Server mit Aktivierungsoptionen und Konfigurationsparametern wie IP-Adresse, Port und Passwort.

2.2.3 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

Screenshot einer Benutzeroberfläche für Netzwerkmanagement, die verschiedene Einstellungsoptionen wie Benutzerauthentifizierung, IPsec-Einstellungen, Sicherheitsprofile und Virtuelle IP-Pools anzeigt.

2.2.4 Passen Sie die folgenden Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Zentrale).
• Sicherheits-Profil: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
• Verbindung: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
• Remote-Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Zentrale an (in diesem Beispiel die IP-Adresse 81.81.81.81).
• Setzen Sie den Haken bei Verbindung aufbauen, damit die Unified Firewall in der Filiale die VPN-Verbindung aufbaut.

Screenshot einer technischen Konfigurationsseite für eine Netzwerkverbindung mit verschiedenen Optionen wie Sicherheitsprofilen, Authentifizierung, Routing und NAT-Einstellungen.

2.2.5 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

• Lokale Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24). 
• Remote Netzwerke: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24). 

Screenshot einer technischen Benutzeroberfläche mit Optionen für Authentifizierung, Routing, lokale und remote Netzwerke sowie Einstellungen für einen virtuellen IP-Pool und einen Kompatibilitätsmodus.

2.2.6 Wechseln Sie in den Reiter Authentifizierung, passen die folgenden Parameter an und klicken auf Erstellen:

• Authentifizierungstyp: Stellen Sie sicher, dass im Dropdownmenü die Option Zertifikat ausgewählt ist.
• Lokales Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 2.1.2 importierte Zertifikat für die Filiale aus.
• Erweiterte Authentifizierung: Stellen Sie sicher, dass die Option Keine erweiterte Authentifizierung ausgewählt ist.
• Remote-Zertifikat: Wählen Sie im Dropdownmenü das in Schritt 2.1.3 importierte Zertifikat für die Zentrale aus.

Screenshot einer technischen Benutzeroberfläche zur Einstellung einer IKEv2-Zentralverbindung mit Optionen für Authentifizierung, Sicherheitsprofile und Tunnelkonfiguration.

2.2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Netzwerks.

Bild einer technischen Benutzeroberfläche mit undeutlichem Text und dem eindeutig lesbaren Wort Firewall.

2.2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

• Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_Zentrale).
• Verbindungstyp: Wählen Sie die Option IPSec aus.
• IPSec-Verbindung: Wählen Sie im Dropdownmenü die in Schritt 2.2.4 - 2.2.6 erstellte VPN-Verbindung aus.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen, einschließlich Optionen für IPsec Verbindungen und Remote-Netzwerkmanagement.

2.3 Kommunikation über die VPN-Verbindung in der Firewall freigeben:

2.3.1 Klicken sie auf dem Desktop auf das in Schritt 2.2.8 erstellte VPN-Netzwerk, wählen das Verbindungswerkzeug aus und klicken auf das Netzwerk-Objekt, für welches die Kommunikation erlaubt werden soll.

Bild von einer digitalen Benutzeroberfläche mit unvollständigem oder unklarem Text, der möglicherweise zu einer technischen Einstellung oder Konfiguration gehört.

2.3.2 Wählen Sie auf der rechten Seite die erforderlichen Protokolle aus und fügen diese über die "Plus-Symbole" hinzu.

Screenshot einer Netzwerk-Verwaltungsoberfläche, die eine neue Verbindung namens 'IKEvZentraleINTRANET' anzeigt, mit Optionen zum Hinzufügen von Regeln für URLContentFilter, ApplicationFilter und ApplicationBasedRouting durch Klicken auf das zugehörige Pluszeichen.  Abstrakte Darstellung einer technischen Benutzeroberfläche mit unklaren Beschriftungen und möglicherweise Einstellungsoptionen oder Menüpunkten.

2.3.3 Klicken Sie auf Erstellen, um die Firewall-Regel anzulegen.

Das Bild zeigt eine technische Benutzeroberfläche mit Optionen für Verbindungsmanagement, darunter neuere Änderungen, die erhalten bleiben, und verschiedene Filtereinstellungen wie URLContentFilter und ApplicationBasedRouting.

2.3.4 Die Konfiguration der Unified Firewall in der Zentrale ist damit abgeschlossen. Klicken Sie auf Aktivieren, damit die auf dem Desktop vorgenommenen Änderungen umgesetzt werden.

Bildschirmansicht einer Firewall-Konfigurationsseite, die verschiedene Sicherheitseinstellungen und Zugriffsregeln zeigt.

3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):

Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.

Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.

3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Bildschirmansicht einer technischen Benutzeroberfläche, die verschiedene Einstellungen und Funktionen wie Management, Kommunikation, IP-Routing, und spezifische Netzwerkdienste wie IPsec und Port Forwarding anzeigt.

3.2 Hinterlegen Sie folgende Parameter:

• Anfangs-Port: Hinterlegen Sie den Port 500.