Quelle anzeigen

Description:

Unified Firewalls verwenden immer die IP-Adresse auf dem ersten aktiven Interface (in der Regel eth0) als Absende-Adresse, um mit einem internen Dienst mit einem per IKEv2-Verbindung angebundenen Gerät zu kommunizieren. Wenn auf dem ersten aktiven Interface eine IP-Adresse vergeben ist, welche nicht Teil der VPN-Regeln ist (häufig ist auf eth0 z.B. die Internet-Verbindung eingerichtet), können die Daten nicht über die VPN-Verbindung geschickt werden und die Kommunikation ist nicht möglich.

Damit die Kommunikation zu dem externen Gerät funktioniert, müssen die für das externe Gerät bestimmten Pakete auf der Unified Firewall mit einer IP-Adresse maskiert werden, welche Teil der VPN-Regeln ist.

In diesem Artikel wird beschrieben, wie die Maskierung zum externen Gerät eingerichtet wird, damit die Kommunikation wieder möglich ist.

Requirements:

LANCOM R&S®Unified Firewall ab LCOS FX 10.12
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
Bereits eingerichtete und funktionsfähige IKEv2-Verbindung
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Scenario:

Zwei Unified Firewalls sind per IKEv2-Verbindung miteinander verbunden:

Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.100.0/24.
Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.200.0/24 mit der IP-Adresse 192.168.200.254.
In der Zentrale gibt es einen Syslog-Server mit der IP-Adresse 192.168.100.100.
Die Unified Firewall in der Filiale soll ihre Syslog-Daten an den Syslog-Server in der Zentrale senden.
Damit die Kommunikation zwischen der Unified Firewall in der Filiale und dem Syslog-Server funktioniert, müssen die Pakete in Richtung des Syslog-Servers hinter der lokalen IP-Adresse der Unified Firewall in der Filiale (192.168.200.254) maskiert werden.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > Szenario.png

Vorgehensweise:

1. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen Netzwerks.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 1.png

2. Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk-Objekt (in diesem Beispiel Unified-Firewall).
Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das tatsächlich verwendete erste aktive Interface in jedem Szenario anders sein kann.
Netzwerk-IP: Tragen Sie die Adresse 0.0.0.0/0 ein. Dies ist sinnvoll, da die IP-Adresse des ersten aktiven Interfaces gegebenenfalls dynamisch zugewiesen wird (DHCP bzw. PPPoE).

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 2.png

3. Klicken Sie in der Menü-Leiste für die Desktop-Objekte auf das Symbol zum Erstellen eines neuen Hosts.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 3.png

4. Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für das Host-Objekt (in diesem Beispiel Syslog-Server).
Interface: Wählen Sie im Dropdown-Menü die Option any aus. Dies ist sinnvoll, da das Interface, dem das lokale Netzwerk zugewiesen ist (für welches auch VPN-Regeln existieren) in jedem Szenario anders sein kann.
Netzwerk-IP: Tragen Sie die IP-Adresse des Gerätes ein, mit dem die Unified Firewall über den VPN-Tunnel kommunizieren soll (in diesem Beispiel 192.168.100.100).

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 4.png

5. Wechseln Sie in das Menü Desktop → Dienste → Benutzerdef. Dienste und klicken auf das "Plus-Symbol", um einen benutzerdefinierten Dienst zu erstellen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 5.png

6. Vergeben Sie einen aussagekräftigen Namen für den Dienst und klicken auf das "Plus-Zeichen", um dem Dienst Ports und Protokolle zuzuweisen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 6.png

7. Tragen Sie bei Port von bzw. Bis den Port oder einen Port-Bereich ein und wählen bei Protocols das Protokoll aus. Klicken Sie anschließend auf OK.

In diesem Beispiel wird der UDP-Port 514 verwendet (Syslog). Sie können einem Dienst aber auch mehrere Ports oder auch verschiedene Protokolle zuweisen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 7.png

8. Klicken Sie auf Erstellen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 8.png

9. Klicken Sie auf dem Desktop auf das in Schritt 2. erstellte Netzwerk-Objekt, wählen das "Verbindungswerkzeug" aus und klicken auf das in Schritt 4. erstellte Host-Objekt.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 9.png

10. Fügen Sie über das "Plus-Symbol" den in Schritt 7. erstellten benutzerdefinierten Dienst hinzu.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 10.png

11. Klicken Sie bei dem Dienst unter Optionen auf Keine, um in die erweiterten Einstellungen zu gelangen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 12.png

12. Passen Sie die folgenden Parameter an und klicken auf OK:

Wählen Sie bei NAT die Option Servicespezifische Einstellungen verwenden aus.
Wählen Sie unter NAT / Masquerading die Option Links-nach-rechts aus.
Tragen Sie in dem Feld NAT-Quell-IP die IP-Adresse der Unified Firewall im lokalen Netzwerk ein (in diesem Beispiel 192.168.200.254). Diese IP-Adresse muss in den VPN-Regeln enthalten sein. Die Unified Firewall wird die Kommunikation zu dem per VPN angebundenen Gerät dann hinter dieser IP-Adresse maskieren.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 13.png

13. Klicken Sie auf Erstellen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 14.png

14. Klicken Sie abschließend auf Aktivieren, um die vorgenommenen Einstellungen umzusetzen.

LANCOM Support Knowledge Base EN > Troubleshooting guide: LANCOM R&S®Unified Firewall cannot communicate with a device over an IKEv2 connection > 15.png