Beschreibung:
Es kann in einigen Fällen vorkommen, dass zwei Standorte den gleichen IP-Adressbereich verwenden. Damit die Kommunikation per VPN zwischen diesen Standorten trotzdem möglich ist, muss die Kommunikation über den VPN-Tunnel hinter einem anderen IP-Adressbereich maskiert werden. Dies lässt sich auf einer Unified Firewall per NETMAP umsetzen. Im Gegensatz zu Source-NAT ist beidseitig ein Zugriff auf Ressourcen in dem jeweils anderen Zielnetzwerk möglich.
In diesem Artikel wird beschrieben, wie die Maskierung per NETMAP für eine VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet wird.
Bei der Kommunikation zu einem der maskierten Netzwerke über die VPN-Verbindung ist zu beachten, dass dieses nur über die maskierte IP-Adresse angesprochen werden kann. Weiterhin kann für die Maskierung per NETMAP immer nur ein Netzwerk gleicher Größe verwendet werden, die Subnetzmaske muss also gleich sein. |
Voraussetzungen:
Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren
Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren
Vorgehensweise:
Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren
1. Konfigurationsschritte in der Zentrale:
1.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Zentrale:
1.1.1 Richten Sie die IKEv2-Verbindung in der Zentrale anhand eines der folgenden Knowledge Base Artikel ein:
1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:
Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden. |
1.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.
1.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.
1.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.
1.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:
1.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.
1.2 Einrichtung der Maskierung auf der Unified Firewall in der Zentrale:
1.2.1 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt in der Zentrale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Filiale).
NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host. |
1.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:
Die Maskierung erfolgt bei NETMAP zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT. |
1.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
1.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.
2. Konfigurationsschritte in der Filiale:
2.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale:
2.1.1 Richten Sie die IKEv2-Verbindung in der Filiale anhand eines der folgenden Knowledge Base Artikel ein:
2.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:
Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden. |
2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.
2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.
2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.
2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:
2.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.
2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale:
2.2.1 Klicken Sie auf dem Desktop auf das verwendete Netzwerk-Objekt in der Filiale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).
NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host. |
2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:
Die Maskierung erfolgt bei NETMAP zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT. |
2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.
3. Neustart der VPN-Verbindung:
Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden. |
Verbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol".
Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren
1. Konfigurationsschritte in der Zentrale:
1.1 Einrichtung der IKEv2-Verbindung zur Filiale 2:
1.1.1 Richten Sie auf der Unified Firewall in der Zentrale die IKEv2-Verbindung zur Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:
1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:
1.2 Anpassung der VPN-Verbindung zur Filiale 1:
1.2.1 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Filiale 1 auf das "Stift-Symbol", um die Verbindung zu bearbeiten.
1.2.2 Wechseln Sie in den Reiter Tunnel, passen den folgenden Parameter an und klicken auf Speichern:
2. Konfigurationsschritte in der Filiale 1:
2.1 Anpassung der VPN-Netzwerke in der Filiale 1:
2.1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Filiale 1, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um die Verbindung zu bearbeiten.
2.1.2 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:
Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden. |
2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.
2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.
2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.
2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:
2.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:
2.2.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.
2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 1:
2.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 1 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale1-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel Zentrale).
NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host. |
2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:
Die Maskierung erfolgt bei NETMAP zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT. |
2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 1 sind damit abgeschlossen.
3. Konfigurationsschritte in der Filiale 2:
3.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale 2:
3.1.1 Richten Sie die IKEv2-Verbindung auf der Unified Firewall in der Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:
3.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:
Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden. |
3.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.
3.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.
3.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.
3.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:
3.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:
3.1.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.
3.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 2:
3.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 2 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale2-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).
NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host. |
3.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:
Die Maskierung erfolgt bei NETMAP zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT. |
3.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
3.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 2 sind damit abgeschlossen.
4. Neustart der VPN-Verbindungen:
Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, müssen die VPN-Verbindungen neugestartet werden. |
Verbinden Sie sich mit der Unified Firewall in einer der Filialen oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol". Führen Sie dies für beide VPN-Verbindungen durch (Zentrale - Filiale 1 und Zentrale - Filiale 2).