Einrichtung einer Policy-based IKEv2 VPN-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S®Unified Firewalls (ab LCOS FX 10.4)

Beschreibung:

In diesem Dokument ist beschrieben, wie eine Policy-based IKEv2-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S ® Unified Firewalls eingerichtet werden kann.

Die Einrichtung einer Route-based IKEv2 VPN-Verbindung zwischen zwei Unified Firewalls ist in dem folgenden Knowledge Base Artikel beschrieben:

Einrichtung einer Route-based IKEv2 VPN-Verbindung (Site-to-Site) zwischen zwei LANCOM R&S®Unified Firewalls

Die Unterschiede zwischen Policy-based und Route-based IPSec sind in dem folgenden Knowledge Base Artikel beschrieben:

Unterschiede zwischen Policy-based und Route-based IPSec bei LANCOM R&S®Unified Firewalls

Voraussetzungen:

LANCOM R&S®Unified Firewall ab LCOS FX 10.4
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf den Unified Firewalls
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

Die Unified Firewalls sind direkt mit dem Internet verbunden und verfügen über eine öffentliche IPv4-Adresse:

Ein Unternehmen möchte seine Filiale, in welcher eine LANCOM R&S®Unified Firewall vorhanden ist, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden, in welcher ebenfalls eine LANCOM R&S®Unified Firewall verwendet wird.
Die Filiale verfügt über eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
Die Zentrale verfügt über eine Internetverbindung mit der festen öffentlichen IP-Adresse 82.82.82.82.
Die Unified Firewall in der Zentrale soll die VPN-Verbindung zur Filiale aufbauen.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.50.0/23.
Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.66.0/24.

Wenn der Unified Firewall ein LANCOM Router vorgeschaltet ist , welcher die Internetverbindung herstellt, muss auf dem vorgeschalteten Gerät der annehmenden Seite je ein Port-Forwarding für die UDP-Ports 500 und 4500 auf die WAN-IP-Adresse der Unified Firewall eingerichtet werden. Handelt es sich um einen Router eines anderen Herstellers, muss zusätzlich das Protokoll ESP an die Unified Firewall weitergeleitet werden.

Vorgehensweise:

1. Konfigurationsschritte auf der Unified Firewall in der Zentrale:

1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN → IPSec-Einstellungen.

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen für Firewall, Netzwerküberwachung, Desktop-Management, VPN-Einstellungen einschließlich IPsec und SSL, sowie Tools zur Diagnose und Zertifikatsverwaltung.

1.2 Aktivieren Sie IPSec.

Screenshot der IPsec-Einstellungen in einem Menü für Netzwerksicherheit, mit Abschnitten für Allgemeines und erweiterte Optionen.

1.3 Wechseln Sie auf VPN → VPN-Verbindungen → IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkkonfigurationen, darunter Firewall, VPN-Verbindungen, IPsec-Einstellungen, VPN-SSL-Einstellungen und Monitoring-Statistiken.

1.4 Hinterlegen Sie folgende Parameter:

Name: Vergeben Sie einen aussagekräftigen Name n.
Sicherheits-Profil: Wählen Sie z.B. das Sicherheitsprofil LANCOM LCOS Default IKEv2 aus.
Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
Remote-Gateway: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Filiale ein.
Da die Unified Firewall der Zentrale in diesem Konfigurationsbeispiel die VPN-Verbindung aufbauen soll, müssen Sie Verbindung aufbauen auswählen.

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese/s hier ebenfalls verwenden.

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.

1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:

Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.50.0/23.
Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.66.0/24.

Screenshot einer technischen Benutzeroberfläche mit Optionen für IKEv2-SSUF-Verbindung, Authentifizierung, Routing und Traffic Shaping, im Kompatibilitätsmodus.

1.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:

Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung.
Lokaler Identifier: Vergeben Sie die Lokale Identität.
Remote Identifier: Vergeben Sie die Entfernte Identität.

Der Local und Remote Identifier dürfen nicht übereinstimmen!

1.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen für Firewall, Netzwerküberwachung und Statistiken.

1.8 Hinterlegen Sie folgende Parameter:

Name: Vergeben Sie einen aussagekräftigen Namen.
Verbindungstyp: Wählen Sie den Typ IPSec.
IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.

Bildschirmansicht einer technischen Benutzeroberfläche für die Konfiguration einer IPsec-Verbindung mit der Bezeichnung IKEvZSSUF, Optionen zum Konfigurieren und Verwenden von Remote-Netzwerken.

1.9 Klicken Sie in dem VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches das Objekt (die eingerichtete Site-to-Site Verbindung) zugreifen können soll, damit die Firewall-Objekte geöffnet werden. Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

Screenshot einer technischen Benutzeroberfläche mit den unvollständigen, möglicherweise kryptisch erscheinenden Beschriftungen 'IKEvZSSUF', 'Be', und 'Bo x'.

1.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Netzwerk zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Screenshot einer komplexen technischen Benutzeroberfläche mit Verbindungsoptionen, Benutzerdefinierten Diensten, Sicherheitseinstellungen und Regel-Management-Bereichen.

1.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

Screenshot der Benutzeroberfläche für IT-Administratoren mit Optionen für Firewall, Backup und AutoBackup-Export.

1.12 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.

2. Konfigurationsschritte auf der Unified Firewall in der Filiale:

2.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN → IPSec-Einstellungen.

Screenshot einer technischen Benutzeroberfläche mit Menüoptionen für Firewall, Netzwerküberwachungsstatistiken, Desktop-Einstellungen, VPN-Konfigurationen wie IPsec und SSL, Zertifikatsverwaltung und Diagnosetools, sowie Optionen für Smartphones und Tablets.

2.2 Aktivieren Sie IPSec.

Screenshot eines IPsec-Einstellungsmenüs mit verschiedenen Optionen und Abschnitten für allgemeine Einstellungen und Versionsinformationen.

2.3 Wechseln Sie auf VPN → VPN-Verbindungen → IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.

2.4 Hinterlegen Sie folgende Parameter:

Name: Vergeben Sie einen aussagekräftigen Name n.
Sicherheits-Profil: Wählen Sie z.B. das Sicherheitsprofil LANCOM LCOS Default IKEv2 aus.
Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welche für die Internet-Verbindung verwendet wird.
Remote-Gateway: Tragen Sie die öffentliche IP-Adresse oder den öffentlichen DNS-Namen der Zentrale ein.

Wenn Sie eine eigene Vorlage oder ein eigenes Sicherheits-Profil erstellt haben, können Sie diese hier ebenfalls verwenden.

Das vorgefertigte Sicherheits-Profil IKEv2 Suite-B-GCM-256 (RFC 6379) sollte nicht verwendet werden, da sowohl die IKE-, als auch die IPSec-Lifetime (SA-Lebensdauer) auf 0 steht. Dadurch kann es zu Verbindungs-Problemen kommen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkmanagement, zeigt Optionen für Verbindung, Tunnel, Authentifizierung, Routing, Traffic Shaping und NAT mit Auswahlbuttons für Verbindung erstellen und Verbindung abbrechen.

2.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:

Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich
192.168.66.0/24.
Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich
192.168.50.0/23.

Screenshot einer technischen Benutzeroberfläche mit Optionen für IKEv2-Verbindungsauthentifizierung, Routing und Traffic Shaping im Kompatibilitätsmodus.

1.6 Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:

Authentifizierungstyp: Wählen Sie hier die Option PSK (Preshared Key) aus.
PSK (Preshared Key): Vergeben Sie den gleichen Preshared Key für diese Verbindung wie in der Zentrale (siehe Schritt 1.6).
Lokaler Identifier: Vergeben Sie die Lokale Identität.
Remote Identifier: Vergeben Sie die Entfernte Identität.

Der Local und Remote Identifier dürfen nicht übereinstimmen!

2.7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Netzwerks.

Grafische Benutzeroberfläche mit Abschnitten für Firewall, Monitoring und Statistiken sowie Netzwerk- und Desktop-Management.

2.8 Hinterlegen Sie folgende Parameter:

Name: Vergeben Sie einen aussagekräftigen Namen.
Verbindungstyp: Wählen Sie den Typ IPSec.
IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 2.4 -2.6 erstellte VPN-Verbindung aus.
Remote-Netzwerke: Wählen Sie aus, ob alle konfigurierten Remote Netzwerke oder ein oder mehrere bestimmte Netzwerke verwendet werden sollen.

Screenshot einer Benutzeroberfläche zur Konfiguration einer IPsec-Verbindung mit Optionen zum Anmelden, Abmelden und Konfigurieren von Remote-Netzwerken.

2.9 Klicken Sie in dem VPN-Netzwerk auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches das Objekt (die eingerichtete Site-to-Site Verbindung) zugreifen können soll, damit die Firewall-Objekte geöffnet werden. Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.

Screenshot einer technischen Benutzeroberfläche mit unklaren Beschriftungen wie 'IKEvZSSUF', 'Be', und 'Bo'.

2.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Netzwerk zu.

Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.

Die Abbildung zeigt eine technische Benutzeroberfläche oder ein Konfigurationsmenü mit verschiedenen Optionen und Einstellungen, darunter Benutzerdefinierte Dienste, Sicherheits- und Anwendungsfilter sowie Regeln für URL- und Content-Filterung.

2.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.

2.12 Die Konfigurationsschritte auf der Unified Firewall der Filiale sind damit abgeschlossen.

Die VPN-Verbindung zur Zentrale wird nun aufgebaut.

Wie hilfreich sind die Informationen in diesem Artikel?

sehr gut gut neutral hilfreich gar nicht

Service & Support

Links