Beschreibung:

In bestimmten Szenarien kann es erforderlich sein bei Kommunikation über einen VPN-Tunnel das lokale Netzwerk hinter einer bestimmten IP-Adresse zu maskieren. Dadurch muss auf der Gegenseite nur eine VPN-Regel für eine IP-Adresse erstellt werden und nicht für ein ganzes Netzwerk. Ein Nachteil ist, dass von der Gegenseite kein Zugriff auf Ressourcen hinter der maskierten Verbindung möglich ist. Daher bietet sich die Maskierung in der Regel nur für Filialen an, die auf Ressourcen in der Zentrale zugreifen.

In diesem Artikel wird beschrieben, wie Source-NAT für eine bestehende IKEv2-Verbindung auf einer Unified Firewall eingerichtet wird.


Voraussetzungen:

  • Zwei LANCOM R&S®Unified Firewalls  mit LCOS FX ab Version 10.7 
  • Bereits eingerichtete und funktionsfähige lokales Netzwerke auf beiden Unified Firewalls
  • Bereits eingerichtete und funktionsfähige Internet-Verbindungen auf beiden Unified Firewalls
  • Bereits eingerichtete und funktionsfähige IKEv2-Verbindungen auf beiden Unified Firewalls
  • Web-Browser zur Konfiguration der beiden Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

  • Es gibt eine bestehende IKEv2-Verbindung zwischen zwei Unified Firewalls (Filiale und Zentrale).
  • Die Unified Firewall in der Zentrale hat den IP-Adressbereich 192.168.5.0/24.
  • Die Unified Firewall in der Filiale hat den IP-Adressbereich 192.168.1.0/24.
  • Die Kommunikation von der Filiale in Richtung der Zentrale über die IKEv2-Verbindung soll hinter der IP-Adresse 10.10.10.1 maskiert werden

Schematische Darstellung einer UnifiedFirewall mit zentraler VPN-Verbindung zwischen Haupt- und Filialnetzwerken über das Internet, einschließlich Maskierungs-IP und LAN-Konnektivitäten.



Vorgehensweise:

1. Konfigurationsschritte in der Filiale: 

1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Filiale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um diese zu bearbeiten. 

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Netzwerk- und Sicherheitseinstellungen, darunter Firewall, IPsec, Benutzerauthentifizierung und Überwachungsstatistiken.

1.2 Wechseln Sie in den Reiter Tunnel, löschen bei Lokale Netzwerke das hinterlegte Netzwerk und tragen stattdessen die IP-Adresse in CIDR-Schreibweise (Classless Inter Domain Routing) ein, hinter der die VPN-Verbindung in Richtung der Zentrale maskiert werden soll (in diesem Beispiel die 10.10.10.1/32).

Die Subnetzmaske /32 ist eine andere Schreibweise für 255.255.255.255 und stellt eine einzelne IP-Adresse dar.

Bildschirmfoto einer VPN-Konfigurationsoberfläche, die Einstellungen wie Sicherheitsprofil, Verbindung, Authentifizierung, lokale und entfernte Netzwerke sowie virtuelle IP-Adressen zeigt.

1.3 Wechseln Sie in den Reiter Routing, aktivieren das Routen-basierte IPSec und klicken auf Speichern.

Ein Bildschirmfoto einer VPN-Konfigurationsseite, das Einstellungen und Sicherheitsprofile für eine VPN-Zentrale darstellt und Informationen über IKE-Sicherheitssuite, Anpassungen, die bei Abmeldung erhalten bleiben und manuelles Routing für IPsec beinhaltet.

1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um diese zu bearbeiten.

Eine detaillierte Benutzeroberfläche eines Netzwerkmanagementsystems, das verschiedene Konfigurationsoptionen wie Firewall-, Routing-, Interface-Konfigurationen und Monitoring-Statistiken zeigt.

1.5 Klicken Sie auf das "Plus-Symbol", um eine neue Route zu erstellen.

Bildschirmanzeige einer Routing-Tabelle in einer Netzwerkkonfiguration, die verschiedene Interfaces und Gateways auflistet, sowie Optionen für Zurücksetzen und Schließen.

1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus, die maskiert werden soll.
  • Ziel: Tragen Sie das Zielnetzwerk in der Zentrale ein, mit dem über die VPN-Verbindung kommuniziert werden soll (in diesem Beispiel das Netzwerk 192.168.5.0/24). 

Screenshot einer technischen Benutzeroberfläche für die Bearbeitung von Netzwerkrouten, verbunden mit bestimmten Subnetzen und ohne angegebene Metrik.

1.7 Klicken Sie auf Speichern.

1.8 Klicken Sie auf die Schaltfläche zum Erstellen eines Netzwerks, um das Zielnetzwerk in der Zentrale lokal anzulegen. Dies ist für die Maskierung erforderlich. Routing-Konflikte können dadurch nicht auftreten.

Ein Bild, das eine verwirrende oder verschwommene Darstellung von technischen Texten mit dem Wort Firewall zeigt.

1.9 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Zielnetzwerk (in diesem Beispiel SNAT-Zielnetzwerk).
  • Interface: Wählen Sie im Dropdownmenü die Schnittstelle any aus.
  • Netzwerk-IP: Tragen Sie die IP-Adresse des Zielnetzwerks in der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.5.0/24).

1.10 Klicken Sie auf dem Desktop auf das Netzwerkobjekt für das lokale Netzwerk (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das in Schritt 1.9 erstellte Netzwerkobjekt (in diesem Beispiel SNAT-Zielnetzwerk).

Screenshot eines technischen Konfigurationsmenüs, das Optionen für StandardBenutzergruppen in einem Produktionssystem zeigt.

1.11 Fügen Sie über die "Plus-Symbole" die zur Kommunikation erforderlichen Protokolle hinzu (in diesem Beispiel ICMP).

Wiederholen Sie die Schritte 1.12 - 1.14 für jedes weitere Protokoll.

Bildschirmansicht einer technischen Konfigurations-Oberfläche mit Menüoptionen für Netzwerkverbindungen, Regeln, Nat URL, Content Filter, und Application-Based Routing, inklusive Anweisungen zum Hinzufügen von Einträgen durch Klicken auf ein Symbol. Bildschirmanzeige eines technischen Konfigurationsmenüs mit mehreren unvollständigen und verschwommenen Begriffen, möglicherweise in einem Software- oder Hardwarekontext.

1.12 Klicken Sie bei dem verwendeten Protokoll unter Aktion dreimal auf den Pfeil, bis dieser nach rechts zeigt. Klicken Sie anschließend unter Optionen auf die Schaltfläche Keine.

Bildschirmansicht einer technischen Benutzeroberfläche mit Optionen zur Konfiguration von Netzwerkzielen, NAT-Regeln, URL-ContentFilter, ApplicationFilter und ApplicationBasedRouting, wobei Veränderungen erhalten bleiben bis zum Abbrechen des Dialogs oder Abmelden.

1.13 Wählen Sie bei NAT die Option Servicespezifische Einstellungen verwenden, passen die folgenden Parameter an und klicken auf OK:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie die in Schritt 1.2 vergebene IP-Adresse ein, hinter die Protokolle über die VPN-Verbindung maskiert werden (in diesem Beispiel die IP-Adresse 10.10.10.1).

Bildschirmansicht eines Konfigurationsmenüs für Netzwerkeinstellungen, einschließlich Optionen für Proxy, NAT, Datenflussrichtung und DMZ-Portweiterleitung.

1.14 Klicken Sie auf Erstellen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkkonfiguration, die verschiedene Einstellungen wie URL-Content-Filter, Application-Filter und Application-Based Routing visualisiert.

1.15 Klicken Sie auf Aktivieren, damit die vorgenommenen Einstellungen umgesetzt werden.

Bildschirmanzeige einer Firewall-Konfigurationsseite, die verschiedene Sicherheitseinstellungen und -regeln zeigt.

1.16 Die Konfigurationsschritte in der Filiale sind damit abgeschlossen.



2. Konfigurationsschritte in der Zentrale:

In diesem Konfigurations-Beispiel wird davon ausgegangen, dass auch in der Zentrale eine Unified Firewall verwendet wird. Das Szenario lässt sich auch mit Geräten eines anderen Herstellers umsetzen. In diesem Fall müssen die VPN-Regeln sowie das Routing entsprechend auf die Maskierungs-IP-Adresse angepasst werden. Bitte wenden Sie sich dazu gegebenenfalls an den jeweiligen Hersteller.

2.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Filiale auf das "Stift-Symbol", um diese zu bearbeiten.

Benutzeroberfläche eines Netzwerkmanagementsystems mit Optionen für Benutzerauthentifizierung, VPN-Verbindungen, IPsec-Einstellungen, Sicherheitsprofile und virtuelle IP-Pools.

2.2 Wechseln Sie in den Reiter Tunnel und tragen bei Remote-Netzwerke die in Schritt 1.2 vergebene IP-Adresse in CIDR-Schreibweise ein, hinter der die VPN-Verbindung maskiert werden soll (in diesem Beispiel die 10.10.10.1/32).

Klicken Sie anschließend auf Speichern.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration einer VPN-Verbindung mit Details zu Sicherheitsprofilen, Authentifizierung und Netzwerkeinstellungen.

2.3 Die Konfigurationsschritte in der Zentrale sind damit abgeschlossen.



3. Neustart der VPN-Verbindung:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol". 

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung, mit Abschnitten für Monitoring, Statistiken, Sicherheitsprofile und IPsec-Einstellungen.


 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH