Beschreibung:

Es kann in einigen Fällen vorkommen, dass zwei Standorte den gleichen IP-Adressbereich verwenden. Damit die Kommunikation per VPN zwischen diesen Standorten trotzdem möglich ist, muss die Kommunikation über den VPN-Tunnel hinter einem anderen IP-Adressbereich maskiert werden. Dies lässt sich auf einer Unified Firewall per NETMAP umsetzen. Im Gegensatz zu Source-NAT ist beidseitig ein Zugriff auf Ressourcen in dem jeweils anderen Zielnetzwerk möglich.

In diesem Artikel wird beschrieben, wie die Maskierung per NETMAP für eine VPN-Verbindung zwischen zwei Unified Firewalls eingerichtet wird.

Bei der Kommunikation zu einem der maskierten Netzwerke über die VPN-Verbindung ist zu beachten, dass dieses nur über die maskierte IP-Adresse angesprochen werden kann.



Voraussetzungen:

  • Zwei bzw. drei LANCOM R&S®Unified Firewalls mit LCOS FX ab Version 10.7 
  • Bereits eingerichtete und funktionsfähige IKEv2-Verbindung zwischen der Zentrale und der Filiale 1 (nur Szenario 2)
  • Bereits eingerichtete und funktionsfähige lokale Netzwerke auf allen Unified Firewalls
  • Bereits eingerichtete und funktionsfähige Internet-Verbindungen auf allen Unified Firewalls
  • Web-Browser zur Konfiguration der beiden Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren

  • Zwischen zwei Unified Firewalls (Filiale und Zentrale) soll eine IKEv2-Verbindung eingerichtet werden.
  • Sowohl die Unified Firewall in der Filiale als auch die Unified Firewall in der Zentrale verwenden den gleichen IP-Adressbereich 192.168.1.0/24.
  • Damit die Kommunikation zwischen den beiden Unified Firewalls möglich ist, müssen über die IKEv2-Verbindung versendete Pakete per NETMAP jeweils hinter einem voneinander abweichenden noch nicht verwendeten IP-Adressbereich maskiert werden.
    • Die Unified Firewall in der Zentrale maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.10.0/24.
    • Die Unified Firewall in der Filiale maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.20.0/24.

Diagramm einer Netzwerkkonfiguration mit der Darstellung einer zentralen VPN-Verbindung, NAT-Adressbereichen und LAN-Strukturen für Zentrale und Filiale.


Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren

  • Es ist bereits eine IKEv2-Verbindung zwischen zwei Unified Firewalls eingerichtet (Filiale 1 und Zentrale).
  • Die Unified Firewall in der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
  • Die Unified Firewall in der Filiale 1 hat den IP-Adressbereich 192.168.2.0/24.
  • Es gibt eine weitere Unified Firewall in der Filiale 2. Diese hat ebenfalls den IP-Adressbereich 192.168.2.0/24.
  • Nun soll die Unified Firewall in der Filiale 2 per IKEv2 mit der Zentrale verbunden werden. Weiterhin soll die Kommunikation zwischen Filiale 1 und Filiale 2 möglich sein. 
  • Damit die Kommunikation zwischen Filiale 1 und Filiale 2 möglich ist, müssen ausgehende Pakete der beiden Filialen über die IKEv2-Verbindung per NETMAP jeweils hinter einem voneinander abweichenden noch nicht verwendeten IP-Adressbereich maskiert werden.
    • Die Unified Firewall in der Filiale 1 maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.10.0/24.
    • Die Unified Firewall in der Filiale 2 maskiert ihr lokales Netzwerk hinter dem Adressbereich 192.168.20.0/24.

Ein Diagramm, das eine Netzwerkkonfiguration mit einer zentralen VPN-Verbindung und einer Unified Firewall, einschließlich der NAT-Adressbereiche und Internet-LAN-Verbindungen an verschiedenen Standorten darstellt.


Vorgehensweise:

Szenario 1: Zwei Standorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung miteinander kommunizieren

1. Konfigurationsschritte in der Zentrale:

1.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Zentrale:

1.1.1 Richten Sie die IKEv2-Verbindung in der Zentrale anhand eines der folgenden Knowledge Base Artikel ein:

1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

  • Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise (Classless Inter Domain Routing) ein (in diesem Beispiel 192.168.10.0/24).
  • Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden.

Screenshot eines Konfigurationsmenüs für eine VPN-Filialverbindung mit Optionen für Sicherheitsprofile, lokale und Remote-Netzwerke sowie virtuelle IP-Adresszuweisungen.

1.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

Screenshot eines Konfigurationsmenüs für eine VPN Filialverbindung mit Einstellungen zur Authentifizierung und IPsec-Tunnel, in dem benutzerdefinierte Routing-Regeln manuell angelegt werden müssen.

1.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

Screenshot einer Netzwerkkonfigurations-Benutzeroberfläche mit Menüoptionen wie Routing-Tabellen, Firewall-Einstellungen, DHCP-Interfaces, DynDNS-Konten und Monitoring-Statistiken.

1.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

Bild einer Routing-Tabelle in einer technischen Benutzeroberfläche, die verschiedene Routen mit Zielen, Interfaces und Gateways sowie deren Typen zeigt und Optionen zum Zurücksetzen und Schließen bietet.

1.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Filiale aus (in diesem Beispiel VPN-Filiale).
  • Ziel: Tragen Sie den umgesetzten Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Screenshot einer technischen Benutzeroberfläche zur Routebearbeitung mit Optionen zum Auswählen verbundener Subnetze und einer bevorzugten Quelle.

1.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.

Das Bild zeigt eine technische Routing-Tabelle mit Spalten für Nummer, Routenziel, Interface, Gateway und Typ, sowie Optionen zum Zurücksetzen und Abmelden, wobei Änderungen bis zum Reset erhalten bleiben.


1.2 Einrichtung der Maskierung auf der Unified Firewall in der Zentrale:

1.2.1 Klicken Sie auf dem Desktop auf das Netzwerk-Objekt in der Zentrale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Filiale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host

Screenshot eines technischen Konfigurationsmenüs mit den Beschriftungen AS e und EN Produktion.

1.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie den in Schritt 1.1.2 vergebenen umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
  • Setzen Sie den Haken bei DNAT aktivieren.
  • Externe IP-Adresse: Tragen Sie den in Schritt 1.1.2 vergebenen umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

Das Bild zeigt eine technische Benutzeroberfläche oder ein Konfigurationsmenü mit verschiedenen Optionen für Netzwerkeinstellungen wie NAT-Masquerading, DNAT, sowie einem Bereich für die Einstellung von Routing- und Filterregeln.

1.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Digitales Interface oder Konfigurationsmenü mit dem Begriff ZLANGOM nouseuscnwanz Firewall angezeigt.

1.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Zentrale sind damit abgeschlossen.


2. Konfigurationsschritte in der Filiale:

2.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale:

2.1.1 Richten Sie die IKEv2-Verbindung in der Filiale anhand eines der folgenden Knowledge Base Artikel ein:

2.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

  • Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).
  • Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und sich nicht überschneiden.

Screenshot einer technischen Benutzeroberfläche für VPN-Konfigurationen mit Bereichen für Sicherheitsprofile, Authentifizierung, und Netzwerkeinstellungen.

2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

Bildschirmansicht einer VPN-Zentrale Konfigurationsoberfläche mit Einstellungen für Sicherheitsprofile, Tunnelauthentifizierung und manuelle Routing-Regeln für eine routenbasierte IPsec-Verbindung.

2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

Screenshot einer Netzwerkkonfigurations-Benutzeroberfläche mit Menüoptionen wie Routing-Tabellen, Netzwerk-Firewall, Monitoring-Statistiken, DHCP-Interfaces und DynDNS-Konten.

2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

Screenshot einer Routing-Tabelle in einer Netzwerkkonfigurationsoberfläche, die verschiedene Routen mit Ziel, Interface, Gateway und Typ zeigt.

2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
  • Ziel: Tragen Sie das umgesetzte Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von VPN-Verbindungen mit Elementen wie Interfaceauswahl, Subnetzinformationen und Metrik-Einstellungen.

2.1.7 Klicken Sie auf Speichern, um den Routing-Eintrag zu übernehmen.

Screenshot einer Routing-Tabelle aus einer technischen Benutzeroberfläche mit Spalten für Routenziel, Interface, Gateway und Typ sowie Hinweisen zu Änderungen, die bis zum Zurücksetzen oder Abmelden erhalten bleiben.


2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale:

2.2.1 Klicken Sie auf dem Desktop auf das verwendete Netzwerk-Objekt in der Filiale (in diesem Beispiel Produktion), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host

Bildschirmansicht einer technischen Benutzeroberfläche mit unvollständigem Text, der teilweise Produktion einschließt.

2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
  • Setzen Sie den Haken bei DNAT aktivieren.
  • Externe IP-Adresse: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

Screenshot eines Netzwerk-Konfigurationsmenüs mit Optionen für URL- und Inhaltsfilterung, Anwendungsfilter, anwendungsbezogenes Routing, NAT-Masquerading und dynamisches NAT mit Einstellungen für externe und Ziel-IP-Adressen.

2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Screenshot der Benutzeroberfläche eines technischen Geräts mit der Beschriftung ZLANGOM nouseuscnwanz Firewall, vermutlich ein Menü zur Konfiguration einer Firewall.

2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale sind damit abgeschlossen.


3. Neustart der VPN-Verbindung:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, muss die VPN-Verbindung neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in der Filiale oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol". 

Bildschirmfoto einer technischen Benutzeroberfläche zur Überwachung von Netzwerkverbindungen, Anzeige von Statistiken, IPsec-Einstellungen und Sicherheitsprofilen.


Szenario 2: Zwei Außenstandorte mit dem gleichen IP-Adressbereich sollen über eine IKEv2-Verbindung über die Zentrale miteinander kommunizieren

1. Konfigurationsschritte in der Zentrale:

1.1 Einrichtung der IKEv2-Verbindung zur Filiale 2:

1.1.1 Richten Sie auf der Unified Firewall in der Zentrale die IKEv2-Verbindung zur Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:

1.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

  • Lokale Netzwerke: Tragen Sie den lokalen IP-Adressbereich der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24). 
  • Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Ein detailliertes Bild einer technischen Konfigurationsoberfläche für eine VPN-Filialverbindung, die verschiedene Einstellungen wie Sicherheitsprofile, Authentifizierung und virtuelle IP-Pools zeigt.


1.2 Anpassung der VPN-Verbindung zur Filiale 1:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Filiale 1 auf das "Stift-Symbol", um die Verbindung zu bearbeiten.

Bildschirmansicht einer technischen Benutzeroberfläche mit Menüoptionen zur Verwaltung von Netzwerkverbindungen, Sicherheitseinstellungen wie Firewall und IPsec, sowie Monitoring- und Statistiktools.

1.2.2 Wechseln Sie in den Reiter Tunnel, passen den folgenden Parameter an und klicken auf Speichern:

  • Remote-Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Bildschirmaufnahme einer technischen Benutzeroberfläche für eine VPN-Verbindung, die verschiedene Einstellungen wie Sicherheitsprofile, Authentifizierungsverfahren und Netzwerkkonfigurationen zeigt.


2. Konfigurationsschritte in der Filiale 1:

2.1 Anpassung der VPN-Netzwerke in der Filiale 1:

2.1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall in der Filiale 1, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der VPN-Verbindung zur Zentrale auf das "Stift-Symbol", um die Verbindung zu bearbeiten.

Screenshot einer technischen Benutzeroberfläche, die Netzwerkeinstellungen darstellt, einschließlich Firewall, IPsec-Konfigurationen, Sicherheitsprofile und Benutzerauthentifizierung.

2.1.2 Wechseln Sie in den Reiter Tunnel und passen die folgenden Parameter an:

  • Lokale Netzwerke: Ersetzen Sie das vorhandene lokale Netzwerk durch den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise (in diesem Beispiel 192.168.10.0/24).
  • Remote-Netzwerke: Tragen Sie zusätzlich zum bereits vorhandenen Netzwerk der Zentrale den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden.

Screenshot einer VPN-Konfigurationsseite, die Optionen wie Sicherheitsprofil, lokale und entfernte Netzwerke sowie virtuellen IP-Pool anzeigt.

2.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

Screenshot einer technischen VPN-Verwaltungsoberfläche, die Konfigurationseinstellungen für die VPN-Zentrale, Sicherheitsprofile, Authentifizierungsmethoden und routingbasierte IPsec-Einstellungen zeigt.

2.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

Screenshot einer Netzwerkkonfigurations-Benutzeroberfläche mit Menüoptionen wie RoutingTabellen, Firewall, MonitoringStatistiken, DHCPInterfaces und DynDNSKonten.

2.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

Screenshot einer Routing-Tabelle in einer technischen Benutzeroberfläche, die Einträge mit Ziel, Interface, Gateway und Typ wie Unicast für verschiedene Routen anzeigt, mit Optionen zum Zurücksetzen und Schließen.

2.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
  • Ziel: Tragen Sie das Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24).

Screenshot einer VPN-Konfigurationsseite mit Optionen zur Bearbeitung der Route einschließlich Gateway, Typ als Unicast und bevorzugter Regel, zusätzlich zum Metrik-Feld und einem Abbrechen-Button.

2.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
  • Ziel: Tragen Sie das umgesetzte Netzwerk der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).

Screenshot einer VPN-Konfigurationsseite, auf der Routeneinstellungen bearbeitet werden können, inklusive Interface-Auswahl, Ziel- und Gateway-Informationen sowie Optionen für Subnetze und Übertragungstyp.

2.2.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.

Tabelle zeigt Routing-Informationen einschließlich Ziel, Interface, Gateway und Typ für verschiedene Routen in einer technischen Benutzeroberfläche, wobei Änderungen bis zum Zurücksetzen oder Abmelden erhalten bleiben.


2.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 1:

2.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 1 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale1-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host

Bildschirmansicht eines Intranet-Portals mit der Beschriftung 'ST FilialetINTRANET', möglicherweise ein Zugangspunkt oder eine Oberfläche zum Verwalten von Filialinformationen.

2.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
  • Setzen Sie den Haken bei DNAT aktivieren.
  • Externe IP-Adresse: Tragen Sie den in Schritt 2.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

Bildschirmansicht einer Netzwerkkonfigurationsoberfläche mit Optionen für URL- und Application-Filter, Application-Based Routing, sowie NAT Einstellungen zum Aktivieren von Masquerading und DNAT für externe und Ziel-IP-Adressen.

2.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Benutzeroberfläche einer IT-Sicherheitssoftware mit dem Titel ZLANGOM nouseuscnwanz Firewall.

2.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 1 sind damit abgeschlossen.


3. Konfigurationsschritte in der Filiale 2:

3.1 Einrichtung der IKEv2-Verbindung auf der Unified Firewall in der Filiale 2:

3.1.1 Richten Sie die IKEv2-Verbindung auf der Unified Firewall in der Filiale 2 anhand eines der folgenden Knowledge Base Artikel ein:

3.1.2 Passen Sie bei der Konfiguration der VPN-Verbindung im Reiter Tunnel die Lokalen Netzwerke und die Remote-Netzwerke wie folgt an:

  • Lokale Netzwerke: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24).
  • Remote-Netzwerke: Tragen Sie neben dem lokalen Netzwerk der Zentrale (in diesem Beispiel die 192.168.1.0/24) zusätzlich noch den umgesetzten IP-Adressbereich der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Die für die Maskierung verwendeten IP-Adressbereiche dürfen nicht anderweitig verwendet werden und dürfen sich nicht überschneiden.

Die Abbildung zeigt ein technisches Konfigurationsmenü für eine VPN-Zentralverbindung mit Optionen für Sicherheitsprofile, lokale Netzwerke, Remote-Netzwerke und virtuelle IP-Einstellungen.

3.1.3 Wechseln Sie in den Reiter Routing, aktivieren die Option Routen-basiertes IPSec und klicken auf Speichern.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration einer VPN-Zentraleverbindung, inklusive Einstellungen für Sicherheitsprotokolle und manuelle Routing-Regeln.

3.1.4 Wechseln Sie in das Menü Netzwerk → Routing → Routing-Tabellen und klicken bei der Tabelle 254 auf das "Stift-Symbol", um die Routing-Tabelle zu bearbeiten.

Bildschirmfoto einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen, einschließlich Routing-Tabellen, Netzwerkinterfaces, DHCP, DynDNS-Konten und Firewall-Einstellungen.

3.1.5 Klicken Sie auf das "Plus-Symbol", um einen Routing-Eintrag zu erstellen.

Bildschirmansicht einer Routing-Tabelle in einer technischen Benutzeroberfläche, die Routenziel, Interface, Gateway und Typen, sowie Funktionen zum Zurücksetzen und Schließen anzeigt.

3.1.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
  • Ziel: Tragen Sie das Netzwerk der Zentrale in CIDR-Schreibweise ein (in diesem Beispiel 192.168.1.0/24).

3.1.7 Erstellen Sie einen weiteren Routing-Eintrag, passen die folgenden Parameter an und klicken auf OK:

  • Interface: Wählen Sie im Dropdownmenü die VPN-Verbindung zur Zentrale aus (in diesem Beispiel VPN-Zentrale).
  • Ziel: Tragen Sie das umgesetzte Netzwerk der Filiale 1 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.10.0/24).

Bildschirmansicht eines Netzwerkkonfigurationsmenüs mit Optionen zur Auswahl von Verbindungsschnittstellen, zugehörigen Subnetzen und bevorzugten Quellen.

3.1.8 Klicken Sie auf Speichern, um die Routing-Einträge zu übernehmen.

Bildschirmansicht einer Routingtabelle in einer technischen Benutzeroberfläche, die verschiedene Routen mit Zielen, Interfaces, Gateways und Typen zeigt, darunter mehrere unicast-Routen.


3.2 Einrichtung der Maskierung auf der Unified Firewall in der Filiale 2:

3.2.1 Klicken Sie auf dem Desktop der Unified Firewall in der Filiale 2 auf das verwendete Netzwerk-Objekt (in diesem Beispiel Filiale2-INTRANET), wählen das Verbindungswerkzeug aus und klicken auf das VPN-Objekt (in diesem Beispiel VPN-Zentrale).

NETMAP funktioniert ausschließlich mit einem VPN-Netzwerk aber nicht mit einem VPN-Host

Ein Bildschirm der technischen Benutzeroberfläche zeigt den Begriff FilialeINTRANET.

3.2.2 Wechseln Sie in den Reiter NAT, passen die folgenden Parameter an und klicken auf Speichern:

  • NAT / Masquerading: Wählen Sie die Option Links-nach-rechts aus.
  • NAT-Quell-IP: Tragen Sie den umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den ausgehenden Datenverkehr.
  • Setzen Sie den Haken bei DNAT aktivieren.
  • Externe IP-Adresse: Tragen Sie den in Schritt 3.1.2 vergebenen umgesetzten IP-Adressbereich der Filiale 2 in CIDR-Schreibweise ein (in diesem Beispiel 192.168.20.0/24). Es handelt sich hierbei um die Maskierung für den eingehenden Datenverkehr.

Die Maskierung erfolgt bei N:N-Mapping zweigeteilt. Der ausgehende Datenverkehr wird mittels Source-NAT maskiert und der eingehende Datenverkehr mittels Destination-NAT.

Abbildung einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen für Netzwerkmanagement, einschließlich Regeln für URL- und Content-Filterung, Application-Based Routing, und NAT-Einstellungen.

3.2.3 Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Screenshot eines technischen Konfigurationsmenüs, in dem die Optionen für ZLANGOM nouseuscnwanz und Firewall angezeigt werden.

3.2.4 Die Konfigurationsschritte auf der Unified Firewall in der Filiale 2 sind damit abgeschlossen.


4. Neustart der VPN-Verbindungen:

Damit die in den VPN-Verbindungen angepassten Parameter verwendet werden, müssen die VPN-Verbindungen neugestartet werden.

Verbinden Sie sich mit der Unified Firewall in einer der Filialen oder der Zentrale, wechseln in das Menü VPN → IPSec → Verbindungen und klicken bei der entsprechenden VPN-Verbindung auf das "Pfeilkreis-Symbol". Führen Sie dies für beide VPN-Verbindungen durch (Zentrale - Filiale 1 und Zentrale - Filiale 2).

Screenshots einer technischen Benutzeroberfläche mit verschiedenen Netzwerkverbindungsoptionen, darunter IPsec-Einstellungen, Sicherheitsprofile und virtuelle IP-Pools.


 
 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH