Letzte Anpassung zur Version: 12.6.0
- Funktion: Zugehörige Netzwerkobjekte aktualisieren
- Design Aktualisierung
notemptyDieser Artikel bezieht sich auf eine Beta-Version
Einleitung
Über das GRE (=Generic Routing Encapsulation) Protokoll, lassen sich andere Protokolle einkapseln und über Tunnel transportieren. Dabei ist zu beachten, dass die Pakete nicht verschlüsselt werden.
Mögliche Verwendung des GRE Protokolls:
- Bei PPTP VPN
GRE - Tunnel anlegen
In diesem Beispiel hat die Firewall "Zentrale" auf LAN1 die IP-Adresse 203.0.113.204/24 und die Gegenstelle "Standort-01" die IP-Adresse 203.0.113.203/24 auf LAN1.
Die lokalen Subnetze sind bei "Zentrale" 10.0.0.0/24 sowie 10.1.0.0/24 bei "Standort-01".
Um diese Verbindung aufzubauen, wird noch ein Transfer-Netzwerk benötigt, welches in diesem Beispiel 10.250.0.0/24 lautet.
GRE - Interface anlegen | |||
| |||
Schritt 1 - Name + lokale IP-Adressen | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Zentrale
|
|---|---|---|---|
| Name: | gretun0 | Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden | |
| Lokale IP-Adresse: | Lokale IP des Transfernetzes, das hiermit festgelegt wird | ||
| Lokaler Tunnelendpunkt: | 203.0.113.204 | Öffentliche IP-Adresse des lokalen Tunnelendpunktes | |
Schritt 2 - Entfernter Tunnelendpunkt | |||
| Entfernter Tunnelendpunkt: | Öffentliche IP-Adresse des entfernten Tunnelendpunktes |  Zentrale Entfernter Tunnelendpunkt
| |
Schritt 3 - Zonen | |||
| Zonen: | external firewall-external firewall-internal dmz1 |
Hier können die gewünschten Zonen ausgewählt werden |  Zentrale Zonen
|
| Neue Zone hinzufügen: | Ja gre |
Bei Bedarf kann hier eine neue Zone erstellt werden | |
| Regeln generieren: | Nein | Autogenerierte Regeln, die ggf. ersetzt werden müssen | |
| Zugehörige Netzwerkobjekte aktualisieren: notemptyneu ab v12.6.0 | Ein | Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen. | |
Routing | |||
| |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Zentrale Route hinzufügen
|
| Quellnetzwerk: | Die Angabe ist optional | ||
| Gateway Typ: | Auf Schnittstelle stellen, um eine Schnittstelle auswählen zu können. | ||
| Gateway | gretun0 | Die gewünschte Schnittstelle wählen. | |
| Zielnetzwerk: | 10.1.0.0/24 | Zielnetzwerk ist das entfernte Netz der Gegenstelle | |
| Gewichtung | 0 | Hier kann eine höhere Gewichtung eingetragen werden | |
Paketfilter
Firewallregel erstellen
Die einfache Variante, die Netze miteinander zu verbinden, ist unter Verwendung der Netzwerkobjekte der gesamten Netze und dem Dienst any.
Sicherheit und Kontrolle erhält man jedoch immer nur dann, wenn man dediziert arbeitet.
Deshalb sollten die Dienste der Paketfilter der Anwendung entsprechend angepasst werden. Im Testszenario lässt sich default-internet verwenden, dann sehen die zwei Paketfilter wie folgt aus:
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
 internal-network |
gre-network |
 default-internet |
ACCEPT | Ein | |||
|
gre-network |
internal-network |
default-internet |
ACCEPT | Ein | |||
Dedizierte Firewallregel erstellen
Natürlich ist es auch hier ratsam dediziert zu arbeiten, d.h. für jede benötigte Verbindung einzelne Netzwerkobjekte anzulegen und ausschließlich die benötigten Dienste in der Portfilterregel freizuschalten.
In diesem Beispiel soll aus dem Netz "Zentrale" per "smtp" der Mailserver in "Standort-01" erreicht werden. Zusätzlich sollen Clients aus dem Netz der "Standort-01" per RDP auf den Terminalserver der "Zentrale" zugreifen.
- Unter Bereich Netzwerkobjekte öffnen
- Ein neues Objekt hinzufügen:
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Zentrale Netzwerkobjekt hinzufügen
|
|---|---|---|---|
| Name: | xsrv-GRE-mail-01 | Hier kann der jeweilige gewünschte Name für das Netzwerkobjekt gewählt werden. | |
| Typ: | Den jeweiligen Typen auswählen | ||
| Adresse: | Hier wird die IP-Adresse eingetragen | ||
| Zone: | Hier wurde die zuvor erstellte Zone "gre" ausgewählt | ||
| Gruppen: | Es können zusätzlich Gruppen ausgewählt werden | ||
Anschließend müssen folgende Paketfilterregeln unter Schaltfläche hinzugefügt werden:
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
|
internal-network |
 xsrv-GRE-mail-01 |
 smtp |
ACCEPT | Ein | |||
|
gre-network |
srv-lg-rdp-01 |
ms-rdp |
ACCEPT | Ein | |||
Konfiguration der Gegenstelle
Auf der entfernten UTM müssen die Einstellungen umgekehrt vorgenommen werden.
Schnittstelle hinzufügen
Schritt 1 - Name + lokale IP-Adressen | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration  Gegenstelle
|
|---|---|---|---|
| Name: | gretun0 | Hier kann der gewünschte Name für den GRE-Tunnel eingetragen werden | |
| Lokale IP-Adresse: | Lokale IP des Transfernetzes, das hiermit festgelegt wird | ||
| Lokaler Tunnelendpunkt: | 203.0.113.203 | Öffentliche IP-Adresse des lokalen Tunnelendpunktes | |
Schritt 2 - Entfernter Tunnelendpunkt | |||
| Entfernter Tunnelendpunkt: | Was in der "Zentrale" lokal (local) ist, ist im "Standort-01" entfernt (remote). |  Gegenstelle Entfernter Tunnelendpunkt
| |
Schritt 3 - Zonen | |||
| Zonen: | external firewall-external firewall-internal dmz1 |
Hier können die gewünschten Zonen ausgewählt werden | Gegenstelle Zonen
|
| Neue Zone hinzufügen: | Ja gre |
Bei Bedarf kann hier eine neue Zone erstellt werden | |
| Regeln generieren: | Nein | Autogenerierte Regeln, die ggf. ersetzt werden müssen | |
| Zugehörige Netzwerkobjekte aktualisieren: notemptyneu ab v12.6.0 | Ein | Wurde eine bereits existierende Zone ausgewählt, werden alle Netzwerkobjekte, die bereits in dieser Zone liegen und eine Schnittstelle als Ziel haben auf die neue Schnittstelle umgezogen. | |
Paketfilterregeln
| Für eingehende und ausgehende Paketfilterregeln müssen entsprechend benötigte Dienste angelegt werden. Regeln, die in "Zentrale" ausgehend gestaltet wurden, müssen an "Standort-01" eingehend erstellt werden. |
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Gegenstelle Konfiguration der Gegenstelle - Regel hinzufügen
| ||